Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Norme internationale Active

ISO/IEC 27099

La norme internationale dédiée à la gestion du cycle de vie des certificats PKI, cartographiant directement la découverte, la gouvernance et les flux de travail d'automatisation pour les fournisseurs de services de confiance et les organisations s'appuyant sur les certificats.

Faits rapides

Statut
Publié
Type
Norme internationale
Portée
PKI & Services de confiance
Publié
2022
Compléments
ISO 27001

Vue d'ensemble

ISO/IEC 27099 (PKI — Cadre de pratiques et de politiques) fournit une norme complète spécifiquement destinée aux organisations qui exploitent la PKI et les services de confiance. Contrairement à ISO 27001 qui couvre la sécurité de l'information de manière générale, ISO 27099 se concentre exclusivement sur les pratiques PKI : politiques de certificats, déclarations de pratiques de certification, gestion des clés, cycle de vie des certificats et opérations de services de confiance.

La norme comble le fossé entre la gestion de la sécurité de haut niveau (ISO 27001) et les exigences opérationnelles PKI (ETSI EN 319 standards). Elle fournit un cadre structuré que les opérateurs de CA, les autorités d’enregistrement et les fournisseurs de services de confiance peuvent utiliser pour formaliser et valider leurs pratiques.

À mesure que les cadres réglementaires exigent de plus en plus une conformité PKI démontrable, ISO 27099 est devenu la référence définitive pour les organisations cherchant à prouver que leurs opérations de gestion des certificats respectent les meilleures pratiques internationales.

Clé Exigences

Cadre de politique de certificat (CP)

Définir des politiques de certificat complètes régissant l'émission, l'utilisation, la suspension et la révocation pour chaque type de certificat géré par l'organisation.

Déclaration de pratique de certification (CPS)

Maintenir un CPS détaillé décrivant comment l'Autorité de Certification (CA) met en œuvre ses politiques de certificat, y compris les procédures opérationnelles, les contrôles de sécurité et les pratiques d'audit.

Cycle de vie de la gestion des clés

Mettre en œuvre une gestion des clés de bout en bout couvrant la génération, la distribution, le stockage, la sauvegarde, la récupération, la rotation, l'archivage et la destruction sécurisée des clés cryptographiques.

Opérations du cycle de vie des certificats

Gérer le cycle de vie complet des certificats, incluant l'enregistrement, l'émission, la validation, le renouvellement, le re-keying, la suspension, la révocation et le reporting d'état (OCSP/CRL).

Pratiques des fournisseurs de services de confiance

Établir des pratiques opérationnelles pour les fournisseurs de services de confiance, y compris la sécurité physique, la vérification du personnel, la gestion des incidents et la planification de la continuité des activités.

Évaluation des risques PKI & contrôles

Réaliser des évaluations des risques spécifiques à la PKI, en abordant les menaces aux opérations de l'Autorité de Certification, les scénarios de compromission de clés, et mettre en œuvre des contrôles de sécurité proportionnés.

Clé Jalons

19
2019

Développement initié

Les travaux commencent au sein de l'ISO/IEC JTC 1/SC 27 pour créer une norme dédiée aux pratiques PKI et aux cadres de politiques.

22
2022

ISO/IEC 27099:2022 publié

La norme est officiellement publiée, offrant le premier cadre international complet spécifiquement destiné aux opérations PKI et aux pratiques de services de confiance.

23
2023

Adoption par les TSP et les opérateurs CA

Les fournisseurs de services de confiance et les opérateurs d'autorité de certification commencent à adopter la norme pour formaliser leurs pratiques PKI et leurs politiques de certificats.

24
2024

Reconnaissance réglementaire croissante

Les cadres réglementaires font de plus en plus référence à ISO 27099 comme référence pour la conformité PKI, renforçant ainsi son rôle dans les évaluations de conformité.

25
2025 Actuel

Alignement PKI post-quantique

Évolution continue pour répondre aux exigences de cryptographie post-quantique et s'aligner sur les normes PKI émergentes pour l'agilité cryptographique.

Impact sur PKI & Certificates

En tant que norme dédiée aux opérations PKI, ISO 27099 a un impact direct et complet sur la gestion des certificats. Voici les domaines critiques :

1

Norme directe pour les opérations PKI

ISO 27099 est conçue spécifiquement pour le PKI, offrant des exigences précises pour les opérations du cycle de vie des certificats qui dépassent largement les contrôles génériques de sécurité de l'information.

2

Cadre CP/CPS pour les opérateurs de CA

Tous les opérateurs d'autorité de certification doivent maintenir des politiques de certificat formelles et des déclarations de pratiques de certification qui répondent aux exigences structurées de la norme.

3

Gestion des clés de la génération à la destruction

La norme impose une gestion complète des clés couvrant tout le cycle de vie — de la génération sécurisée à la distribution, au stockage, à la rotation, à l'archivage et à la destruction.

4

Normes de validation des certificats & de révocation

Exigences formelles pour les services de validation des certificats (OCSP, CRL) et la gestion de la révocation, garantissant que les parties dépendantes puissent toujours vérifier l'état du certificat de manière fiable.

Comment nous aidons

Evertrust & ISO 27099

Mise en œuvre complète du cycle de vie des certificats — Horizon met en œuvre le cycle de vie complet des certificats défini dans la norme ISO 27099, depuis l'enregistrement et l'émission jusqu'au renouvellement, à la suspension et à la révocation.

Alignement des pratiques TSP — Stream se conforme aux exigences des fournisseurs de services de confiance ISO 27099, offrant des capacités CA/RA/VA/TSA avec les services OCSP, CRL et d'horodatage RFC 3161.

Application automatisée des CP/CPS — Le moteur de politique intégré applique automatiquement la conformité aux politiques de certificat (CP) et aux procédures de certification (CPS), garantissant que chaque certificat émis respecte vos pratiques documentées.

Journaux d’audit complets — Générer des journaux d’audit détaillés et des rapports de conformité pour les évaluations de conformité ISO 27099, avec une traçabilité complète de toutes les opérations PKI.

Parler à un expert Découvrir Stream
Retour au Centre de conformité Obtenez des conseils d'expert