Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Norme internationale Actif

ISO 27001 Norme

La norme internationale de référence pour les systèmes de management de la sécurité de l'information (SMSI), dont la mesure 8.24 de l'annexe A impose la gestion du cycle de vie des clés cryptographiques et la gouvernance des certificats.

En bref

Statut
Actif
Type
Norme internationale
Portée
Toutes les organisations

Vue d'ensemble

ISO/IEC 27001:2022 est la norme internationalement reconnue pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de la sécurité de l'information (SMSI). Elle offre une approche systématique pour gérer les informations sensibles de l'organisation afin qu'elles restent protégées.

La révision 2022 a restructuré les mesures de l'annexe A, et la mesure 8.24 (Cryptographie) traite directement la gestion des clés cryptographiques et la gouvernance des certificats. Les organisations certifiées ISO 27001 doivent démontrer des processus robustes de génération, distribution, stockage, rotation, révocation et destruction des clés.

La norme s'applique à toute organisation, quelle que soit sa taille ou son secteur, ce qui en fait le cadre de sécurité de l'information le plus largement adopté dans le monde. Avec l'importance croissante des certificats numériques dans les infrastructures modernes, la mesure 8.24 de l'annexe A est devenue un contrôle critique pour les auditeurs et les organismes de certification.

Exigences clés

Cadre SMSI (Plan-Do-Check-Act)

Établir, mettre en œuvre, maintenir et améliorer en continu un système de management de la sécurité de l'information selon le cycle PDCA, avec un périmètre, un leadership et des objectifs clairs.

Annexe A 8.24 — Cryptographie

Définir et mettre en œuvre des règles de gestion des clés cryptographiques incluant la génération, la distribution, le stockage, la rotation, la révocation et la destruction des clés et certificats.

Annexe A 5.17 — Informations d'authentification

Gérer les informations d'authentification (certificats et identifiants compris) avec des contrôles sur l'attribution, la manipulation et le stockage sécurisé tout au long de leur cycle de vie.

Appréciation et traitement des risques (Article 6)

Réaliser des appréciations systématiques des risques identifiant les menaces pesant sur les actifs cryptographiques, et définir des plans de traitement incluant des contrôles appropriés de gestion des certificats.

Annexe A 8.5 — Authentification sécurisée

Mettre en œuvre des mécanismes d'authentification sécurisée incluant l'authentification par certificat, l'authentification multifacteur et la vérification d'identité pour l'accès aux systèmes.

Amélioration continue et audit (Article 10)

Surveiller, mesurer et améliorer en continu l'efficacité du SMSI au travers des audits internes, des revues de direction et des actions correctives sur les non-conformités.

Grandes étapes

05
2005

Première publication d'ISO 27001:2005

La norme internationale d'origine pour le SMSI est publiée, posant le cadre fondamental de la gestion de la sécurité de l'information dans le monde.

13
2013

Révision majeure d'ISO 27001:2013

Restructuration significative de la norme avec une annexe A mise à jour et un meilleur alignement sur les autres normes ISO de systèmes de management.

22
2022

Publication d'ISO 27001:2022

La dernière révision, publiée en octobre 2022, restructure les mesures de l'annexe A et introduit la mesure 8.24 sur la gestion du cycle de vie des clés cryptographiques.

24
2024 En vigueur

Échéance de transition

Les organisations détenant une certification ISO 27001:2013 doivent migrer vers la version 2022 avant l'échéance fixée par les organismes de certification.

25
2025 Application

Prise en compte du post-quantique

Évolution continue des contrôles cryptographiques pour intégrer la préparation post-quantique, avec une importance croissante accordée à la crypto-agilité dans les cadres SMSI.

Impact sur la PKI et les certificats

ISO 27001:2022 place les contrôles cryptographiques au cœur de la sécurité de l'information. Voici les domaines clés où la PKI est directement concernée :
1

Gestion complète du cycle de vie des clés cryptographiques

La mesure 8.24 de l'annexe A exige des processus documentés couvrant l'ensemble du cycle de vie des clés — génération, distribution, stockage, rotation, révocation et destruction — avec des pistes d'audit complètes.

2

Inventaire des certificats pour l'appréciation des risques

Un inventaire complet des certificats est essentiel pour l'appréciation des risques (Article 6) et constitue une preuve d'audit critique lors des audits de certification et de surveillance.

3

Gouvernance des certificats pilotée par les politiques

Les contrôles du SMSI exigent une gouvernance des certificats pilotée par des politiques, incluant les standards d'algorithmes, les durées de validité et les workflows d'approbation intégrés au système de management.

4

Intégration à la documentation du SMSI

Les contrôles PKI doivent être formellement documentés dans le SMSI, incluant les politiques de certificats, les procédures et les enregistrements démontrant la conformité continue.

Comment nous aidons

Evertrust & ISO 27001

Conformité à l'annexe A 8.24Horizon répond directement aux contrôles cryptographiques de l'annexe A 8.24, en fournissant l'outillage attendu par les auditeurs pour la gestion du cycle de vie des clés et des certificats.

Inventaire complet des certificatsDécouvrez chaque certificat de votre infrastructure pour bâtir l'inventaire exhaustif requis pour l'appréciation des risques et les preuves d'audit ISO 27001.

Cycle de vie des clés automatiséAutomatisez l'ensemble du cycle de vie, de la génération à la destruction, en supprimant les processus manuels et en réduisant le risque de non-conformités lors des audits.

Application des politiques alignée sur le SMSILe moteur de politiques intégré applique des standards de certificats alignés sur vos plans de traitement des risques SMSI, garantissant une conformité continue.

Parler à un expert Découvrir Horizon
Retour au centre de conformité Bénéficiez de conseils d’experts