période 2005-2008
Issu du site
www.itu.int/ITU-T/studygroups/com17/questions.html
Questions attribuées à la Commission d’études 17 de l’UIT-T (période d’études 2005-2008)
Commission d’études 17: Sécurité, langages et logiciels de télécommunication
Question 2/17 – Services d'annuaire, systèmes d'annuaire et certificats d'attributs et de clés publiques
2.1 Services d'annuaire
a) Quelles définitions et quels profils de services nouveaux faut-il adopter pour tirer parti de techniques d'annuaire aussi répandues que X.500 et LDAP, par exemple?
b) Quelles modifications faut-il apporter aux Recommandations des séries E et F et/ou quelles nouvelles Recommandations faut-il élaborer pour spécifier les améliorations à apporter aux définitions et profils de services d'annuaire existants et pour en corriger les défauts?
2.2 Systèmes d'annuaire
a) Quelles améliorations faut-il apporter à l'annuaire afin de l'adapter aux besoins des utilisateurs actuels et potentiels, par exemple obtention d'une meilleure homogénéité des informations d'annuaire dans les sites où elles sont recopiées, opération de prise en charge des informations ajoutées aux attributs d'annuaire par les utilisateurs, amélioration de la qualité de fonctionnement lors de l'extraction d'un nombre élevé de réponses ou solutions proposées pour régler les cas de confusion liée à la détention sous des noms identiques d'informations différentes par plusieurs fournisseurs de services d'annuaire?
b) Quelles autres améliorations faut-il apporter à l'annuaire pour autoriser l'interfonctionnement avec des services mis en œuvre à l'aide de la spécification LDAP de l'IETF, y compris l'utilisation éventuelle de XML pour l'accès aux annuaires, ainsi que leur prise en charge?
c) Quelles autres améliorations faut-il apporter à l'annuaire et aux certificats d'attributs et de clés publiques pour permettre leur utilisation dans des environnements limités en ressources, par exemple, les réseaux hertziens et les réseaux multimédias?
d) Quelles autres améliorations faut-il apporter à l'annuaire pour en améliorer l'intégration dans des domaines tels que les services de réseau intelligent, de réseaux de télécommunication et d'annuaire publics?
e) Quelles modifications faut-il apporter aux Recommandations de la série X.500 et/ou quelles sont les nouvelles Recommandations à élaborer pour mieux définir les améliorations de l'annuaire et pour trouver des solutions à ses imperfections?
L'étude consacrée aux systèmes d'annuaire sera réalisée en coopération avec le JTC 1 de l'ISO/CEI dans le cadre du travail qu'il consacre à l'extension de la norme ISO/CEI 9594, texte commun aux Recommandations X.500-X.530. Une liaison et une étroite coopération seront en outre maintenues avec l'IETF, en particulier dans les domaines du LDAP.
2.3 Certificats d'attributs et de clés publiques
a) Quelles autres améliorations faut-il apporter aux certificats d'attributs et de clés publiques
b) Quelles autres améliorations faut-il apporter aux certificats d'attributs et de clés publiques pour accroître leur utilité dans des domaines tels que la biométrie, l'authentification, la commande d'accès et le commerce électronique?
c) Quelles modifications faut-il apporter à la Recommandation X.509 pour mieux définir les améliorations de la Recommandation X.509 et pour trouver des solutions à ses imperfections?
L'étude consacrée aux certificats d'attributs et de clés publiques sera réalisée en coopération avec le JTC 1 de l'ISO/CEI dans le cadre du travail qu'il consacre à l'extension de la norme ISO/CEI 9594-8, texte commun à la Recommandation X.509. Une liaison et une étroite coopération seront en outre maintenues avec l'IETF, en particulier dans les domaines de la PKI.
