ISO/FDIS 17574

PROJET
Norme
internationale
ISO/DIS 17574
ISO/TC 204
Perception de télépéage — Lignes
Secrétariat: ANSI
directrices concernant les profils de
Début de vote:
protection de la sécurité
2025-07-18
Electronic fee collection — Guidelines for security protection
Vote clos le:
profiles
2025-10-10
ICS: 35.240.60; 03.220.20
CE DOCUMENT EST UN PROJET DIFFUSÉ
POUR OBSERVATIONS ET APPROBATION. IL
EST DONC SUSCEPTIBLE DE MODIFICATION
ET NE PEUT ÊTRE CITÉ COMME NORME
INTERNATIONALE AVANT SA PUBLICATION EN
TANT QUE TELLE.
Le présent document est distribué tel qu’il est parvenu du secrétariat
du comité. OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES
FINS INDUSTRIELLES, TECHNOLOGIQUES ET
COMMERCIALES, AINSI QUE DU POINT DE VUE
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
TRAITEMENT PARALLÈLE ISO/CEN
CONSIDÉRÉS DU POINT DE VUE DE LEUR
POSSIBILITÉ DE DEVENIR DES NORMES
POUVANT SERVIR DE RÉFÉRENCE DANS LA
RÉGLEMENTATION NATIONALE.
LES DESTINATAIRES DU PRÉSENT PROJET
SONT INVITÉS À PRÉSENTER, AVEC LEURS
OBSERVATIONS, NOTIFICATION DES DROITS
DE PROPRIÉTÉ DONT ILS AURAIENT
ÉVENTUELLEMENT CONNAISSANCE
ET À FOURNIR UNE DOCUMENTATION
EXPLICATIVE.
Numéro de référence
ISO/DIS 17574:2025(fr)
PROJET DE NORME INTERNATIONALE
ISO/DIS 17574:2025(fr)
ISO/DIS 17574:2025(fr)
Date: 2025-05-23
Secrétariat: ANSI
Perception de télépéage — Lignes directrices concernant les profils de protection de la
sécurité
Electronic fee collection — Guidelines for security protection profiles
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
ISO/DIS 17574:2025(fr)
Sommaire Page
Avant-propos . iv
Introduction . v
1 Domaine d'application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Termes abrégés . 2
5 Processus relatifs à l'architecture de sécurité et au profil de protection d'un EFC . 3
5.1 Généralités . 3
5.2 Architecture de sécurité d'un EFC . 3
5.3 Étapes préparatoires du profil de protection . 4
5.4 Relation entre les acteurs . 5
6 Présentation d'un profil de protection . 7
6.1 Structure . 7
6.2 Contexte . 8
Annexe A (informative) Procédures d'élaboration des documents . 10
Annexe B (informative) Exemple de méthode d'évaluation pour l'analyse des menaces . 51
Annexe C (informative) Normes de sécurité pertinentes dans le contexte de l'EFC . 57
Annexe D (informative) Accord de reconnaissance des critères communs (CCRA) . 58
Bibliographie . 60

iii
ISO/DIS 17574:2025(fr)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en
général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit
de faire partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales
et non gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore
étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne la
normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de brevets. Les détails concernant les références aux droits de
propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration du document sont
indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par l'ISO (voir
www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l'ISO liés à l'évaluation
de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux principes de l'organisation
mondiale OMC) concernant les obstacles techniques au commerce (OTC), voir le lien suivant:
www.iso.org/iso/foreword.html.
Le comité responsable de ce document est l'ISO/TC 204, Systèmes intelligents de transport.
Cette première édition annule et remplace la troisième édition de l'ISO/TS 17574, qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes :
— l'Article 3 a été mis à jour et l'ISO 17573-2 constitue la source principale pour les termes et
définitions;
— les exigences ont été mises à jour pour refléter la dernière version de la série ISO/IEC 15408.
iv
ISO/DIS 17574:2025(fr)
Introduction
Les systèmes de perception de télépéage (EFC) sont exposés à plusieurs formes de fraude, tant par les
utilisateurs que par les exploitants, mais également par des personnes extérieures au système. Il convient
de traiter ces menaces de sécurité à l'aide de différents types de mesures de sécurité, notamment par les
exigences de sécurité spécifiées.
Il est recommandé que les exploitants de systèmes EFC utilisent les lignes directrices fournies dans le
présent document pour établir leur propre profil de protection (PP) pour leur système EFC, car il convient
de décrire les exigences de sécurité du point de vue de l'exploitant.
Il convient de noter que les lignes directrices fournies dans le présent document sont destinées à être
lues conjointement avec les normes internationales sous-jacentes, c'est-à-dire la série ISO/IEC 15408
(toutes les parties). L'essentiel du contenu du présent document est présenté à l'Annexe A dans un
exemple décrivant la manière de préparer les exigences de sécurité pour des équipements EFC, dans le
cas présent, un équipement embarqué (OBE) reposant sur une communication dédiée à courte portée
(DSRC) et doté d'une carte de circuits intégrés (ICC) contenant les données essentielles pour l'EFC.
