Face à la généralisation du recours à la biométrie, un moyen efficace de vérification des identités, il est essentiel d’en assurer la sécurité.
Les menaces qui pèsent sur les systèmes biométriques peuvent prendre la forme d’attaques de présentation, à savoir des attaques visant à contourner la politique de sécurité d’un système en présentant des caractéristiques biométriques naturelles ou des artefacts dotés de caractéristiques dupliquées ou falsifiées.
Les différentes parties de la norme ISO/IEC 19989, Sécurité de l’information – Critères et méthodologie pour l’évaluation de la sécurité des systèmes biométriques, viennent tout juste d’être publiées afin de prévenir ce type d’attaques. Cette série fait le lien entre ISO/IEC 19792, qui définit les principes d’évaluation des produits et systèmes biométriques, et la série ISO/IEC 15408 et la norme ISO/IEC 18045, qui définissent les critères et les exigences méthodologiques pour l’évaluation de la sécurité.
ISO/IEC 19989-1, Sécurité de l’information – Critères et méthodologie pour l’évaluation de la sécurité des systèmes biométriques – Partie 1: Cadre, fixe un cadre général pour l’évaluation de la sécurité des systèmes biométriques, et notamment des composants fonctionnels de sécurité étendue, ainsi que des activités additionnelles relatives à la méthodologie.
ISO/IEC 19989-2, Sécurité de l’information – Critères et méthodologie pour l’évaluation de la sécurité des systèmes biométriques – Partie 2: Efficacité de reconnaissance biométrique, établit des exigences et recommandations pour les développeurs et évaluateurs de systèmes biométriques pour les activités additionnelles relatives à la performance de la reconnaissance biométrique spécifiées dans ISO/IEC 19989-1.
ISO/IEC 19989-3, Sécurité de l’information – Critères et méthodologie pour l’évaluation de la sécurité des systèmes biométriques – Partie 3: Détection d’attaque de présentation, concerne l’évaluation de la sécurité en matière de détection d’attaque de présentation par le biais de l’application de la série ISO/IEC 15408. Elle fournit des recommandations et des exigences aux développeurs et évaluateurs des activités additionnelles relatives à la détection d’attaque de présentation spécifiées dans ISO/IEC 19989-1.
ISO/IEC 19989 a été élaborée par le sous-comité SC 27, Sécurité de l’information, cybersécurité et protection de la vie privée, du comité technique mixte ISO/IEC JTC 1, le comité de l’ISO et de la Commission électrotechnique internationale (IEC) chargé des technologies de l’information. Le secrétariat du SC 27 est assuré par le DIN, membre de l’ISO pour l’Allemagne.
Les différentes parties de cette norme sont disponibles auprès du membre de l’ISO dans votre pays ou sur l’ISO Store.