ISO 22387:2022
(Main)Security and resilience — Authenticity, integrity and trust for products and documents — Validation procedures for the application of artefact metrics
Security and resilience — Authenticity, integrity and trust for products and documents — Validation procedures for the application of artefact metrics
This document specifies a process to qualify the suitability, reliability and effectiveness of artefact metrics as well as artefact metric recognition principles for identification and verification. The artefact metric recognition described in this document can be used to identify or verify artefacts using one or more measurements of their characteristics, each of which is unique to an individual artefact and is supposedly impossible to reproduce. This document is applicable to artefact metrics throughout the life cycle processes of products. Measurement of the resilience of the system where the distinguishing characteristic is degraded is out of the scope of this document. This document is applicable to performance testing of artefact metric systems and algorithms through analysis of the comparison scores and decisions output by the system, without requiring detailed knowledge of the system’s algorithms or of the underlying distribution of characteristics in the objects of interest. This document excludes performance testing where deliberate attacks undermine the artefact metric system.
Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Procédures de validation pour l'application des métriques d'artéfact
Le présent document spécifie un processus qui vise à qualifier l’adaptation, la fiabilité et l’efficacité des métriques d’artéfact, ainsi que les principes de reconnaissance de ces métriques à des fins d’identification et de vérification. La reconnaissance des métriques d’artéfact décrite dans le présent document peut permettre d’identifier ou de vérifier les artéfacts à l’aide d’une ou plusieurs mesures de leurs caractéristiques, chacun étant unique pour un artéfact individuel et censé être impossible à reproduire. Le présent document est applicable aux métriques d’artéfact tout au long des processus du cycle de vie des produits. L’évaluation de la résilience d’un système dont les caractéristiques distinctives sont dégradées n’entre pas dans le domaine d’application du présent document. Le présent document est applicable aux tests de performances des systèmes et algorithmes de métriques d’artéfact via l’analyse des scores de comparaison et des décisions générés par le système, sans qu’il soit nécessaire de connaître en détail les algorithmes du système ni la distribution sous-jacente des caractéristiques des objets d’intérêt. Le présent document exclut les tests de performance lors desquels des attaques délibérées tentent de compromettre le système des métriques d’artéfact.
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22387
First edition
2022-12
Security and resilience — Authenticity,
integrity and trust for products and
documents — Validation procedures
for the application of artefact metrics
Sécurité et résilience — Authenticité, intégrité et confiance pour
les produits et les documents — Procédures de validation pour
l'application des métriques d'artéfact
Reference number
ISO 22387:2022(E)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 22387:2022(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2022 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 22387:2022(E)
Contents Page
Foreword .v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Conformity . . 5
5 Overview of elements of artefact metric systems . 5
5.1 Conceptual overview of an artefact metric system . 5
5.2 Acquisition . 7
5.3 Enrolment . 7
5.4 Comparison decision function . 7
5.5 Artefact metric verification . 8
5.6 Artefact metric identification . 8
6 Requirements for planning an evaluation . 9
6.1 General . 9
6.2 Appointment and responsibilities of the deployment team . 9
6.3 Test specification . 9
6.4 Definition of required functionality . 10
6.5 Selection of appropriate test artefacts . 11
6.6 Definition of acquisition conditions . 11
6.7 Appointment of testers .12
7 Requirements for testing, data collection, analysis and reporting .12
7.1 General .12
7.2 Acquisition and enrolment testing . 13
7.3 Comparison decision performance testing . 13
7.3.1 General .13
7.3.2 False non-match rate . 14
7.3.3 False match rate . 14
7.3.4 Comparison decision recording and reporting . 14
7.4 Verification testing . 15
7.4.1 General .15
7.4.2 False reject rate .15
7.4.3 False accept rate .15
7.4.4 Verification recording and reporting . . 16
7.5 Identification testing . 16
7.5.1 General . 16
7.5.2 False-negative identification rate . 17
7.5.3 False-positive identification rate . 17
7.5.4 Identification recording and reporting . 17
7.6 Throughput rate testing . 18
8 Recommendations for phased deployment of artefact metrics.18
8.1 Types of performance evaluation . 18
8.1.1 General . 18
8.1.2 Acquisition feasibility and comparison decision evaluation . 19
8.1.3 Laboratory evaluation . 19
8.1.4 Operational evaluation . 19
8.2 Guidelines for phased introduction . 19
8.2.1 General . 19
8.2.2 Creating the test specification . 20
8.2.3 Phase 1: Validation of presence of capturable characteristics .20
8.2.4 Phase 2: Assessment of comparison decision performance .20
iii
© ISO 2022 – All rights reserved
---------------------- Page: 3 ----------------------
ISO 22387:2022(E)
8.2.5 Phase 3: Consideration of influences of data acquisition conditions . 21
8.2.6 Phase 4: Ensuring reliability in intended operation environment . 21
Annex A (informative) Artefact metric application .22
Annex B (informative) Application of artefact metrics for self-verification .25
Annex C (informative) Example of data capture conditions and subject artefact conditions .27
Bibliography .28
iv
© ISO 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 22387:2022(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
v
© ISO 2022 – All rights reserved
---------------------- Page: 5 ----------------------
ISO 22387:2022(E)
Introduction
0.1 Artefact metrics
All manufactured objects (artefacts) have variation when studied in detail. Even where artefacts are
manufactured using the same material under the same manufacturing conditions during the same
period, artefacts generally have some distinguishing characteristic. For example, paper sheets from
the same lot made at the same time with the same material and by the same manufacturing process
seem to be the same by the human eye. However, when comparing magnified areas (on the same or
different sheets), the paper fibres are quite different from each other and no two areas are identical.