Question 4/17 – Projet relatif à la sécurité des systèmes de communication (Suite de la Question G/17)
Le domaine de la sécurité est vaste et couvre de nombreux sujets. La sécurité peut être appliquée à la quasi-totalité des aspects des technologies des télécommunications et de l'information. Pour spécifier les exigences de sécurité, il est possible de choisir entre deux méthodes:
– La méthode ascendante, en vertu de laquelle les experts du domaine élaborent des mesures de sécurité visant à renforcer et à protéger le domaine du réseau qui leur incombe, par exemple, biométrie, cryptographie, etc. Cette méthode est la plus répandue mais l'étude de la sécurité, telle qu'elle est effectuée dans les différentes organisations, est fragmentée.
– La méthode descendante offre une vision stratégique et de haut niveau de la sécurité. Dans cette méthode, il est indispensable d'avoir un aperçu général de la situation. Cette méthode est aussi la plus complexe car il est plus difficile de trouver des experts qui possèdent une connaissance détaillée de chaque partie du réseau et de leurs exigences de sécurité, que des experts du sujet qui possèdent, quant à eux, une connaissance spécifique d'un ou deux domaines.
– Une autre solution consiste à combiner les deux méthodes précitées, étant entendu qu'elle suppose une coordination indispensable. Cette façon de procéder a souvent posé de nombreux problèmes, en raison des différents intérêts et programmes dont il faut tenir compte.
La présente Question vise à fixer de grands principes mais aussi à assurer la coordination et l'organisation de toute la gamme des activités à déployer dans le domaine de la sécurité des communications à l'UIT-T. La méthode descendante sera utilisée en collaboration avec d'autres Commissions d'études et d'autres organisations de normalisation. Ce projet vise à mettre en place une méthode plus ciblée au niveau des projets et des stratégies.
Questions
a) Quels sont les résultats attendus du projet relatif à la sécurité des systèmes de communication?
b) Quels sont les processus, sujets d'étude, méthodes de travail et délai à prévoir pour obtenir les résultats attendus dans le cadre du projet?
c) Quels recueils de textes et quels manuels sur la sécurité devront être élaborés et mis à jour par l'UIT?
d) Quels ateliers sur la sécurité faudra-t-il organiser?
e) Quelles mesures faut-il prendre pour nouer des relations efficaces avec d'autres organisations de normalisation en vue de progresser dans le domaine de la sécurité?
f) Quels sont les principales étapes et les critères déterminants du succès?
g) Comment stimuler l'intérêt des Membres du Secteur et des administrations et les encourager à poursuivre les efforts engagés dans le domaine de la sécurité?
h) Comment faire en sorte que les fonctions de sécurité retiennent davantage l'attention du marché?
i) Comment bien faire comprendre aux gouvernements qu'il est indispensable et urgent de protéger les intérêts économiques au niveau mondial, qui dépendent d'une infrastructure robuste et sécurisée des télécommunications?
Question 5/17 – Architecture et cadre général de la sécurité
Compte tenu des dangers qui menacent la sécurité du secteur de la communication et des progrès réalisés dans le domaine des contre-mesures de protection, il convient d'explorer les nouveaux besoins en matière de sécurité ainsi que leurs solutions.
Il convient d'étudier à la fois la sécurité applicable aux nouveaux types de réseaux et la sécurité applicable aux nouveaux services.
2 Questions
a) Comment faut-il définir une solution complète et cohérente en matière de sécurité de communication?
b) Quelle architecture faut-il appliquer pour une solution complète et cohérente en matière de sécurité de communication?
c) Quel est le cadre d'application de l'architecture de sécurité pour élaborer une nouvelle solution de sécurité?
d) Sur quel cadre d'application de l'architecture de sécurité faut-il s'appuyer pour évaluer (et donc améliorer) une solution de sécurité existante?
e) Quelles sont les bases architecturales de la sécurité?
i) Quelle est l'architecture de sécurité des technologies émergentes?
ii) Quelle est l'architecture pour la sécurité de bout en bout?
iii) Quelle est l'architecture de sécurité pour l'environnement mobile?
iv) Quelles architectures de sécurité technique sont nécessaires? Par exemple:
a) Quelle est l'architecture de sécurité pour les systèmes ouverts?
