ISO/IEC 19896-2:2026

Norme
internationale
ISO/IEC 19896-2
Deuxième édition
Sécurité de l'information,
2026-01
cybersécurité et sécurité de la
vie privée ― Exigences relatives
aux compétences du personnel
des organismes d'évaluation de la
conformité de la sécurité TI —
Partie 2:
Exigences en matière de
connaissances et de compétences
pour les testeurs et les validateurs
conformément à la série ISO/IEC
19790 et à l'ISO/IEC 24759
Information security, cybersecurity and privacy protection —
Requirements for the competence of IT security conformance
assessment body personnel —
Part 2: Knowledge and skills requirements for testers and
validators according to ISO/IEC 19790 and ISO/IEC 24759
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2026
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2026 – Tous droits réservés
ii
Sommaire Page
Avant-propos .iv
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Abréviations . 2
5 Structure du présent document. 3
6 Connaissances . . 3
6.1 Généralités .3
6.2 Exigences relatives aux testeurs .3
6.2.1 Enseignement tertiaire .3
6.2.2 Connaissance des normes .8
6.2.3 Connaissance du programme de validation .9
6.2.4 Connaissance des exigences de l'ISO/IEC TS 23532-2 .10
6.3 Exigences relatives aux validateurs .11
6.3.1 Enseignement tertiaire .11
6.3.2 Connaissance des normes .11
6.3.3 Connaissance du programme de validation .11
6.3.4 Connaissance des exigences de l'ISO/IEC TS 23532-2 . 12
7 Savoir-faire .13
7.1 Exigences relatives aux testeurs . 13
7.1.1 Généralités . 13
7.1.2 Essais des algorithmes . 13
7.1.3 Essais de sécurité physique . 13
7.1.4 Analyse des canaux secondaires . 13
7.1.5 Types de technologie . 13
7.2 Exigences relatives aux validateurs . 13
8 Enregistrement d'un journal pour les testeurs et les validateurs.13
Annexe A (informative) Exemple de journal pour les testeurs et les validateurs . 14
Annexe B (informative) Ontologie des types de technologie .15
Bibliographie . 17

© ISO/IEC 2026 – Tous droits réservés
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en collaboration
avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité européen de
normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de
Vienne).
Cette deuxième édition annule et remplace la première édition (ISO/IEC 19896-2:2018), qui fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— le document a été restructuré:
— suppression de paragraphes liés à l'expérience, à l'instruction et à l'efficacité;
— des modifications techniques ont été introduites:
— suppression des éléments de compétence, d'expérience, d'instruction et d'efficacité, conformément
aux commentaires de l'ISO/du CASCO, à l'exception des éléments de connaissance et de savoir-faire.
— ajout des exigences de compétence pour les validateurs;
— l'Annexe C a été supprimée.
Une liste de toutes les parties de la série ISO/IEC 19896 se trouve sur les sites Web de l'ISO et de l'IEC.

© ISO/IEC 2026 – Tous droits réservés
iv
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.