This is similar to human fingerprints or other biometric attributes.
In some cases, manufacturing techniques and processes can be designed or engineered to impart or
cause to emerge distinguishing characteristics artificially to each object.
Using such distinguishing characteristics, individual components can be recognized by procedures
similar to those used for biometrics.
A database is often used to support the use of artefact metrics. For artefacts that are to be recognized
in this way, unique measurements of distinguishing characteristics for each artefact are acquired
and enrolled in a database. When object recognition is performed, the unique measurements of
distinguishing characteristics of the target artefact are acquired and compared with entries in the
database. Details of this process and its application are explained further in this document.
While many artefact metric systems make use of a database, this is not always necessary and for some
applications the measurements of artefacts can be encoded and attached to or associated with the
artefact. There are some important differences in this case and a description of such a system is given
in Annex B.
This document describes two types of recognition: artefact metric identification and artefact metric
verification.
For artefact metric identification, measurements of the single artefact to be identified are compared
with measurements of artefacts previously enrolled in a database (one to many) and a candidate list
usually comprising one or more identifiers of the closest matching artefact(s) is returned. In this way,
artefact metric identification allows a part or a product to be identified. Where information such as
manufacturing conditions is associated with the reference, this data can be used to recall this and other
artefacts manufactured under the same conditions. Identification also facilitates other functions such
as track and trace and authentication.
For artefact metric verification, measurements of artefacts are enrolled and associated with an
identifier. This identifier, e.g. a unique number in the form of a barcode, is directly associated with the
artefact. The artefact is then subsequently measured, and these measurements are compared with
the database entry associated with the identifier in order to verify the artefact’s identity (one to one).
By performing artefact metric verification, the target artefact is recognized as being the same as that
recorded in the database or as an imposter.
NOTE In cases where no database is used, there is no enrolment process and the measurements are encoded
directly on the artefact. See Annex B for details.
0.2 Traceability throughout supply chains
With the increase in safety awareness, many manufacturers are required to ensure product quality in
their supply chain. In cases where a defect is found in a part included in a product, the manufacturer
must locate and recall all parts with the same defect. In order to do so, it is necessary for manufacturers
to locate the factory, in which batch, by whom and under what manufacturing conditions defective
parts were made.
Manufacturers are required to record sufficient information at the time of manufacturing for all
materials, parts, and products and to ensure that processes are in place that will allow the product to be
vi
© ISO 2022 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 22387:2022(E)
located subsequent to its manufacture to enable their recall. Similar product management is required
throughout the supply chain to ensure product integrity.
Damage caused by counterfeit products is an increasingly serious concern for many interested parties
in supply chains. There have been many cases where counterfeit products have been mixed into the
commercial flow of genuine products, and in some cases, the retailer can unknowingly receive and re-
sell these counterfeit products to customers. In order to protect their reputation and to keep customer
confidence, retailers have a strong motivation to eliminate these counterfeit products.
Quality assurance and anti-counterfeiting are therefore of major concern in supply chains and some
form of object recognition technology for products or parts is required to address these concerns.
Artefact metrics provide this object recognition capability in a way that is very difficult (impossible in
most case) to clone.
Examples of the use of artefact metric systems are provided and explained in Annex A.
0.3 The use of artefact metrics for authentication
This document does not specify all requirements needed to provide an authentication solution but does
provide some important measures of an artefact metric system’s performance in the recognition of
artefacts. When used in conjunction with other measures, artefact metrics can be used as the basis for
effective authentication solutions.