L'exemple se rapporte à un système EFC national japonais, et il convient de le considérer uniquement
comme un exemple.
Après la phase de préparation, l'EFC/le PP peut être enregistré à l'échelle internationale par l'organisme
qui l'a préparé, afin que d'autres exploitants ou pays qui souhaitent développer des services de sécurité
pour leur système EFC puissent se référer à un EFC/PP déjà enregistré.
Le présent document relatif au cadre de service de sécurité et à l'EFC/au PP d'un système EFC est fondé
sur l'ISO/IEC 15408 (toutes les parties). L'ISO/IEC 15408 (toutes les parties) contient un ensemble
d'exigences relatives aux fonctions de sécurité et à l'assurance des produits et systèmes pertinents pour
les technologies de l'information. Les exploitants, les organismes ou les autorités qui définissent leur
propre EFC/PP peuvent s'appuyer sur ces exigences. Le même principe s'applique pour les différents PP
enregistrés par plusieurs institutions financières, par exemple pour les instruments de paiement tels que
les cartes à circuits intégrés (ICC).
Les produits et systèmes qui ont été développés conformément à l'ISO/IEC 15408 (toutes les parties)
peuvent être assurés publiquement par l'authentification d'organismes d'évaluation publics ou privés
désignés.
v
Projet de Norme internationale ISO/DIS 17574:2025(fr)

Perception de télépéage — Lignes directrices concernant les
profils de protection de la sécurité
1 Domaine d'application
Le présent document fournit des lignes directrices pour la préparation et l'évaluation des spécifications
relatives aux exigences de sécurité, appelées «profils de protection» (PP) dans l'ISO/IEC 15408 (toutes
les parties) et dans l'ISO/IEC TR 15446.
Un profil de protection (PP) désigne un ensemble d'exigences de sécurité pour une catégorie de produits
ou de systèmes qui répondent à des besoins spécifiques. Un exemple type serait un PP pour les
équipements embarqués (OBE) destinés à être utilisés dans un système EFC. Cependant, les lignes
directrices du présent document sont ignorées s'il existe déjà un profil de protection pour le sous-
système considéré.
La cible d'évaluation (TOE) d'un EFC est limitée aux rôles et interfaces spécifiques à l'EFC, comme cela
est représenté à la Figure 1. Étant donné qu'ils s'appliquent à d'autres rôles et interfaces externes, les
normes et les critères de sécurité financière existants ne relèvent pas du domaine d'application de la TOE
pour les systèmes EFC.
Figure 1 — Domaine d'application de la TOE pour les systèmes EFC
L'évaluation de la sécurité est effectuée en évaluant les propriétés relatives à la sécurité des rôles, des
entités et des interfaces définies dans les cibles de sécurité (ST), plutôt qu'en évaluant des processus
complets qui sont souvent répartis sur un plus grand nombre d'entités et d'interfaces que celles qui sont
couvertes par la TOE du présent document.
NOTE L'évaluation des problèmes de sécurité pour les processus complets est une approche complémentaire qui
peut être utile pour l'évaluation de la sécurité d'un système.
ISO/DIS 17574:2025(fr)
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 15408-1, Technologies de l'information — Techniques de sécurité — Critères d'évaluation pour la
sécurité TI — Partie 1: Introduction et modèle général
ISO/IEC 15408-2, Technologies de l'information — Techniques de sécurité — Critères d'évaluation pour la
sécurité TI — Partie 2: Composants fonctionnels de sécurité
ISO/IEC 15408-3, Technologies de l'information — Techniques de sécurité — Critères d'évaluation pour la
sécurité TI — Partie 3: Composants d'assurance de sécurité
ISO/IEC 15408-4, Technologies de l'information — Techniques de sécurité — Critères d'évaluation pour la
sécurité TI — Partie 4: Cadre prévu pour la spécification des méthodes d'évaluation et des activités connexes
ISO/IEC 15408-5, Technologies de l'information — Techniques de sécurité — Critères d'évaluation pour la
sécurité TI — Partie 5: Paquets prédéfinis d'exigences de sécurité
—1
ISO 17573-2, Perception de télépéage — Architecture de systèmes pour le péage lié aux véhicules —
Partie 2: Vocabulaire
3 Termes et définitions
—2
Pour les besoins du présent document, les termes et définitions de l'ISO 17573-2:— s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— IEC Electropedia : disponible à l'adresse https://www.electropedia.org/
— ISO Online browsing platform : disponible à l'adresse https://www.iso.org/obp
4 Termes abrégés
CC critères communs
CCRA accord de reconnaissance des critères communs [common criteria recognition arrangement]
CN réseaux cellulaires [cellular networks]
DSRC communications dédiées à courte portée [dedicated short-range communication]
EAL niveau d'assurance d'évaluation [evaluation assurance level]
EFC perception de télépéage [electronic fee collection]
GNSS système mondial de navigation par satellite [global navigation satellite system]
IHM interface homme-machine
Stade au moment de la publication: ISO/DIS 17573-2:2025
Stade au moment de la publication: ISO/DIS 17573-2:2025
ISO/DIS 17574:2025(fr)
I/F interface
ICC carte à circuit(s) intégré(s) [integrated circuit(s) card]
TI technologies de l'information
OBE équipement embarqué [on-board equipment]
PP profil de protection
RSE équipement en bord de route [roadside equipment]
SAM module d'application sécurisé [secure application module]
SFP politique de fonction de sécurité [security function policy]
SFR exigence fonctionnelle de sécurité [security functional requirement]
ST cible de sécurité [security target]
TOE cible d'évaluation [target of evaluation]
TSF fonction de sécurité de la cible d'évaluation [target of evaluation security function]
5 Processus relatifs à l'architecture de sécurité et au profil de protection d'un
EFC
5.1 Généralités
Le présent article donne une vue d'ensemble du contexte et de l'utilisation du présent document en ce
qui concerne les processus relatifs à l'architecture de sécurité et au profil de protection d'un EFC.