© ISO/IEC 2026 – Tous droits réservés
v
Introduction
Le présent document spécifie les exigences spécialisées en matière de connaissances et de compétences pour
les testeurs et les validateurs, qui réalisent des projets de tests de sécurité conformément à l'ISO/IEC 19790
et à l'ISO/IEC 24759. L'ISO/IEC 19790 spécifie des exigences en matière de sécurité pour les modules
cryptographiques. L'ISO/IEC 19790 a servi de base à l'élaboration de nombreux schémas de validation et
d'accords de reconnaissance. L'ISO/IEC 19790 permet une comparabilité entre les résultats des projets de
tests de sécurité indépendants. L'ISO/IEC 24759 soutient cette approche en fournissant un ensemble commun
d'exigences de test pour soumettre à essai la conformité à l'ISO/IEC 19790 d'un module cryptographique.
Les exigences en matière de connaissance et de savoir-faire des testeurs individuels chargés de la réalisation
des projets de test sont des facteurs essentiels pour assurer la comparaison des résultats de ces validations.
Les exigences en matière de connaissance et de savoir-faire des validateurs individuels chargés de la
réalisation des projets de validation sont également des facteurs essentiels pour la validation des résultats
des projets de tests.
L'ISO/IEC TS 23532-2, qui est souvent spécifiée comme une norme à laquelle le laboratoire de test est
conforme, indique dans l'ISO/IEC TS 23532-2:2021, 6.2 que les exigences de compétence pour chaque
fonction influant sur les résultats des activités du laboratoire sont documentées, y compris les exigences
relatives à l'éducation, à la qualification, à la formation, aux connaissances techniques, aux compétences
et à l'expérience. Le document fournit l'exigence selon laquelle le personnel a la compétence d'exécuter
les activités de laboratoire dont il est responsable et d'évaluer l'importance des écarts spécifiés dans
l'ISO/IEC TS 23532-2:2021, 6.2.
Le présent document s'adresse aux autorités de validation, aux laboratoires de test, aux testeurs, aux
validateurs et aux organisations proposant des qualifications et des reconnaissances professionnelles.
Le présent document établit une base de référence pour les exigences en matière de connaissances et de
savoir-faire des:
— testeurs, pour garantir l'harmonisation des exigences relatives aux programmes de tests de conformité
des modules cryptographiques; et
— validateurs, pour garantir l'harmonisation des exigences relatives aux programmes de validation de
modules cryptographiques.
© ISO/IEC 2026 – Tous droits réservés
vi
Norme internationale ISO/IEC 19896-2:2026(fr)
Sécurité de l'information, cybersécurité et sécurité de la vie
privée ― Exigences relatives aux compétences du personnel des
organismes d'évaluation de la conformité de la sécurité TI —
Partie 2:
Exigences en matière de connaissances et de compétences
pour les testeurs et les validateurs conformément à la série
ISO/IEC 19790 et à l'ISO/IEC 24759
1 Domaine d'application
Le présent document fournit les exigences minimales en matière de connaissances et de savoir-faire des
testeurs et validateurs des organismes d'évaluation chargé de réaliser des activités de test et de validation
dans le cadre d'un schéma de conformité utilisant l'ISO/IEC 19790 et l'ISO/IEC 24759.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 17825, Technologie de l'information — Techniques de sécurité — Méthodes de test pour la protection
contre les attaques non intrusives des modules cryptographiques
ISO/IEC 18367, Technologie de l'information — Techniques de sécurité — Essais de conformité des algorithmes
cryptographiques et des mécanismes de sécurité
ISO/IEC 19790:2025, Sécurité de l’information, cybersécurité et protection de la vie privée — Exigences de
sécurité pour les modules cryptographiques
ISO/IEC 19896-1, Sécurité de l'information, cybersécurité et protection de la vie privée ― Exigences relatives
aux compétences du personnel des organismes d'évaluation de la conformité de la sécurité TI — Partie 1: Vue
d'ensemble et concepts
ISO/IEC 20085-1, Techniques de sécurité IT — Exigences de l'outil de test et méthodes d'étalonnage de
l'outil de test utilisées pour tester les techniques d'atténuation des attaques non invasives dans les modules
cryptographiques — Partie 1: Outils et techniques de test
ISO/IEC 20085-2, Techniques de sécurité IT — Exigences de l'outil de test et méthodes d'étalonnage de
l'outil de test utilisées pour tester les techniques d'atténuation des attaques non invasives dans les modules
cryptographiques — Partie 2: Méthodes et appareillage d'étalonnage et d'essai
ISO/IEC 20543, Technologies de l'information — Techniques de sécurité — Méthodes d'essai et d'analyse des
générateurs de bits aléatoires dans l'ISO/IEC 19790 et l'ISO/IEC 15408
ISO/IEC/TS 23532-2:2021, Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences
relatives aux compétences des laboratoires d'essais et d'évaluation de la sécurité TI — Partie 2: Essais pour
l'ISO/IEC 19790
© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 24759:2025, Sécurité de l’information, cybersécurité et protection de la vie privée — Exigences d'essai
pour modules cryptographiques
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO/IEC 19896-1, de
l'ISO/IEC TS 23532-2 et de l'ISO/IEC 19790 s'appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
environnement d'exécution
environnement dans lequel un programme ou une application est exécuté
Note 1 à l'article: Cela peut concerner le système d'exploitation lui-même ou le logiciel qui fonctionne sous celui-ci.
L'objectif principal est d'atteindre l'objectif de la programmation «indépendante de la plate-forme».
[SOURCE: ISO/IEC 19790:2025, 3.121]
3.2
connaissance répartie
processus par lequel une clé cryptographique est divisée en plusieurs composants de clé, qui ne partagent
entre eux aucune connaissance de la clé d'origine, qui peuvent ultérieurement être entrés par des opérateurs
distincts dans un module cryptographique, ou en sortir, et être assemblés afin de recréer la clé d'origine
Note 1 à l'article: La totalité ou un sous-ensemble des composants est requis pour récupérer la clé divisée d'origine.
[SOURCE: ISO/IEC 19790:2025, 3.144]
3.3
utilisateur
opérateur qui accède à un module cryptographique afin d'effectuer des services de sécurité généraux, y
compris les opérations cryptographiques et toute autre fonction de sécurité approuvée
[SOURCE: ISO/IEC 19790:2025, 3.154]
Note 1 à l'article: un utilisateur est un opérateur qui assume le rôle d'utilisateur
3.4
fournisseur
entité, groupe ou association qui soumet le module cryptographique à des fins d'essai et de validation
[SOURCE: ISO/IEC 19790:2025, 3.156]
4 Abréviations
DPA analyse de la puissance différentielle
DEMA analyse électromagnétique différentielle
IUT mise en œuvre soumise à l'essai
RSA Rivest-Shamir-Adleman
SEMA simple analyse électromagnétique

