Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Norme internationale Publiée

ISO 27099 Norme

La norme internationale dédiée à la gestion du cycle de vie des certificats PKI, qui couvre directement les workflows de découverte, gouvernance et automatisation pour les prestataires de services de confiance et les organisations utilisatrices de certificats.

En bref

Statut
Publiée
Type
Norme internationale
Portée
PKI et services de confiance

Vue d'ensemble

L'ISO/IEC 27099 (PKI — Pratiques et cadre de politique) fournit une norme complète spécifiquement destinée aux organisations exploitant une PKI et des services de confiance. Contrairement à ISO 27001, qui couvre la sécurité de l'information de manière générale, ISO 27099 se concentre exclusivement sur les pratiques PKI : politiques de certificats, déclarations des pratiques de certification, gestion des clés, cycle de vie des certificats et opérations des services de confiance.

La norme comble le fossé entre la gestion de la sécurité de haut niveau (ISO 27001) et les exigences opérationnelles PKI (standards ETSI EN 319). Elle offre un cadre structuré que les opérateurs d'AC, les autorités d'enregistrement et les prestataires de services de confiance peuvent utiliser pour formaliser et valider leurs pratiques.

À mesure que les cadres réglementaires exigent de plus en plus une conformité PKI démontrable, ISO 27099 est devenue la référence définitive pour les organisations qui souhaitent prouver que leurs opérations de gestion des certificats respectent les meilleures pratiques internationales.

Exigences clés

Cadre de politique de certificat (CP)

Définir des politiques de certificats complètes régissant l'émission, l'utilisation, la suspension et la révocation pour chaque type de certificat géré par l'organisation.

Déclaration des pratiques de certification (CPS)

Tenir à jour une CPS détaillée décrivant la manière dont l'AC met en œuvre ses politiques de certificats, incluant procédures opérationnelles, contrôles de sécurité et pratiques d'audit.

Cycle de vie de la gestion des clés

Mettre en œuvre une gestion des clés de bout en bout couvrant la génération, la distribution, le stockage, la sauvegarde, la récupération, la rotation, l'archivage et la destruction sécurisée des clés cryptographiques.

Opérations du cycle de vie des certificats

Gérer le cycle de vie complet des certificats incluant l'enregistrement, l'émission, la validation, le renouvellement, le re-keying, la suspension, la révocation et la publication du statut (OCSP/CRL).

Pratiques des prestataires de services de confiance

Établir des pratiques opérationnelles pour les prestataires de services de confiance, incluant la sécurité physique, la vérification du personnel, la gestion des incidents et la continuité d'activité.

Appréciation des risques et contrôles PKI

Réaliser des appréciations des risques propres à la PKI couvrant les menaces sur les opérations d'AC et les scénarios de compromission des clés, et mettre en œuvre des contrôles de sécurité proportionnés.

Grandes étapes

19
2019

Lancement des travaux

Les travaux débutent au sein de l'ISO/IEC JTC 1/SC 27 pour créer une norme dédiée aux pratiques et au cadre de politique PKI.

22
2022

Publication d'ISO/IEC 27099:2022

La norme est officiellement publiée, offrant le premier cadre international complet spécifiquement consacré aux opérations PKI et aux pratiques des services de confiance.

23
2023

Adoption par les TSP et opérateurs d'AC

Les prestataires de services de confiance et les opérateurs d'autorité de certification commencent à adopter la norme pour formaliser leurs pratiques PKI et leurs politiques de certificats.

24
2024 En vigueur

Reconnaissance réglementaire croissante

Les cadres réglementaires se réfèrent de plus en plus à ISO 27099 comme référence de conformité PKI, renforçant son rôle dans les évaluations de conformité.

25
2025 Application

Alignement sur la PKI post-quantique

Évolution continue pour répondre aux exigences de cryptographie post-quantique et alignement sur les standards PKI émergents pour la crypto-agilité.

Impact sur la PKI et les certificats

En tant que norme dédiée aux opérations PKI, ISO 27099 a un impact direct et complet sur la gestion des certificats. Voici les domaines clés :
1

Norme directe pour les opérations PKI

ISO 27099 est conçue spécifiquement pour la PKI, en fournissant des exigences précises pour les opérations du cycle de vie des certificats, bien au-delà des contrôles génériques de sécurité de l'information.

2

Cadre CP/CPS pour les opérateurs d'AC

Tous les opérateurs d'autorité de certification doivent maintenir des politiques de certificats et des déclarations des pratiques de certification formelles, conformes aux exigences structurées de la norme.

3

Gestion des clés de la génération à la destruction

La norme impose une gestion complète des clés couvrant l'ensemble du cycle de vie — de la génération sécurisée jusqu'à la destruction, en passant par la distribution, le stockage, la rotation et l'archivage.

4

Standards de validation et de révocation des certificats

Exigences formelles relatives aux services de validation (OCSP, CRL) et à la gestion de la révocation, garantissant aux parties utilisatrices de pouvoir vérifier le statut des certificats de manière fiable.

Comment nous aidons

Evertrust & ISO 27099

Mise en œuvre complète du cycle de vie des certificatsHorizon met en œuvre le cycle de vie complet des certificats défini par ISO 27099, de l'enregistrement et de l'émission au renouvellement, à la suspension et à la révocation.

Alignement sur les pratiques TSPStream s'aligne sur les exigences ISO 27099 applicables aux prestataires de services de confiance, en délivrant des fonctions CA/RA/VA/TSA avec OCSP, CRL et horodatage RFC 3161.

Application automatisée de la CP/CPSLe moteur de politiques intégré applique automatiquement la conformité à la politique de certificat et à la CPS, garantissant que chaque certificat émis respecte les pratiques documentées.

Pistes d'audit complètesGénérez des pistes d'audit détaillées et des rapports de conformité pour les évaluations ISO 27099, avec une traçabilité totale sur l'ensemble des opérations PKI.

Parler à un expert Découvrir Stream
Retour au centre de conformité Bénéficiez de conseils d’experts