Le présent document est destiné à être lu conjointement avec les normes sous-jacentes ISO/IEC 15408
(toutes les parties) et ISO/IEC TR 15446. Un lecteur qui n'est pas familier de ces normes peut lire la
première partie du présent document pour obtenir une vue d'ensemble de la manière d'établir un profil
de protection pour des équipements EFC. Cependant, les annexes, et en particulier les Articles A.4 et A.5,
exigent du lecteur qu'il soit familiarisé avec l'ISO/IEC 15408 (toutes les parties). Le présent document
utilise l'exemple d'un équipement embarqué doté d'une carte à circuit(s) intégré(s) (ICC) pour décrire à
la fois la structure du PP et le contenu proposé.
L'Annexe A fournit des lignes directrices pour la préparation d'un EFC/PP en utilisant un équipement
embarqué comme exemple de produits EFC. La liaison de communication (entre l'équipement embarqué
et l'équipement en bord de route) est fondée sur une DSRC.
L'Annexe B donne un exemple de la manière dont peut être réalisée une analyse des menaces, tandis que
l'Annexe C donne une vue d'ensemble des normes de sécurité pertinentes dans le contexte de l'EFC, qui
établit le contexte des rôles et des interfaces de l'EFC.
5.2 Architecture de sécurité d'un EFC
La Figure 2 montre comment le présent document se positionne dans la vue globale de l'architecture de
sécurité d'un EFC. Les zones ombrées représentent les aspects principalement liés à la préparation des
PP pour les systèmes EFC.
ISO/DIS 17574:2025(fr)
Figure 2 — Vue d'ensemble de l'architecture de sécurité
5.3 Étapes préparatoires du profil de protection
L'objectif principal d'un PP est d'analyser l'environnement de sécurité d'un sujet, puis de spécifier les
exigences pour traiter les menaces, qui représentent les données de sortie de l'analyse de
l'environnement de sécurité. Le sujet étudié est appelé «cible d'évaluation» (TOE). Dans le présent
document, un équipement embarqué doté d'une ICC est utilisé comme exemple de TOE.
Le travail de préparation d'un EFC/PP comprend les étapes représentées à la Figure 3, selon le contenu
décrit à l'Article 6.
ISO/DIS 17574:2025(fr)
Figure 3 — Processus de préparation d'un profil de protection pour les équipements EFC
Un PP peut être enregistré publiquement par l'entité qui prépare le PP afin de le faire connaître et de le
mettre à la disposition d'autres parties qui peuvent utiliser le même PP pour leurs propres systèmes EFC.
5.4 Relation entre les acteurs
Une cible de sécurité (ST) désigne un ensemble d'exigences et de spécifications de sécurité destinées à
être utilisées pour l'évaluation d'une TOE identifiée. Alors que le PP peut être considéré comme le reflet
des exigences des fournisseurs de services de péage EFC, la ST peut être considérée comme un moyen
pour un fournisseur de documenter la conformité et l'exécution du PP pour la TOE, par exemple un
équipement embarqué.
La Figure 4 représente une image simplifiée et un exemple des relations entre le fournisseur de service
de péage, le fournisseur d'équipements EFC et un évaluateur. Pour l'accord de reconnaissance des
critères communs (CCRA) international et pour les PP actuellement enregistrés, voir l'Annexe D.
ISO/DIS 17574:2025(fr)
Figure 4 — Relations entre exploitants, fournisseurs et évaluateurs
La ST est similaire au PP, à ceci près qu'elle contient des informations spécifiques à la mise en œuvre qui
précisent la manière dont les exigences de sécurité sont réalisées dans un produit ou un système donné.