© ISO/IEC 2026 – Tous droits réservés
SPA simple analyse de la puissance
5 Structure du présent document
Le présent document est composé des articles suivants:
— Connaissances (Article 6); et
— Compétences (Article 7).
Chaque article correspond à un aspect des exigences en matière de connaissances et de savoir-faire du
personnel chargé de réaliser les activités de test ou de validation, telles qu'elles sont introduites dans
l'ISO/IEC 19896-1 pour un schéma de conformité utilisant l'ISO/IEC 19790 et l'ISO/IEC 24759.
6 Connaissances
6.1 Généralités
Les 6.2 et 6.3 fournissent des exigences relatives aux connaissances qu'un testeur ou un validateur connaît
et décrit les différences entre un validateur et un testeur, ainsi que les exigences applicables aux validateurs
et aux testeurs.
6.2 Exigences relatives aux testeurs
6.2.1 Enseignement tertiaire
6.2.1.1 Généralités
Les testeurs doivent disposer d'un niveau d'instruction tel qu'un diplôme associé, une licence ou un diplôme
supérieur en rapport avec les exigences de sécurité traitées dans l'ISO/IEC 19790 et les exigences de test de
l'ISO/IEC 24759. Les testeurs doivent démontrer qu'ils ont au moins:
a) terminé avec succès un cycle d'instruction supérieure approprié comprenant au moins trois ans d'études
dans des disciplines liées aux TI ou à la sécurité des TI; ou
b) une expérience équivalente à un niveau d'instruction supérieure dans des disciplines liées aux TI, à la
sécurité des TI ou à l'administration des systèmes TI.
6.2.1.2 Spécialités techniques
En plus du niveau d'instruction minimal requis en 6.2.1.1, les testeurs doivent posséder des qualifications en
matière d'instruction telles qu'un diplôme associé, une licence ou un diplôme supérieur correspondant aux
spécialités techniques spécifiques. Voici quelques exemples de spécialités techniques spécifiques:
— concepts cryptographiques;
— technologie de l'ingénierie;
— ingénierie électrique;
— ingénierie mécanique;
— ingénierie des matériaux;
— ingénierie chimique;
— technologie du traitement de l’information;
— ingénierie informatique;
© ISO/IEC 2026 – Tous droits réservés
— sciences de l'informatique;
— réseaux informatiques;
— cybersécurité;
— systèmes d'information;
— gestion de laboratoire;
— mathématiques et physique;
— développement et sécurité des logiciels; ou
— ingénierie des logiciels.
6.2.1.3 Domaines de spécialité
Un testeur doit au minimum démontrer ses connaissances sur au moins un sujet de spécialité spécifique
décrit dans l'ISO/IEC 19790 et l'ISO/IEC 24759.
Un laboratoire de test doit avoir des connaissances dans les domaines de spécialisation spécifiés dans
l'ISO/IEC 19790 et l'ISO/IEC 24759 en tant qu'agrégat de son personnel technique.
Les domaines de spécialité spécifiés dans l'ISO/IEC 19790 et l'ISO/IEC 24759 sont les suivants:
a) développement de logiciel et micrologiciel:
1) langages de programmation (par exemple, assembleur et langage de haut niveau);
2) compilateurs;
3) outils de débogage;
4) tests de produit réalisés par le fournisseur:
i) tests unitaires;
ii) tests d'intégration;
iii) tests de régression;
b) systèmes d'exploitation:
1) installation;
2) configuration;
3) fonctionnement;
4) architecture;
5) durcissement du système;
6) machines virtuelles;
7) environnement d'exécution java;
c) développement de matériel:
1) réalisations matérielles:
i) mono composant;
© ISO/IEC 2026 – Tous droits réservés
ii) multi-composants;
2) technologie:
i) fabrication à un seul composant;
ii) composants électriques et conception, schémas et concepts, y compris la conception logique et les
représentations en langage de description de matériel (Hardware Description Language, HDL);
iii) conception mécanique et conditionnement;
3) fabrication:
i) intégrité de la chaîne d'approvisionnement;
ii) méthodes de fabrication;
iii) initialisation des paramètres;
iv) conditionnement et expédition;
v) tests et caractérisation;
4) fonctions de sécurité du matériel;
d) environnements opérationnels:
1) chargeur de démarrage (boot loader);
2) chargement;
3) création de liens;
4) gestion et protection de la mémoire;
5) communication inter-processus;
6) contrôle d'accès discrétionnaire;
7) contrôle d'accès basé sur les rôles;
8) formulaires exécutables;
9) mécanismes d'audit;
e) algorithmes, mécanismes et techniques cryptographiques:
1) algorithmes cryptographiques et fonctions de sécurité:
i) clé symétrique;
ii) clé asymétrique;
iii) hachage;
iv) générateurs de bits aléatoires;
v) authentification de messages;
vi) entropie;
vii) modes de fonctionnement;
2) Gestion des SSP:
i) Génération des SSP;
© ISO/IEC 2026 – Tous droits réservés
ii) Établissement des SSP;
a) Transport de SSP ou accord de SSP automatisés;
b) Entrée ou sortie manuelle de SSP via des méthodes directes ou électroniques;
iii) Entrée et sortie des SSP;
iv) Stockage des SSP;
v) Remise à zéro des SSP;
f) mécanismes d'identification et d'authentification:
1) authentification basée sur l'identité;
2) authentification basée sur les rôles;
3) authentificat
...