[2]
Where authentication is needed, this document is intended to be used in conjunction with ISO 22383 .
The relationship between these two standards is shown in Figure 1.
Figure 1 — Use of artefact metrics as part of an authentication solution
As Figure 1 shows, since artefact metrics can use measurements of distinguishing characteristics that
are unique to each object, they can provide a very effective basis for authentication. The performance
measures described in this document provide a way to measure the effectiveness of the artefact metric
system based on the technology evaluated.
vii
© ISO 2022 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 22387:2022(E)
0.4 Overview of this document
This document is primarily designed to help manufacturing organizations prepare for the introduction
of artefact metric systems.
— Clause 5 provides an overview of typical artefact metric systems and describes their main functions.
— Clause 6 provides requirements and guidance on how to conduct a set of tests so that they can
provide reliable performance metrics.
— Clause 7 describes the set of tests and reporting requirements.
— Clause 8 describes the set of steps required for the introduction of artefact metric systems to an
organization.
0.5 Additional considerations
As with the deployment and use of any system, a risk assessment should be carried out before
deployment and risks should continue to be assessed throughout the system’s life cycle. In addition to
general risks that apply to the operation of any system, risks related to the system integrity need to be
considered.
Similarly, throughout its life, the system’s performance and reliability should be reviewed and when
possible improved.
When artefact metrics are used as a basis for authentication, the artefact metric system’s performance
provided in this document along with other aspects shown in Figure 1 should be considered. ISO 22383
provides guidelines for these aspects and these should be applied for the deployment and use of artefact
metric systems.
viii
© ISO 2022 – All rights reserved
---------------------- Page: 8 ----------------------
INTERNATIONAL STANDARD ISO 22387:2022(E)
Security and resilience — Authenticity, integrity and trust
for products and documents — Validation procedures for
the application of artefact metrics
1 Scope
This document specifies a process to qualify the suitability, reliability and effectiveness of artefact
metrics as well as artefact metric recognition principles for identification and verification.
The artefact metric recognition described in this document can be used to identify or verify artefacts
using one or more measurements of their characteristics, each of which is unique to an individual
artefact and is supposedly impossible to reproduce.
This document is applicable to artefact metrics throughout the life cycle processes of products.
Measurement of the resilience of the system where the distinguishing characteristic is degraded is out
of the scope of this document.
This document is applicable to performance testing of artefact metric systems and algorithms through
analysis of the comparison scores and decisions output by the system, without requiring detailed
knowledge of the system’s algorithms or of the underlying distribution of characteristics in the objects
of interest.
This document excludes performance testing where deliberate attacks undermine the artefact metric
system.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
artefact
object made directly or indirectly by a person
Note 1 to entry: An object can be a product, a document or a component part thereof suitable for measurement of
their characteristics.
Note 2 to entry: In some cases, artefacts can be naturally occurring objects.
1
© ISO 2022 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 22387:2022(E)
3.2
artefact metric
measurement of a characteristic of an artefact (3.1)
Note 1 to entry: The measurement can be based either on a natural (intrinsic) characteristic of the object itself or
on a characteristic expressed during manufacturing.
Note 2 to entry: The use of the term “artefact metrics” is proposed as being conceptually similar to “biometrics”,
for which uniqueness in biological entities is utilized. Unlike biometrics, artefact metrics utilizes uniqueness in
physical objects/things, physical processes or their combinations. In some cases, this document uses the term
[5]
“artefact metrics” in this way but the meaning is generally clear from the context .
3.3
distinguishing characteristic
characteristic shared by a set of artefacts (3.1) from which measurements can be made that are unique
for each artefact
3.4
artefact metric signal
data that represents the measured characteristic and which are functionally related to the artefact (3.1)
Note 1 to entry: A signal can include an image, electrical signal, measurement of physical characteristic,
structural geometry, etc.
Note 2 to entry: Unique measurements are extracted from this signal and used as probes (3.7) or references (3.8).
3.5
artefact metric recognition
automated recognition of single artefacts (3.1) based on their distinguishing characteristics (3.3)
Note 1 to entry: Artefact metric recognition describes both artefact metric verification (3.16) and artefact metric
identification (3.19).
[SOURCE: ISO/IEC 2382-37:2022, 37.01.03, modified — “artefact metric” replaced “biometric” in
the term. “single artefacts” replaced “individuals” and “distinguishing” replaced “biological and
behavioural” in the definition. Notes to entry replaced by a new Note 1 to entry.]