Par conséquent, la ST comprend les parties suivantes qui ne se trouvent pas dans un PP:
— une spécification récapitulative de la TOE qui présente les fonctions de sécurité et les mesures
d'assurance spécifiques à la TOE;
— une partie PP facultative qui explique les PP auxquels la ST revendique la conformité (le cas échéant);
— une justification contenant des éléments de preuve supplémentaires attestant que les spécifications
récapitulatives de la TOE permettent de satisfaire aux exigences indépendantes de la mise en œuvre
et garantissent le respect des revendications de conformité du PP;
— les fonctions de sécurité réelles des produits EFC sont conçues à partir de cette ST (voir l'exemple à
la Figure 5).
ISO/DIS 17574:2025(fr)
Figure 5 — Exemple de conception fondée sur un PP
6 Présentation d'un profil de protection
6.1 Structure
Le contenu d'un profil de protection d'une partie ou d'une interface d'un système EFC est représenté à la
Figure 6, qui doit être conforme à l'ISO/IEC 15408-1, Article 10 et Annexe B.

Figure 6 — Contenu d'un profil de protection
ISO/DIS 17574:2025(fr)
6.2 Contexte
Les lignes directrices pour la préparation du PP sont les suivantes.
a) Vue d'ensemble (voir l'Article A.1)
b) Cible d'évaluation (voir l'Article A.2)
Le domaine d'application de la TOE doit être spécifié.
c) Conformité
Les revendications de conformité des PP doivent être spécifiées.
d) Environnement de sécurité (voir l'Article A.3)
Les méthodes d'élaboration, d'exploitation et de contrôle de la TOE sont décrites pour clarifier les
exigences de fonctionnement/d'exploitation. En ce qui concerne ces exigences, les actifs de technologie
de l'information qui nécessitent une protection de la TOE doivent être spécifiés, de même que les menaces
de sécurité auxquelles la TOE est exposée.
e) Objectifs de sécurité (voir l'Article A.4)
Les politiques de sécurité relatives aux menaces auxquelles est exposée la TOE sont déterminées. Les
politiques sont classées en politiques techniques, d'exploitation et de contrôle.
Il convient que les objectifs de sécurité soient cohérents avec l'objectif opérationnel ou la finalité du
produit de la TOE.
La politique d'exploitation/de contrôle se rapporte au personnel et aux objectifs physiques applicables à
l'état dans lequel la TOE est utilisée ou exploitée. La politique d'exploitation/de contrôle comprend des
règles de contrôle et d'exploitation pour les exploitants.
f) Exigences de sécurité (voir l'Article A.5)
Conformément aux objectifs de sécurité définis à l'Article A.4, des exigences de sécurité concrètes sont
spécifiées pour les menaces de sécurité énoncées à l'Article A.3. Les exigences de sécurité comprennent
les exigences fonctionnelles (exigences techniques) et les exigences d'assurance relatives à la qualité de
la sécurité.
Les exigences fonctionnelles sont spécifiées, en choisissant les exigences nécessaires parmi celles de
l'ISO/IEC 15408-2 et en déterminant les paramètres, lesquels doivent être conformes à l'ISO/IEC 15408-
2, Articles 6 à 18.
En ce qui concerne les exigences d'assurance, les exigences d'assurance spécifiées dans l'ISO/IEC 15408-
3 sont adoptées en déterminant les niveaux d'évaluation des exigences d'assurance, lesquels doivent être
conformes à l'ISO/IEC 15408-3, Articles 5 à 15.
La méthode et les activités d'évaluation sont incluses dans les exigences de sécurité, qui doivent être
conformes à l'ISO/IEC 15408-4, Articles 5 et 6.
Les niveaux d'assurance d'évaluation sont inclus dans les exigences de sécurité qui doivent être
conformes à l'ISO/IEC 15408-5, Article 4.
g) Fondement logique de la justification/de l'efficacité (voir l'Article A.6)
Le contenu du PP est vérifié lorsque cela est nécessaire et couvre les exigences de sécurité de la TOE. Les
points suivants sont vérifiés:
1) tous les environnements de sécurité nécessaires sont couverts;
ISO/DIS 17574:2025(fr)
2) il convient que les objectifs de sécurité couvrent entièrement les environnements de sécurité;
3) il convient que les exigences de sécurité mettent en œuvre les objectifs de sécurité.
ISO/DIS 17574:2025(fr)
Annexe A
(informative)
Procédures d'élaboration des documents
A.1 Vue d'ensemble
A.1.1 Généralités
Le présent article fournit une présentation générale du document relatif au profil de protection (PP).
Il convient de noter que le présent article est informatif. L'essentiel du contenu présenté est un exemple
décrivant la manière de préparer les exigences de sécurité pour des équipements EFC, dans le cas présent,
un équipement embarqué (OBE) doté d'une carte de ICC) contenant les données essentielles pour la
perception de télépéage.
A.1.2 Informations d'identification
Les informations d'identification du document sont les suivantes:
a) titre du document;
b) numéro de version/publication;
c) date d'élaboration;
d) auteur.
