La poussée constante vers la digitalisation de la société entraîne une multiplication des services accessibles en ligne, faisant en sorte que les réseaux de communication informatiques prennent une importance croissante. L’un des piliers fondamentaux soutenant la sécurité ces échanges est la cryptographie à clé publique, qui permet de manière efficiente l’identification prouvée des acteurs en jeu, et la distribution entre eux de clés de chiffrement pour garantir entres autres choses la confidentialité et l’intégrité des données transmises. La nouvelle norme ISO/IEC 27099:2022 Information technology — Public key infrastructure — Practices and policy framework – développée par le sous-comité de normalisation ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection - vise à soutenir la mise en place et la gestion des infrastructures à clés publiques (public-key infrastructure, ou PKI) sous-jacentes à l’utilisation de ces techniques, en proposant un cadre d’exigences pour une autorité de certification en fonction notamment des politiques de certification et déclarations de pratiques de certification. Le cadre d’exigences proposé est construit de telle sorte à s’intégrer à un système de management de la sécurité de l’information sous-jacent, tel que défini par la norme ISO/IEC 27001.
L’un des acteurs les plus importants au sein d’une PKI est l’autorité de certification (Certification Authority, ou CA) dont le rôle est de produire des certificats liant l’identité d’une entité à une clé publique qui lui est propre. Ainsi, tout acteur souhaitant accéder à un service de l’entité en question peut, en vérifiant la validité du certificat, s’assurer de son authenticité. (Ce type de vérification est souvent faite de manière automatique et invisible pour une grande quantité de services du quotidien. En guise d’exemple, les navigateurs d’internet communs sont munis d’un certain type de certificats, dénommés “certificats racines”, qui permettent de déterminer l’authenticité de certains sites internet lorsque ceux-ci sont visités.) Dans cet écosystème, les règles précises dictant en particulier à quelles fins un certificat peut être utilisé sont explicitées dans une politique de certification (Certificate Policy, ou CP) et les pratiques et contrôles d’une CA en matière de création, de maintien, de renouvellement et de révocation d’un certificat sont décrites dans une déclaration de pratiques de certification (Certification Practice Statement, ou CPS).
La nouvelle norme ISO/IEC 27099:2022 Information technology — Public key infrastructure — Practices and policy framework propose un cadre intégrant à un système de management de la sécurité de l’information (Information Security Management System, ou ISMS) des exigences de sécurité spécifiques qu’une CA se doit de respecter afin que l’ISMS tienne compte du CPS, en soutien à la CP. Ainsi, la portion du document spécifiant ce cadre est structurée de manière similaire à la norme bien connue ISO/IEC 27001 décrivant un ISMS de manière générale. La 27099 contient en particulier des contrôles supplémentaires concernant le management par la CA du cycle de vie complet des certificats, que ce soit une CA racine ou non.
Cette norme a été coéditée par M. Clément Gorlt, de l’INCERT GIE, délégué en normalisation technique inscrit dans le comité technique international ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection par le Luxembourg. Il explique ci-dessous la valeur ajoutée par ce document dans l’espace des services de confiance numériques :
« Aujourd’hui, nous sommes tous témoins de la transformation numérique. Et si elle nous apporte énormément d’avantages, elle s'accompagne également de certains défis. La plupart des informations sont transmises numériquement et reposent sur une infrastructure à clé publique. Dans ce contexte, les acteurs échangent des clés cryptographiques, et par conséquent, l'un des objectifs fondamentaux est de préserver la confidentialité et l'intégrité des données. Avec la publication d'une nouvelle norme ISO/IEC 27099:2022, nous avons souhaité généraliser des standards existants afin de pouvoir englober en un seul standard générique les différentes pratiques par secteur (financier, automobile, etc.). Dans cette norme, nous avons voulu définir un ensemble d'exigences pour les autorités de certification (CA), qui doivent être suivies dans le cadre des politiques de certification. La rédaction de cette norme, avec mon co-éditeur Tony Seymour, a commencé en 2018, après un travail préliminaire datant de 2017, nous sommes donc particulièrement ravis que la norme ait finalement été publiée cette année. »
Au Grand-Duché, dans le cadre de ses missions légales, le département de la Confiance Numérique de l’ILNAS suit activement le développement des normes européennes et internationales, en particulier en lien avec la thématique de prestation de services de confiance. Par ailleurs, tout acteur économique du Luxembourg a également la possibilité de participer à l’élaboration de normes européennes ou internationales en s’inscrivant comme délégué national en normalisation dans des comités techniques de l’ISO, de l’IEC, du CEN, ou du CENELEC via l’ILNAS.