Commission d'études 17 de l'UIT-T - Sécurité
Les travaux visant à instaurer la confiance et la sécurité dans l'utilisation des technologies de l'information et de la communication (TIC) continuent de s'intensifier afin de renforcer la sécurité dans les infrastructures, les services et les applications de réseau.
La Commission d'études 17 (CE 17) de l'UIT-T coordonne les travaux menés par toutes les Commissions d'études de l'UIT-T dans le domaine de la sécurité. Elle collabore souvent avec d’autres organismes de normalisation ainsi qu’avec divers groupements industriels du secteur des TIC.
Les travaux de la Commission d'études 17 ont trait à la cybersécurité, à la gestion de la sécurité, aux architectures et cadres de sécurité, à la lutte contre le spam, à la gestion d'identité, à la protection des informations d'identification personnelle, aux aspects opérationnels de la protection des données, au cadre sécurisé pour les technologies OpenID, à la sécurité quantique et à la protection en ligne des enfants.
La CE 17 mène également des travaux sur la sécurité des applications et des services pour l'Internet des objets (IoT), les réseaux électriques intelligents, les téléphones intelligents, les réseaux pilotés par logiciel, les services web, l’analyse des mégadonnées, les réseaux sociaux, l’informatique en nuage, les services bancaires sur mobile, la TVIP, la technologie des registres distribués, les systèmes de transport intelligents, la télébiométrie, la lutte contre la contrefaçon et le vol de dispositifs mobiles, les IMT-2020/la 5G, les technologies de données d’incidents fondées sur le nuage, la cybersanté et les systèmes d’identification par radiofréquence.
Le Manuel de l'UIT-T sur la sécurité est un exposé sur les travaux de l'UIT-T dans le domaine de la sécurité et présente brièvement la manière dont l'UIT-T fait face aux problèmes de cybersécurité à l'échelle mondiale, en élaborant des normes internationales (Recommandations UIT-T), des rapports techniques et des documents d'orientation et en prenant des initiatives de sensibilisation. Le Rapport technique de l'UIT-T sur l'utilisation efficace des normes de sécurité donne des exemples de la façon dont les Recommandations UIT-T contribuent à protéger les réseaux, les populations, les données et l'infrastructure essentielle et fournit des orientations particulièrement utiles aux professionnels de la sécurité issus de pays en développement.
Aperçu des activités de la Commission
L'une des principales références parmi les normes de sécurité en vigueur est la Recommandation UIT-T X.509 relative à l'authentification électronique sur les réseaux publics. Pièce maîtresse pour la conception des applications relatives aux infrastructures de clé publique (PKI), cette norme est utilisée pour une vaste gamme d'applications allant de la sécurisation de la connexion entre un navigateur et un serveur sur Internet à la fourniture de signatures numériques permettant aux transactions de commerce électronique d'avoir lieu avec le même degré de confiance que pour une transaction traditionnelle.
Les spécifications CYBEX (techniques d'échange d'informations sur la cybersécurité) définies dans la série de Recommandations UIT-T X.1500 rassemblent les meilleures normes mises au point par les organismes publics et le secteur industriel afin de garantir une réponse rapide et coordonnée au niveau international face aux cybermenaces et aux cyberattaques. L'ensemble de techniques CYBEX décrivent une façon normalisée d'échanger les informations sur la cybersécurité dont ont besoin les équipes d'intervention en cas d'incident informatique (CIRT). La Recommandation UIT-T X.1215 présente divers cas d'utilisation dans lesquels le langage STIX (expression structurée d'informations sur les menaces) peut être utilisé pour faciliter l'échange d'informations et de renseignements sur les cybermenaces. En outre, la Recommandation UIT-T X.1205 donne une définition de la cybersécurité et une taxonomie des menaces de sécurité et présente les menaces dans les diverses couches d'un réseau, ainsi que les outils les plus couramment utilisés par les pirates.
La Recommandation X.805 permet aux entreprises et aux opérateurs de réseaux de télécommunication de donner une description des éléments architecturaux de bout en bout du point de vue de la sécurité.Elle définit des spécifications qui modifient le regard que les sociétés portent sur leurs réseaux, leur permettant ainsi de localiser toutes les vulnérabilités d'un réseau et d'y remédier.
La Recommandation UIT-T X.1051 favorise la mise en oeuvre de contrôles de la sécurité des informations dans les organisations de télécommunications et donne des orientations pour satisfaire aux exigences de base en matière de gestion de la sécurité des informations, notamment en ce qui concerne la confidentialité, l'intégrité et la disponibilité.
La Recommandation UIT-T X.1254 fournit un cadre de garantie d'authentification des entités permettant de vérifier l'identité numérique d'une entité. La garantie est au cœur de la confiance, de la sécurité et du contrôle d'accès. Cette Recommandation recense trois types de garantie permettant d'instaurer la confiance dans une identité numérique: la garantie d'identité, la garantie d'authentification et la garantie de fédération.
La Recommandation UIT-T X.1141 définit le langage de balisage d'assertion de sécurité (SAML 2.0), qui est un cadre fondé sur XML pour l'échange d'informations de sécurité, lesquelles sont exprimées sous la forme d'assertions sur des sujets, où un sujet est une entité (un humain ou un ordinateur) qui a une identité dans un certain domaine de sécurité.
Parmi les normes élaborées par la CE 17, on peut également citer les stratégies techniques de lutte contre le spam (Recommandation UIT-T X.1231); les capacités pour lutter contre les menaces de sécurité dans l'environnement de l'IoT au moyen de paserelles de sécurité (Recommandation UIT-T X.1361); un cadre de sécurité applicable à l'informatique en nuage (Recommandation UIT-T X. 1601); et un système d'authentification biométrique permettant de vérifier la propriété des certificats numériques fondés sur la norme UIT-T X.509 (Recommandation UIT-T X.1085).
La sécurité à l'épreuve des attaques quantiques et les aspects relatifs à la sécurité des systèmes de transport intelligent et des technologies de registres distribués sont des thèmes qui gagnent rapidement de l'importance dans le cadre des travaux de la CE 17, qui a élaboré des normes traitant de considérations pertinentes pour la conception, la mise en oeuvre et l'exploitation de la gestion des clés pour les réseaux de distribution de clés quantiques (Recommandation UIT-T X.1712); une analyse des menaces pour la sécurité des véhicules connectés (Recommandation UIT-T X.1371); et des termes et définitions de référence concernant la technologie des registres distribués (Recommandation UIT-T X.1400).
Par ailleurs, la CE 17 réalise des études sur les langages techniques et les techniques de description, comme la notation de syntaxe abstraite numéro un (ASN.1) (définie dans les Recommandations UIT-T de la série X.680-699), un langage formel qui constitue une composante importante des spécifications de protocole ou de la conception des systèmes. Ce langage est utilisé par exemple dans le cadre du Système de signalisation N° 7 (SS7) pour la plupart des appels téléphoniques, le suivi des colis, la vérification des cartes de crédit, les certificats numériques et de nombreux logiciels parmi les plus utilisés.