EXEMPLE Informations d'identification:
1) titre du document: Profil de protection de sécurité de l'équipement embarqué d'un système EFC;
2) numéro de version/publication: 1.0;
3) date d'élaboration: 20/10/2002;
4) auteur: Association ABC.
A.1.3 Description de la cible d'évaluation (TOE)
La TOE est identifiée comme suit:
a) produit;
b) numéro de version/publication;
c) développeur.
EXEMPLE Description de la TOE:
1) produit: équipement embarqué d'un système EFC;
2) numéro de version/publication: 1.0;
ISO/DIS 17574:2025(fr)
3) développeur: ABC Co., Ltd.
A.1.4 Conformément à l'ISO/IEC 15408 (toutes les parties)
Le «profil de protection» préparé conformément à l'ISO/IEC 15408 (toutes les parties) est explicitement
spécifié.
Les données de version et de préparation de l'ISO/IEC 15408 (toutes les parties) référencées sont
également indiquées.
EXEMPLE Déclaration de conformité à l'ISO/IEC 15408 (toutes les parties) selon:
— l'ISO/IEC 15408-1 Quatrième édition;
— l'ISO/IEC 15408-2 Quatrième édition;
— l'ISO/IEC 15408-3 Quatrième édition;
— l'ISO/IEC 15408-4 Première édition;
— l'ISO/IEC 15408-5 Première édition.
A.1.5 Présentation de la TOE
A.1.5.1 Type de TOE
EXEMPLE
1.4.1 Type de TOE
Équipement embarqué d'un système EFC
A.1.5.2 Présentation fonctionnelle de la TOE
Pour les utilisateurs d'un «profil de protection» de sécurité, un type de dispositif décrit dans le «profil de
protection» est décrit explicitement afin de les aider à déterminer l'application.
EXEMPLE
1.4.2 Présentation fonctionnelle de la TOE (équipement embarqué pour un système EFC)
La présentation fonctionnelle est la suivante.
a) Fonction de l'EFC:
1) authentification mutuelle avec l'ICC;
2) transcription (mise en cache) des données de l'ICC vers l'équipement embarqué;
3) chiffrement de la radiocommunication avec l'équipement en bord de route;
4) assurance de l'intégrité du message;
5) authentification mutuelle avec l'équipement en bord de route;
6) stockage des informations sécurisées (clé de chiffrement) utilisées dans l'équipement embarqué lors d'une
transaction EFC.
ISO/DIS 17574:2025(fr)
b) Fonction de configuration:
1) authentification de la carte de configuration;
2) mise en cache des informations du véhicule entre l'ICC et l'équipement embarqué.
c) Fonction de l'IHM:
1) compte rendu des résultats de la facturation EFC aux utilisateurs;
2) orientation de la voie EFC.
A.1.5.3 Niveau d'assurance d'évaluation (EAL)
Les niveaux d'assurance de l'évaluation pour les objectifs sont choisis. Chaque EAL définit un paquetage
comprenant des composants d'assurance et détermine le degré d'exigences d'assurance sur les systèmes
de sécurité. La justification de l'EAL choisi est indiquée.
EXEMPLE
A.1.5.3 Équipement embarqué d'un système EFC (L'EAL est de 5)
L'équipement embarqué fonctionne à la manière d'un équipement de commerce électronique dans les transactions
EFC. Les systèmes de sécurité de l'équipement embarqué d'un système EFC sont vulnérables aux attaques sous le
contrôle d'utilisateurs individuels. Par conséquent, un niveau d'assurance élevé (EAL) est exigé pour l'équipement
embarqué d'un système EFC.
A.2 Cible d'évaluation (TOE)
A.2.1 Objectifs et méthodologie de la TOE
A.2.1.1 Objectifs d'utilisation de la TOE
L'exemple suivant indique les objectifs d'utilisation de la TOE et le type d'environnement dans lequel elle
est utilisée.
EXEMPLE Les adhérents au système EFC (utilisateurs) utilisent le système EFC aux péages en insérant l'ICC avec
les informations du contrat d'adhésion EFC pour procéder au règlement. Les informations du véhicule, telles qu'une
certification d'inspection automobile, sont stockées au préalable dans l'équipement embarqué. Pour le stockage des
informations du véhicule, une carte de personnalisation est utilisée à des fins d'initialisation. L'équipement
embarqué (la TOE), qui lit/écrit les données sur les ICC pour les configurations/règlements et transmet/reçoit les
données à l'équipement en bord de route pour les transactions de perception de péage, protège l'interface et les
données internes contre les menaces externes.