3.6
artefact metric system
system for artefact metric recognition (3.5) of objects based on distinguishing characteristics (3.3)
[SOURCE: ISO/IEC 2382-37:2022, 37.02.03, modified — “artefact metric” replaced “biometric” in the
term. “artefact metric recognition” replaced “the purpose of the biometric recognition”, “objects”
replaced “individuals”, and “distinguishing” replaced “biological and behavioural” in the definition.
Note 1 to entry deleted.]
3.7
probe
artefact metric data set input to an algorithm for comparison to reference(s) (3.8)
Note 1 to entry: Measurement (pre-processed sensor data) of a distinguishing characteristic (3.3) of a single
artefact is the artefact metric data used as a probe in this document.
[SOURCE: ISO/IEC 2382-37:2022, 37.03.14, modified — “biometric” deleted from the term. “artefact
metric data” replaced “biometric sample or biometric feature”, “a biometric” deleted. Notes to entry
replaced by a new Note 1 to entry.]
3.8
reference
enrolled artefact metric data used as the object of comparison
Note 1 to entry: Measurement (pre-processed sensor data) of a distinguishing characteristic (3.3) of a single
artefact is the artefact metric data used as a reference in this document.
2
© ISO 2022 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 22387:2022(E)
[SOURCE: ISO/IEC 2382-37:2022, 37.03.16, modified — “biometric” deleted from the term. “enrolled
artefact metric data” replaced “one or more stored biometric samples, biometric templates or biometric
models attributed to a biometric data subject and”, “biometric” deleted. Example deleted. Notes to entry
replaced by a new Note 1 to entry.]
3.9
comparison decision
determination of whether the probe(s) (3.7) and reference(s) (3.8) are from the same artefact (3.1),
based on a comparison score(s), decision policy(ies) including a threshold, and possibly other inputs
[SOURCE: ISO/IEC 2382-37:2022, 37.03.26, modified — “biometric” deleted before “probe(s)” and
“reference(s)”, “are from the same artefact” replaced “have the same biometric source”. Note 1 to entry
deleted.]
3.10
false match
comparison decision (3.9) of match for a probe (3.7) and a reference (3.8) that are from different
individual artefacts (3.1)
[SOURCE: ISO/IEC 2382-37:2022, 73.09.08, modified — “biometric” deleted before “probe” and
“reference”, “individual artefacts” replaced “biometric capture subjects”. Note 1 to entry deleted.]
3.11
non-mated comparison trial
comparison of a probe (3.7) and a reference (3.8) from different artefacts (3.1) as part of a performance
test
Note 1 to entry: A set of non-mated comparison trials need not contain all possible comparisons of probes and
references from different artefacts.
[SOURCE: ISO/IEC 2382-37:2022, 37.09.02, modified — “biometric” deleted from the term. “biometric”
deleted before “probe” and “reference”, and “artefacts” replaced “biometric data subjects”. Note 1 to
entry deleted. Note 2 to entry renumbered as Note 1 to entry and modified: “biometric” deleted before
“non-mated”, “probes” and “references”, and “artefacts” replaced “biometric data subjects”.]
3.12
false match rate
FMR
proportion of the completed non-mated comparison trials (3.11) that result in a false match (3.10)
Note 1 to entry: “Completed” refers to the computational processes required to make a comparison decision, i.e.
failures to decide are excluded.
[SOURCE: ISO/IEC 2382-37:2022, 37.09.09, modified — “biometric” deleted before “non-mated”. Notes 1
and 2 to entry deleted. Note 3 to entry renumbered as Note 1 to entry.]
3.13
false non-match
comparison decision (3.9) of non-match for a probe (3.7) and a reference (3.8) that are from the same
artefact (3.1) and of the same artefact metric characteristic
[SOURCE: ISO/IEC 2382-37:2022, 37.09.10, modified — “biometric” deleted before “probe” and
“reference”, “artefact” replaced “biometric capture subject”, “artefact metric” replaced “biometric”.
Note 1 to entry deleted.]
3
© ISO 2022 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 22387:2022(E)
3.14
mated comparison trial
comparison of a probe (3.7) and a refere
...