b) Quelle est l'architecture de sécurité pour les réseaux IP?
c) Quelle est l'architecture de sécurité pour le réseau NGN?
f) Comment convient-il de modifier les Recommandations sur les modèles de sécurité des couches supérieures et inférieures afin de les adapter à l'évolution de l'environnement et quelles nouvelles Recommandations peuvent être nécessaires?
g) Comment faut-il structurer les normes architecturales en ce qui concerne les Recommandations existantes sur la sécurité?
h) Comment convient-il de modifier les Recommandations définissant le cadre de sécurité pour les adapter aux technologies émergentes et quelles nouvelles Recommandations peuvent être nécessaires?
i) Comment interviennent les services de sécurité pour proposer des solutions de sécurité?
Question 6/17 – Cybersécurité
De nombreux mécanismes de protection et de détection ont été mis en œuvre: pare-feux et systèmes de détection d'intrusion (IDS), mais la plupart d'entre eux privilégient uniquement les aspects techniques.
S'il est vrai que ces solutions techniques sont importantes, il est nécessaire d'étudier plus avant la cybersécurité du point de vue de la normalisation sur le plan international.
2 Questions
Il convient d'étudier les domaines ci-après de la cybersécurité:
• processus de distribution, de partage et de divulgation de l'information sur la vulnérabilité;
• procédure normalisée des opérations de traitement des incidents dans le cyberespace;
• stratégie de protection de l'infrastructure critique du réseau.
Question 7/17 – Gestion de la sécurité
2 Questions
a) Comment faut-il définir et gérer les dangers qui menacent les systèmes de télécommunication?
b) Comment faut-il déterminer et gérer les actifs en matière d'information des systèmes de télécommunication?
c) Comment faut-il identifier les questions qui concernent en particulier la gestion des entreprises de télécommunication?
d) Comment faut-il construire correctement des systèmes de gestion de la sécurité de l'information (ISMS) pour les opérateurs de télécommunication, conformément aux normes actuelles en matière d'ISMS?
e) Comment faut-il traiter et gérer les incidents de sécurité dans les télécommunications?
Question 8/17 – Télébiométrie (Suite de la Question K/17)
2 Questions
a) Comment peut-on améliorer l'identification et l'authentification des utilisateurs par l'utilisation de méthodes sécurisées de télébiométrie?
b) Comment la nouvelle partie de la Norme CEI 60027 «Sous-ensemble physiologique»
sera-t-elle utilisée à l'UIT-T pour fournir les éléments d'un modèle approprié de classement des dispositifs sécurisés de télébiométrie?
c) Comment utiliser les systèmes de référenciation des niveaux de sécurité pour incorporer les solutions de télébiométrie dans un ordre hiérarchique?
d) Comment faut-il identifier les technologies d'authentifications biométriques pour les télécommunications?
e) Comment faut-il identifier les spécifications des technologies d'authentifications biométriques pour les télécommunications à partir de la technologie de cryptographie comme l'infrastructure PKI?
f) Comment faut-il identifier le modèle et la procédure des technologies d'authentifications biométriques pour les télécommunications à partir de la technologie de cryptographie comme l'infrastructure PKI?
Question 9/17 – Services de communication sécurisés (Suite de la Question L/17)
2 Questions
a) Comment faut-il identifier et définir les services de communication sécurisés dans les services de communications mobiles ou les services du web?
b) Comment faut-il identifier et prendre en charge les menaces qui pèsent sur les services de communication?
c) Quelles sont les technologies de sécurité qui permettent de prendre en charge les services de communication sécurisés?
d) Comment maintenir une interconnectivité sécurisée entre les systèmes de communication?
e) Quelles techniques de sécurité sont nécessaires pour offrir des services de communication sécurisés?
f) Quelles techniques et quels protocoles de sécurité sont nécessaires pour les nouveaux services sécurisés du web?
g) Quels protocoles d'application sécurisés faut-il appliquer aux services de communication sécurisés?
h) Quelles sont les solutions de sécurité globales applicables aux services de communication