A.2.1.2 Méthode d'utilisation de la TOE
a) Préparation de l'utilisateur:
étapes à suivre par l'utilisateur avant d'utiliser la TOE.
b) Préparation de l'exploitant:
le matériel/logiciel et les systèmes de commande nécessaires sont décrits lorsque l'exploitant fait
fonctionner la TOE.
c) Procédures d'exploitation:
ISO/DIS 17574:2025(fr)
les procédures d'exploitation et de maintenance sont décrites.
d) Procédures d'utilisation:
les procédures à l'attention des utilisateurs sont décrites.
e) Limites d'utilisation:
les limites d'utilisation, telles que les fuseaux horaires et les zones géographiques, sont décrites.
EXEMPLE
a) Préparation de l'utilisateur:
les utilisateurs demandent à un exploitant d'installer un équipement embarqué et de configurer les informations
du véhicule, telles qu'une certification d'inspection automobile, dans l'équipement embarqué. En outre, les
utilisateurs reçoivent l'ICC contenant les informations du contrat d'adhésion EFC.
b) Préparation de l'exploitant:
les exploitants émettent les informations de configuration en réponse aux demandes de l'utilisateur.
c) Procédures d'exploitation:
lorsqu'un utilisateur franchit des péages, le péage est facturé aux ICC à des fins de règlement au moyen des
informations du contrat d'adhésion EFC, qui sont insérées dans l'équipement embarqué installé avec les
informations du véhicule. Lorsqu'une ICC de règlement légitime est insérée dans l'équipement embarqué avec des
informations de véhicule correctes, la redevance de péage est calculée dans la zone de communication de
l'équipement en bord de route au niveau des péages.
Pour une modification ou une mise à jour des informations du contrat d'adhésion EFC, telles que les informations
du véhicule, les cartes de configuration et l'ICC sont mises à jour (réémises/réenregistrées).
d) Procédures d'utilisation:
au niveau des péages, un utilisateur utilise dans le système EFC les ICC contenant les informations du contrat
d'adhésion EFC, conformément au contrat d'adhésion EFC ou aux manuels de l'équipement embarqué.
e) Limites d'utilisation:
en général, l'équipement embarqué est disponible à tout moment de la journée, à condition que les voies EFC soient
ouvertes aux péages.
A.2.2 Fonctions de la TOE
A.2.2.1 Fonctions fournies par la TOE
Les fonctions fournies par la TOE sont décrites. Toutes les fonctions relatives aux transactions de données
qui doivent être protégées sont énumérées.
EXEMPLE
a) Transactions EFC:
1) fonction de commande de la communication EFC;
ISO/DIS 17574:2025(fr)
2) fonction d'enregistrement de données non sécurisée;
3) fonction de commande des entrées/sorties de l'IHM;
4) fonction de détection d'état d'insertion de l'ICC;
5) fonction d'autocontrôle de l'équipement embarqué.
b) Module de sécurité:
1) fonction de stockage ou de protection des données;
2) fonction de contrôle d'accès de l'utilisateur;
3) fonction d'authentification (DSRC, ICC);
4) fonction de chiffrement/déchiffrement;
5) fonction d'interface de l'ICC;
6) fonction d'interface des transactions EFC;
7) fonction de lecture de la carte de configuration.
A.2.2.2 Fonctions non fournies par la TOE
Lorsque la fonction TOE fait partie des fonctions d'un système entier, il convient d'indiquer le domaine
d'application de la TOE dans l'ensemble du système, comme cela est représenté à la Figure A.1 qui montre
un exemple dans lequel l'équipement embarqué représente le domaine d'application de la TOE. À titre de
référence, il convient d'inclure la Figure A.2 qui montre le domaine d'application global de la politique de
sécurité.
Figure A.1 — Exemple de représentation de la TOE dans son contexte
ISO/DIS 17574:2025(fr)
Figure A.2 — Domaine d'application global de la politique de sécurité
A.2.2.3 Fonctions manquantes
Lorsque les fonctions, qu'il convient que la TOE fournisse dans cette section, ne sont pas incluses dans le
TOE, il convient de décrire le contenu de la fonction et la justification de son exclusion.
A.2.3 Structure de la TOE
A.2.3.1 Structure matérielle
La structure est décrite avec les unités matérielles associées au fonctionnement de la TOE. Il convient
d'indiquer le domaine d'application de la TOE dans la structure comme cela est représenté à la Figure A.3.
Il convient également d'indiquer le modèle de système EFC global du cadre de sécurité EFC comme cela
est représenté à la Figure A.4.
EXEMPLE
Figure A.3 — Exemple de structure matérielle de la TOE
ISO/DIS 17574:2025(fr)
Figure A.4 — Modèle de système EFC du cadre de sécurité EFC
A.2.3.2 Structure logicielle
La structure est décrite avec le logiciel associé au fonctionnement de la TOE. Dans la structure, il convient
d'indiquer le domaine d'application de la TOE dans la structure. En particulier, lorsque le fonctionnement
de la TOE dépend du système d'exploitation (OS) et des programmes de contrôle des données, il convient
de décrire la répartition des fonctions.
A.2.3.3 Fondement logique
Il convient de vérifier que les éléments décrits sont cohérents.
a) Absence d'éléments incohérents parmi les éléments fournis.
b) Absence de sections non définies ou ambigües dans le contenu fourni dans le présent paragraphe.