ISO 22387:2022(F)
Date: 2022-12
ISO/TC 292
Date : 2022-10-17
ISO 22387:2022 (F)
ISO/TC 292
Secrétariat: SIS
Sécurité et résilience — Authenticité, intégrité et confiance pour
les produits et les documents — Procédures de validation pour
l’application des métriques d’artéfact
Security and resilience — Authenticity, integrity and trust for products and documents —
Validation procedures for the application of artefact metrics
ICS : 03.100.01
Type du document: Norme internationale
Sous-type du document:
Stade du document: (60) Publication
Langue du document: F
---------------------- Page: 1 ----------------------
ISO 22387:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
©© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune
partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie, l’affichageou la diffusion sur l’internet ou sur un
Intranetintranet, sans autorisation écrite préalable. Les demandes d’autorisation peuventUne autorisation peut
être adresséesdemandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright officeCopyright Office
CPCase postale 401 • Ch. de Blandonnet 8
• CH-1214 Vernier, Genève
Tél. : : + 41 22 749 01 11
Fax : + 41 22 749 09 47
E-mail : copyright@iso.org : copyright@iso.org
Web : : www.iso.org
Publié en Suisse.
ii © ISO 2022 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 22387:2022(F)
Sommaire Page
Avant-propos . v
Introduction . vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Conformité . 7
5 Vue d’ensemble des éléments des systèmes de métriques d’artéfact . 7
5.1 Vue d’ensemble conceptuelle d’un système de métriques d’artéfact . 7
5.2 Acquisition . 8
5.3 Enrôlement . 9
5.4 Fonction de décision de comparaison . 9
5.5 Vérification de métriques d’artéfact . 10
5.6 Identification des métriques d’artéfact . 10
6 Exigences relatives à la planification d’une évaluation . 11
6.1 Généralités . 11
6.2 Nomination et responsabilités de l’équipe de déploiement . 11
6.3 Spécification de test. 12
6.4 Définition de la fonctionnalité requise. 13
6.5 Sélection d’artéfacts de test appropriés . 13
6.6 Définition des conditions d’acquisition . 14
6.7 Nomination des testeurs . 15
7 Exigences concernant les tests, la collecte de données, l’analyse et l’établissement de
comptes rendus . 16
7.1 Généralités . 16
7.2 Tests d’acquisition et d’enrôlement . 16
7.3 Tests de performance de la fonction de décision de comparaison . 17
7.3.1 Généralités . 17
7.3.2 Taux de fausses non-correspondances . 17
7.3.3 Taux de fausses correspondances . 18
7.3.4 Enregistrement et compte rendu d’une décision de comparaison . 18
7.4 Tests de vérification . 18
7.4.1 Généralités . 18
7.4.2 Taux de faux rejets . 19
7.4.3 Taux de fausses acceptations . 19
7.4.4 Enregistrement et compte rendu d’une vérification . 20
7.5 Tests d’identification . 20
7.5.1 Généralités . 20
7.5.2 Taux d’identification des faux négatifs. 21
7.5.3 Taux d’identification des faux positifs . 21
7.5.4 Enregistrement et compte rendu d’une identification . 22
7.6 Tests de débit . 22
8 Recommandations pour le déploiement par phases des métriques d’artéfact . 23
8.1 Types d’évaluations des performances . 23
8.1.1 Généralités . 23
© ISO 2022 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 22387:2022(F)
8.1.2 Évaluation de la faisabilité de l’acquisition et de la décision de comparaison . 23
8.1.3 Évaluation en laboratoire . 24
8.1.4 Évaluation opérationnelle . 24
8.2 Lignes directrices pour l’introduction par phases . 24
8.2.1 Généralités . 24
8.2.2 Création de la spécification de test . 25
8.2.3 Phase 1: Validation de la présence de caractéristiques capturables . 25
8.2.4 Phase 2: Évaluation des performances de la fonction de décision de comparaison . 26
8.2.5 Phase 3: Considérations sur l’influence des conditions d’acquisition des données . 26
8.2.6 Phase 4: Assurer la fiabilité dans l’environnement opérationnel prévu . 26
Annexe A (informative) Application des métriques d’artéfact . 28
Annexe B (informative) Application des métriques d’artéfact pour l’auto-vérification . 31
Annexe C (informative) Exemple de conditions de capture de données et de conditions
d’artéfacts du sujet . 34
Bibliographie . 35
iv © ISO 2022 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 22387:2022(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux
de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général
confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents critères
d’approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les références
aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration du document
sont indiqués dans l’Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISO (voir
www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion de
l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/avant-proposle lien suivant : .
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.
