Mise à jour 13 septembre 2014

Certifications ISO des compteurs « intelligents » /Rafiofréquences et gestion des risques dans le traitement des données personnelles et de la sécurité informatique

Voilà peut-être un coup de canon en plein milieu du lac de désinformation qu’Hydro-Québec nous sert. Cela pourrait même relancer le débat en minant le projet des compteurs intelligents à partir d’un autre front et sous un autre angle d’attaque. En effet, j’attire votre attention sur le fait que, dans l’argumentaire que l’on retrouve dans la page « Les enjeux » du site Lévis refuse, je mentionne un nouvel argument qui, à ma connaissance, n’a jamais été exploité, et qui pourrait bien faire une différence dans notre bataille. Il s’agit du point suivant :

« Vérifier que les mécanismes de ces appareils respectent le droit à la vie privée, par exemple la gestion des risques dans le traitement des données personnelles et de la sécurité informatique (par exemple, la norme internationale ISO 27034 sur la sécurité informatique), etc.; « 

Cet argument a l’air innocent présenté comme cela! Mais voyez ma note ci-dessous qui en explique la teneur réelle.

À titre informatif  Il n’est pas obligatoire d’être certifié ISO d’aucune des normes actuellement en vigueur pour avoir le droit d’opérer un commerce ou une industrie, et d’en vendre les produits et services. C’est vrai dans n’importe quel pays. Cependant, la certification ISO équivaut à un sceau attestant que vos procédés de fabrication, votre éthique et vos produits sont de qualité supérieure et correspondent à de très hauts standards internationaux. C’est donc une marque distinctive qui est sensée inspirer fortement la confiance chez les clients potentiels.

La Norme ISO/IEC 27034 porte sur la sécurité des applications informatiques. Elle a été publiée en novembre 2011 et adoptée par plus de 49 pays, dont le Canada! Cette norme est issue d’un énorme travail de recherche d’un de nos plus grands spécialistes canadien et québécois en sécurité informatique, M. Luc Poulin, M.Sc CISSP-ISSMP CSSLP CISM CISA ift.a.

Il s’agit d’une norme qui propose une approche de gestion intégrée de la sécurité applicative dans tous les domaines qui se servent d’applications informatiques pour gérer ou communiquer des données sensibles et qui, entre autres, mettent en cause la protection des données personnelles (identité, informations bancaires, etc.), la fiabilité et l’efficience d’applications (par exemple les avions, ordinateurs de bord, etc.) dont la performance et les résultats attendus dépendent de la fiabilité du réseau informatique à transmettre les données nécessaires au bon fonctionnement de ces appareils, aux bons endroits et aux bons moments. Les résultats de ces travaux ont été testés, mesurés et validés, par des pairs à l’échelle internationale, et ce, pendant plusieurs années, dans le cadre des travaux d’un comité international ISO auxquels ont participé les plus grands spécialistes en sécurité de l’information et des applications informatiques de la planète.

Une visite du site de Landys + Gyr nous apprend que, nulle part, il n’est fait mention que leur équipement détient une Certification ISO 27 034, qui correspond au plus haut standard actuel en matière de sécurité informatique appliquée à la protection des données et aux processus de fabrication et/ou d’utilisation d’équipements ou d’applications logicielles qui les gèrent. Actuellement, Landys + Gyr dit détenir :

• la norme ISO 50001 qui vise une gestion efficace de l’énergie aide les organismes à réaliser des économies, à réduire leur consommation d’énergie et à faire face au réchauffement climatique;
•  la norme ISO 27001 en Europe. Cette norme, publiée en 2005 et révisée en 2013, concerne uniquement la sécurité de l’information en tant que telle, dans une perspective de protection des actifs d’une entreprise ou de sa propriété intellectuelle sur les données qu’elle manipule. On peut en trouver une définition assez exacte sur ce lien . Ce qu’il faut comprendre, c’est que cette norme ne donne aucune marche à suivre sur le traitement de l’information à partir d’une gestion intégrée d’un traitement informatisé en lien avec la transmission ou la circulation électroniques des données par le biais de diverses applications, que ce soit à l’interne ou à l’externe de l’entreprise. Comme les compteurs intelligents collectent des données qu’ils transmettent par la suite, et qu’il y a non seulement une transmission par antenne, mais aussi une gestion informatique gérée par différentes applications et outils (logiciels, modems, serveurs, etc.), il faut un protocole blindé pour contrôler la circulation de toutes ces informations. En effet, le circuit emprunté pour le transfert des données transite d’un compteur à l’autre, le traitement des données qui s’ensuit se fait via des modems, des serveurs de plusieurs réseaux de communication informatique, et aboutit à différents endroits extérieurs au réseau d’Hydro-Québec. Il appert donc que la Certification ISO 27 034 est un des prérequis essentiels auxquels doivent répondre Hydro-Québec et Landis + Gyr avant de seulement songer à implanter une nouvelle technologie gérant les comptes personnels de toute une population qui paie pour ces services et qui s’attend à de hauts standards de qualité et de sécurité.

Vous trouverez un aperçu de ce que gère la norme ISO/IEC 27034, ICI

Le hic, c’est que vous pouvez acheter une norme ISO. Ensuite, vous devez transformer vos processus de gestion et de fabrication en fonction de cette norme. Par la suite, lorsque la certification est possible, l’étape suivante consistera à obtenir la certification qui correspond au pays où vous désirez opérer pour avoir le droit de vous servir de cet incitatif afin de mettre votre clientèle potentielle en confiance. Cette certification n’est pas attribuée par ISO, mais bien par des organismes de certifications indépendants qui ne sont pas pour l’instant en mesure d’évaluer cette certification. Si notre compréhension est exacte, la démarche de certification sera donc valide en fonction des pays dans lesquels l’organisme de certification sera reconnu. Donc, si vous voulez opérer en utilisant la certification ISO pour valider la qualité de votre démarche et de votre produit, pour une même norme, vous devez vous certifier plusieurs fois en fonction des pays où vous voulez étendre vos activités.

Voici les précisions que Landis + Gyr mentionne sur son site internet concernant les normes auxquelles elle dit se conformer :

• 27 mars 2014, obtention de la certification ISO 27001 en Europe, mais pas pour tous les pays. D’après mes recherches, ils sont certifiés en Suisse, en Grèce et dans 3 pays du Royaume-Uni, mais il n’est pas précisé lesquels!!! Ils ont commencé les démarches pour la France, mais n’obtiendront pas la certification avant juin 2015. Aucune mention n’est faite pour le Canada… Voilà qui suscite donc de sérieuses questions!!!
• Landis +Gyr affirment avoir obtenu la certification ISO 50001. Cependant, ils ne fournissent aucune indication à propos de la date de l’obtention et des pays dans lesquels ils sont certifiés. Me semble que quand on est certifié quelque part, on a avantage à le préciser… N’est-ce pas surprenant un brin???
• Quant à l’adoption et à l’intégration des processus recommandés par la norme ISO 27034, il n’en n’est fait aucune mention sur le site de Landis + Gyr. La certification n’étant pas encore disponible compte tenu du fait que la norme soit récente, la norme peut tout de même être intégrée dans les processus de gestion et de fabrication.

Nous espérons que ce complément d’information sera utile et qu’il n’aura pas été trop ardu de le lire. Mais, nous estimons important de partager ce que nous savons à ce sujet.

Jocelyne Breton

De l’équipe Lévis refuse les compteurs

levis.refuse@gmail.com