SNV

Données biométriques en ligne

La biométrie, dont les deux moyens principaux sont les empreintes digitales et l’iris, est de plus en plus utilisée comme un mode fiable d’authentification pour les opérations en ligne. Mais comment être sûr que ces données ne seront pas exposées à des risques? L’ISOISO
International Organization for Standardization
et la Commission électrotechnique internationale (IECIEC
International Electrotechnical Commission
) ont publié conjointement une nouvelle norme internationale, ISOISO
International Organization for Standardization
/CEI 24745:2011
«Technologies de l'information – Techniques de sécurité – Protection des informations biométriques», visant à assurer la sécurité et la confidentialité dans l’administration et le traitement des informations biométriques.

La biométrie désigne l’identification automatisée des individus fondée sur leurs caractéristiques comportementales et physiologiques. Elle englobe les technologies de reconnaissance à partir de la capture de l’image du visage, de l’iris ou de la paume de la main, ou encore de la signature vocale et d’autres éléments du même type, tels que le balayage d’empreintes digitales pour accéder à un ordinateur ou la lecture de l’iris pour franchir le contrôle aux frontières.

Pour M. Myung Geun Chun, rédacteur de projet pour l’ISOISO
International Organization for Standardization
/CEI 24745: «Face au recours croissant à l’Internet pour accéder à des services impliquant des informations hautement sensibles, comme les services bancaires en ligne et les soins de santé à distance, la fiabilité et la robustesse des mécanismes d’authentification sont capitales. La biométrie est perçue comme une solution de poids en raison du lien unique établi avec un individu qu’il est quasiment ou absolument impossible de falsifier.»

«La technologie a, par ailleurs, atteint une certaine maturité. Le coût des techniques biométriques va diminuant à mesure que leur fiabilité et leur utilisation augmente. Mais l’identification biométrique est source d’inquiétudes spécifiques en matière de confidentialité.»

«Alors que d’une part, le rattachement immuable et unique à une personne offre une garantie solide d’authentification, ce lien, qui associe la biométrie à des informations personnellement identifiables, s’accompagne d’autre part de certains risques, notamment le traitement et l’utilisation illicites des données. La norme ISOISO
International Organization for Standardization
/CEI 24745 est un outil inestimable pour aborder ces risques.»

Dans la biométrie, si les informations d’authentification sont utilisées à mauvais escient, il n’est pas possible de recourir aux solutions usuelles qui consistent à changer le mot de passe ou le badge d’identification, car il est difficile, voire impossible de modifier les caractéristiques biométriques. En outre, alors qu’un nombre toujours plus grand d’informations personnellement identifiables sont associées à des références biométriques, et que ces données sont communiquées au-delà des frontières, il est indispensable d’assurer la sécurité d’un système biométrique et de protéger la confidentialité des données des sujets concernés avec de solides contre-mesures telles que celles énoncées dans la norme ISOISO
International Organization for Standardization
/CEI 24745.

La norme spécifie différents éléments:

  • Analyse des menaces et contre-mesures inhérentes aux modèles biométriques et modèles d’application de système biométrique
  • Exigences de sécurité pour rattacher une référence biométrique à une référence d’identité
  • Modèles d’application de système biométrique comportant divers scénarios pour le stockage et la comparaison des références biométriques
  • Lignes directrices relatives à la protection des renseignements personnels d’un individu lors du traitement des informations biométriques


ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
24745:2011 «Technologies de l'information – Techniques de sécurité – Protection des informations biométriques» a été élaborée par le comité technique mixte ISOISO
International Organization for Standardization
/CEI JTC 1 «Technologies de l’information» sous-comité SCSC
Subcommittee
27 «Techniques de sécurité des technologies de l'information».

Source: ISOISO
International Organization for Standardization
News and Media, 11 août 2011

Le comité compétent suisse est l’INBINB
Secteur interdisciplinaire de normalisation
/CNCN
Comité de Normalisation
149 «Technologies de l'information».


Votre interlocutrice pour de plus amples informations:
Ruth Schneider, e-mail: ruth.schneidersnv.ch, téléphone.: +41 (0)52 224 54 28

Normes déjà publiées sur ce thème:
ISO/IEC 24745:2011 (anglais)
Toutes les publications

Téléchargement de fichiers PDF après inscription gratuite sur www.mysnv.ch