© ISO 2022 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 22387:2022(F)
Introduction
0.1 Métriques d’artéfact
Tous les objets manufacturés (artéfacts) présentent des variations lorsqu’ils sont étudiés en détail. Même
lorsque des artéfacts sont fabriqués à l’aide des mêmes matériaux, dans les mêmes conditions de fabrication
au cours de la même période, ils présentent généralement des caractéristiques distinctives. Par exemple, des
feuilles de papier issues du même lot, fabriquées au même moment, avec les mêmes matériaux et selon le
même processus de fabrication semblent identiques à l’œil nu. Toutefois, lorsque l’on agrandit certaines
zones (d’une même feuille ou de feuilles différentes) et qu’on les compare, les fibres du papier sont assez
différentes les unes des autres et il est impossible de trouver deux zones identiques. Il en va de même avec
les empreintes digitales humaines ou d’autres attributs biométriques.
Dans certains cas, les techniques et processus de fabrication peuvent être pensés ou conçus pour conférer
des caractéristiques distinctives à chaque objet ou les y faire apparaître artificiellement.
Ces caractéristiques permettent de reconnaître des composants individuels à l’aide de procédures
semblables à celles utilisées par la biométrie.
Le plus souvent, une base de données est utilisée avec les métriques d’artéfact. Pour les artéfacts qui doivent
être reconnus de cette manière, des mesures uniques des caractéristiques distinctives sont acquises pour
chaque artéfact et enrôlées dans une base de données. Une fois la reconnaissance d’objet effectuée, les
mesures uniques des caractéristiques distinctives de l’artéfact cible sont acquises et comparées aux entrées
de la base de données. Ce processus et son application sont décrits plus en détail dans le présent document.
Si de nombreux systèmes de métriques d’artéfact utilisent une base de données, cela n’est pas toujours
nécessaire et pour certaines applications, les mesures peuvent être codées et jointes ou associées à l’artéfact.
Dans ce cas, les différences sont importantes et l’Annexe B contient une description d’un tel système.
Le présent document décrit deux types de reconnaissance: l’identification des métriques d’artéfact et la
vérification des métriques d’artéfact.
Pour l’identification des métriques d’artéfact, les mesures de l’artéfact unique à identifier sont comparées
aux mesures des artéfacts précédemment enrôlées dans une base de données (un à plusieurs) et une liste
des candidats comprenant généralement un ou plusieurs identificateurs du ou des artéfacts correspondant
le mieux est renvoyée. Ainsi, l’identification des métriques d’artéfact permet d’identifier une pièce ou un
produit. Lorsque des informations telles que les conditions de fabrication sont associées à la référence, ces
données peuvent être utilisées pour rappeler cet artéfact et d’autres artéfacts fabriqués dans les mêmes
conditions. L’identification facilite également d’autres fonctions telles que le suivi &et traçabilité et
l’authentification.
Pour la vérification de métriques d’artéfact, les mesures des artéfacts sont enrôlées et associées à un
identifiant. Cet identifiant, par exemple un nombre unique représenté sous la forme d’un code à barres, est
associé directement à l’artéfact. L’artéfact est ensuite mesuré et ces mesures sont comparées avec l’entrée
de la base de données associée à l’identifiant afin de vérifier l’identité de l’artéfact (un à un). Grâce à la
vérification de métriques d’artéfact, l’artéfact cible est reconnu comme étant celui qui est enregistré dans la
base de données, ou comme un imposteur.
NOTE Lorsqu’aucune base de données n’est utilisée, le processus d’enrôlement n’a pas lieu d’être et les mesures
sont encodées directement dans l’artéfact. Pour plus de détails, voir l’Annexe B.
vi © ISO 2022 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 22387:2022(F)
0.2 Traçabilité dans les chaînes d’approvisionnement
La sensibilisation à la sécurité des personnes ne cessant de gagner du terrain, de nombreux fabricants sont
tenus d’assurer la qualité des produits dans leur chaîne d’approvisionnement. Lorsqu’un défaut est trouvé
dans une pièce incluse dans un produit, le fabricant doit localiser et rappeler toutes les pièces présentant le
même défaut. Pour cela, il doit localiser l’usine, le lot, la personne responsable et les conditions dans
lesquelles les pièces défectueuses ont été fabriquées.
Lors de la fabrication, les fabricants sont tenus d’enregistrer suffisamment d’informations concernant tous
les matériaux, pièces et produits, et d’assurer que des processus ont été mis en place pour localiser le produit
après sa fabrication afin de pouvoir le rappeler. Une gestion harmonisée des produits est exigée dans toute
la chaîne d’approvisionnement pour assurer leur intégrité.