A.3 Conformité
A.3.1 Revendication de conformité et déclaration de conformité de la TOE
ISO/DIS 17574:2025(fr)
A.3.1.1 Généralités
En ce qui concerne la conformité liée au PP, deux types de relations sont définis. La première est la
relation entre le PP et les critères communs (CC) utilisés comme base, la seconde est la relation entre une
ST et le PP. La revendication de conformité et la déclaration de conformité doivent toutes deux être
décrites au regard de ces relations.
A.3.1.2 Revendication de conformité
La revendication de conformité est liée à la relation entre le PP et les CC utilisés comme base.
a) L'édition des parties pertinentes des CC est définie.
Si toutes les exigences fonctionnelles de sécurité (SFR) sont fondées uniquement sur les exigences
fonctionnelles de l'ISO/IEC 15408-2 et -3, le terme «conforme» doit être sélectionné; sinon, le terme
«élargi» doit être choisi.
EXEMPLE Conforme à l'ISO/IEC 15408
b) La conformité à la Partie 2 des CC est définie.
EXEMPLE «Conforme à la Partie 2 des CC et élargi»
c) La conformité à la Partie 3 des CC est définie.
EXEMPLE «Conforme à la Partie 3 des CC et élargi»
d) Fondement logique de la revendication de conformité
La raison et la base logique du choix de la revendication de conformité doivent être décrites.
A.3.1.3 Déclarations de conformité
La déclaration de conformité décrit la manière dont les autres PP ou ST doivent se conformer au PP. La
déclaration de conformité doit correspondre à l'un des trois types de conformité suivants:
— démontrable;
— strict;
— exact.
EXEMPLE Le mode de conformité est «Strict».
A.4 Environnement de sécurité
A.4.1.1 Généralités
Les exigences de sécurité qui s'appliquent pour déterminer les objectifs de sécurité du fonctionnement
de la TOE sont fournies.
A.4.1.2 Environnements d'exploitation
La méthodologie d'utilisation de la TOE est décrite, par exemple l'environnement d'exploitation, le temps
d'exploitation, le site d'exploitation, la procédure d'utilisation et le lieu d'utilisation.
a) Procédures d'exploitation
ISO/DIS 17574:2025(fr)
En ce qui concerne les procédures d'exploitation de la TOE, le fonctionnement d'un système EFC intégré
est décrit, y compris les véhicules associés et l'ICC utilisée pour le paiement.
b) Temps d'exploitation
Le fuseau horaire d'exploitation de la TOE est décrit.
EXEMPLE Le temps d'exploitation désigne toute durée consommée par les véhicules EFC sur les routes à péage
EFC.
c) Sites d'exploitation
Les sites d'exploitation de la TOE sont décrits.
d) Vue d'ensemble de l'exploitation
Les procédures allant de l'achat (obtention) jusqu'à la cession de la TOE par les utilisateurs sont décrites,
notamment l'installation de la TOE, la configuration de la TOE et l'exploitation sur les routes à péage.
EXEMPLE 1 Les utilisateurs achètent un équipement embarqué EFC auprès de revendeurs d'équipements
embarqués (concessionnaires automobiles, garages). Un équipement embarqué est installé dans un véhicule. En
outre, les informations embarquées nécessaires au fonctionnement du système EFC, telles que les informations
relatives aux véhicules, sont stockées sous forme d'informations embarquées.
EXEMPLE 2 Après l'établissement d'un contrat d'adhésion EFC, les utilisateurs obtiennent une ICC qui est délivrée
par des sociétés de cartes de crédit.
EXEMPLE 3 Les utilisateurs seront en mesure d'utiliser le système EFC en insérant une ICC dans un équipement
embarqué installé dans un véhicule. Les véhicules qui peuvent utiliser des systèmes EFC sont appelés véhicules EFC.
EXEMPLE 4 Les utilisateurs utilisent des routes à péage avec l'ICC insérée dans un équipement embarqué d'un
véhicule EFC et franchissent les péages sans s'arrêter.
Les utilisateurs peuvent volontairement choisir de se séparer d'un équipement embarqué inutile.
e) Sites d'utilisation
Les sites où les utilisateurs peuvent utiliser la TOE sont décrits.
EXEMPLE Routes à péage le long desquelles l'équipement EFC en bord de route est installé.
f) Les limites et les exigences d'utilisation, telles que les nombres de TOE disponibles, sont décrites.
EXEMPLE 1 Le nombre d'équipements embarqués installés par véhicule est limité à un.
EXEMPLE 2 L'équipement embarqué est fixé (intégré) dans un véhicule.
EXEMPLE 3 L'équipement embarqué peut être utilisé à tout moment de la journée aussi longtemps que les voies
EFC sont ouvertes à l'exploitation.