Les dommages causés par les produits de contrefaçon préoccupent de plus en plus de nombreuses parties
intéressées des chaînes d’approvisionnement. Bien souvent, des produits de contrefaçon sont mélangés au
flux commercial des produits authentiques et, dans certains cas, le détaillant peut recevoir et revendre ces
produits à ses clients à son insu. Afin de protéger leur réputation et de conserver la confiance de ses clients,
les détaillants ont une forte motivation pour éliminer les produits de contrefaçon.
L’assurance qualité et la lutte contre la contrefaçon sont par conséquent une préoccupation majeure sur les
chaînes d’approvisionnement, et une technologie de reconnaissance des objets applicable aux produits ou
aux pièces est exigée pour y répondre. La capacité de reconnaissance des objets par les métriques d’artéfact
telle qu’elle est proposée est très difficile (voire impossible, dans la plupart des cas) à cloner.
L’Annexe A contient et décrit des exemples d’utilisation de systèmes de métriques d’artéfact.
0.3 L’utilisation des métriques d’artéfact pour l’authentification
Le présent document ne spécifie pas toutes les exigences nécessaires pour proposer une solution
d’authentification, mais fournit certaines mesures importantes des performances d’un système de
métriques d’artéfact dans la reconnaissance des artéfacts. Lorsqu’ils sont utilisés avec d’autres mesures, les
métriques d’artéfact peuvent servir de base à des solutions d’authentification efficaces.
Lorsqu’une authentification est nécessaire, le présent document est destiné à être utilisé conjointement avec
[2]
l’ISO 22383. La relation entre ces deux normes est illustrée à la Figure 1.
© ISO 2022 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO 22387:2022(F)
Figure 1 — Utilisation des métriques d’artéfact dans le cadre d’une solution d’authentification
Ainsi que le montre la Figure 1, comme les métriques d’artéfact peuvent utiliser les mesures de
caractéristiques distinctives propres à chaque objet, ils peuvent constituer une base efficace pour
l’authentification. Les mesures des performances décrites dans le présent document permettent de mesurer
l’efficacité du système de métriques d’artéfact sur la base de la technologie évaluée.
0.4 Vue d’ensemble du présent document
Le présent document a pour objectif principal d’aider les fabricants à se préparer à l’introduction de
systèmes de métriques d’artéfact.
— L’Article 5 propose une vue d’ensemble des systèmes de métriques d’artéfact types et décrit leurs
principales fonctions.
— L’Article 6 contient des exigences et des recommandations relatives à la conduite d’une série de tests
susceptibles de fournir des métriques de performances fiables.
— L’Article 7 décrit la série de tests et les exigences relatives à l’établissement du compte rendu.
— L’Article 8 décrit la procédure requise pour introduire des systèmes de métriques d’artéfact dans une
organisation.
0.5 Autres considérations
Comme lors du déploiement et de l’utilisation de n’importe quel système, il convient de procéder à une
évaluation du risque avant le déploiement et de continuer à évaluer les risques tout au long du cycle de vie
du système. Outre les risques généraux qui concernent le fonctionnement de n’importe quel système, les
risques associés à l’intégrité du système doivent être pris en compte.
viii © ISO 2022 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 22387:2022(F)
De même, il convient de passer en revue et, si possible, d’améliorer les performances et la fiabilité du système
tout au long de sa vie.
Lorsque les métriques d’artéfact servent de base à l’authentification, il convient de prendre en compte les
performances du système de métriques d’artéfact fournies dans le présent document, ainsi que les autres
aspects présentés à la Figure 1. L’ISO 22383 fournit des lignes directrices relatives à ces aspects et il convient
de les appliquer pour le déploiement et l’utilisation des systèmes de métriques d’artéfact.
© ISO 2022 – Tous droits réservés ix
---------------------- Page: 9 ----------------------
NORME INTERNATIONALE ISO 22387:2022(F)
Sécurité et résilience — Authenticité, intégrité et confiance pour
les produits et les documents — Procédures de validation pour
l’application des métriques d’artéfact
1 Domaine d’application
Le présent document spécifie un processus qui vise à qualifier l’adaptation, la fiabilité et l’efficacité des
métriques d’artéfact, ainsi que les principes de reconnaissance de ces métriques à des fins d’identification
et de vérification.
La reconnaissance des métriques d’artéfact décrite dans le présent document peut permettre d’identifier
ou de vérifier les artéfacts à l’aide d’une ou plusieurs mesures de leurs caractéristiques, chacun étant
unique pour un artéfact individuel et censé être impossible à reproduire.
Le présent document est applicable aux métriques d’artéfact tout au long des processus du cycle de vie
des produits.