A.4.1.3 Contrôle physique
Le contrôle physique associé au fonctionnement de la TOE est décrit.
a) Sites d'installation et contrôle
Les sites d'installation et le contrôle physique de la TOE sont décrits.
EXEMPLE 1 L'équipement embarqué est fixé (intégré) dans un véhicule.
ISO/DIS 17574:2025(fr)
b) Unité utilisateur
Pour l'utilisation de la TOE, les exigences de contrôle physique sont décrites pour l'ICC utilisée à des fins
de paiement que possèdent les utilisateurs.
EXEMPLE 2 Les utilisateurs sont responsables de leur ICC.
A.4.1.4 Exigences relatives au personnel
Les exigences relatives au personnel sont décrites en ce qui concerne la responsabilité du fonctionnement
de la TOE et la confiance dans ce fonctionnement. En outre, les exigences relatives aux utilisations
potentielles, aux motivations, aux méthodes et à l'expertise des attaques sont établies.
a) Agents liés à la TOE
Les aspects suivants concernant les fabricants, les exploitants et les utilisateurs de la TOE sont
indiqués.
1) Type
2) Rôle
3) Autorisation
4) Dépendance
5) Risque d'utilisation illicite
6) Expertise
7) Piste
EXEMPLE 1 Exigences relatives au personnel:
Type: Fabricant d'équipement embarqué.
Rôle: Fabrication et expédition conformément à la spécification normalisée de
l'équipement embarqué EFC.
Autorisation: Aucune.
Dépendance: Aucune responsabilité en matière de contrôle de sécurité.
Risque Il existe des risques d'utilisation illicite, car il n'y a aucune responsabilité en matière
d'utilisation de contrôle de sécurité.
illicite:
Expertise: Aucun besoin d'expertise en sécurité.
Piste: Une vérification fondée sur des listes négatives est mise en œuvre au moment où les
véhicules EFC franchissent les péages.
b) Attaquants
Les aspects suivants sont décrits pour les exigences relatives aux utilisateurs illicites pour lesquelles
la TOE adopte des contre-mesures.
1) Type
ISO/DIS 17574:2025(fr)
2) Finalité de l'utilisation illicite
3) Motivation
4) Moyens
5) Expertise
EXEMPLE 2 Attaquants:
Type: Un tiers illicite parmi les utilisateurs de l'EFC.
Finalité de Falsification des données de l'équipement embarqué, manipulation, obtention
l'utilisation illicite: d'informations à caractère personnel. Falsification et modification illicite du
support de l'équipement embarqué.
Motivation: Réduire les frais de péage ou éviter les demandes de redevance par une utilisation
illicite des informations. Vente d'équipements embarqués falsifiés.
Moyens: Falsification des informations du véhicule stockées dans l'équipement embarqué.
Falsification des données d'interface entre l'équipement embarqué et l'ICC pour
contrefaire la carte d'une personne. Falsification de l'équipement embarqué EFC par
une analyse interne de l'équipement embarqué.
Expertise: Comprendre la transaction interne par l'analyse interne de l'équipement embarqué
EFC.
A.4.1.5 Environnements de connectivité/de fonctionnement
L'environnement de connectivité et de fonctionnement de la TOE est fourni. Seule la structure spécifiée
dans le présent paragraphe doit être la TOE.
a) Connectivité
La description porte sur les transactions de l'équipement en bord de route aux péages et de l'ICC qui sont
nécessaires au fonctionnement de la TOE.
EXEMPLE
— L'équipement embarqué échange des informations par radiocommunication (5,8 GHz) avec l'équipement en
bord de route aux péages.
— L'équipement embarqué lit les données de l'ICC (numéro de carte, informations du contrat d'adhésion EFC)
avant que le véhicule ne franchisse un péage. Lorsqu'un véhicule franchit un péage, l'équipement embarqué
envoie les données internes applicables de l'ICC à l'équipement en bord de route pour transmettre les données
de facturation et d'enregistrement de transaction.
b) Exigences opérationnelles
Les exigences matérielles/logicielles (unité centrale de traitement, vitesse de mise en œuvre, mémoire
requise, périphériques d'entrée/sortie) nécessaires au fonctionnement de la TOE sont décrites.
A.4.1.6 Fondement logique
La cohérence des éléments décrits est vérifiée.
a) Absence d'éléments incohérents parmi les éléments fournis.
b) Absence de sections non définies ou ambigües dans le contenu fourni dans le présent paragraphe.
ISO/DIS 17574:2025(fr)
A.4.2 Menaces de sécurité
A.4.2.1 Détermination des ressources cibles à protéger
a) Choix des ressources cibles à protéger
Les ressources cibles à protéger par la TOE sont déterminées. La protection cible les ressources dont la
falsification, la modification et la perte affectent négativement les services de la TOE. En ce qui concerne
les ressources cibles individuelles à protéger, le cycle de vie est clairement décrit, notamment la
génération, la transaction, le stockage et l'élimination. S'il existe des ressources indirectes pour une
transaction TOE, les ressources i
...