L’évaluation de la résilience d’un système dont les caractéristiques distinctives sont dégradées n’entre
pas dans le domaine d’application du présent document.
Le présent document est applicable aux tests de performances des systèmes et algorithmes de métriques
d’artéfact via l’analyse des scores de comparaison et des décisions générés par le système, sans qu’il soit
nécessaire de connaître en détail les algorithmes du système ni la distribution sous-jacente des
caractéristiques des objets d’intérêt.
Le présent document exclut les tests de performance lors desquels des attaques délibérées tentent de
compromettre le système des métriques d’artéfact.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions donnés de l’ISO 22300 ainsi que les
suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
© ISO 2022 – Tous droits réservés 1
---------------------- Page: 10 ----------------------
ISO 22387:2022(F)
— ISO Online browsing platform: disponible à l’adresse https://www.iso.org/obp
— IEC Electropedia: disponible à l’adresse https://www.electropedia.org/
3.1
artéfact
objet fabriqué directement ou indirectement par une personne
Note 1 à l’article: Il peut s’agir d’un produit, d’un document, d’un composant de produit ou d’une partie de document
adapté aux mesures de ses caractéristiques.
Note 2 à l’article: Dans certains cas, les artéfacts peuvent être des objets d’origine naturelle.
3.2
métrique d’artéfact
mesure d’une caractéristique d’un artéfact (3.1)
Note 1 à l’article: La mesure peut être basée sur une caractéristique naturelle (intrinsèque) de l’objet lui-même, ou
sur une caractéristique issue de la fabrication.
Note 2 à l’article: Le terme «métriques d’artéfact» est utilisé dans le même sens que le terme «éléments
biométriques», qui s’appuie sur le caractère unique des entités biologiques. Contrairement aux éléments
biométriques, les métriques d’artéfact s’appuient sur le caractère unique des objets/choses physiques, des
processus physiques ou de combinaisons de ceux-ci. Dans le présent document, le terme «métriques d’artéfact» est
[5]
parfois utilisé dans ce sens, ce que le contexte permet généralement de comprendre .
3.3
caractéristique distinctive
caractéristique partagée par une série d’artéfacts (3.1) qui peut faire l’objet de mesures uniques pour
chaque artéfact
3.4
signal de métrique d’artéfact
données qui représentent la caractéristique mesurée et qui ont un lien fonctionnel avec l’artéfact (3.1)
Note 1 à l’article: Il peut s’agir d’une image, d’un signal électrique, de mesure d’une caractéristique physique, d’une
géométrie structurale, etc.
Note 2 à l’article: Les mesures uniques sont extraites de ce signal et utilisées en tant que requêtes (3.7) ou
références (3.8).
3.5
reconnaissance de métriques d’artéfact
reconnaissance automatique d’artéfacts (3.1) uniques sur la base de leurs caractéristiques
distinctives (3.3)
Note 1 à l’article: La reconnaissance des métriques d’artéfact décrit la vérification des métriques d’artéfact (3.16) et
l’identification des métriques d’artéfact (3.19).
[SOURCE: ISO/IEC 2382-37:2022, 37.01.03, modifié — dans le terme, «métriques d’artéfact» remplace
«biométrique». Dans la définition, «artéfacts uniques» remplace «individus» et «distinctives» remplace
«biologiques et comportementales». Les notes à l’article ont été remplacées par une nouvelle Note 1 à
l’article.]
© ISO 2022 – Tous droits réservés
2
---------------------- Page: 11 ----------------------
ISO 22387:2022(F)
3.6
système de métriques d’artéfact
système de reconnaissance de métriques d’artéfact (3.5) d’objets sur la base des caractéristiques
distinctives (3.3)
[SOURCE: ISO/IEC 2382-37:2022, 37.02.03, modifié — «de métriques d’artéfact» remplace
«biométrique» dans le terme. Dans la définition, «reconnaissance de métriques d’artéfact» remplace
«destiné à la reconnaissance biométrique», «objets» remplace «individus», et «distinctives» remplace
«biologiques et comportementales». La Note 1 à l’article a été supprimée.]
3.7
requête
éléments d’entrée d’une série de données de métriques d’artéfact dans un algorithme pour la
comparaison avec une (des) référence(s) (3.8)
Note 1 à l’article: La mesure (données de capteurs prétraitées) d’une caractéristique distinctive (3.3) d’un artéfact
unique correspond aux données métriques d’artéfact utilisées en tant que requête dans le présent document.
[SOURCE: ISO/IEC 2382-37:2022, 37.03.14, modifié — «biométrique» a été supprimé du terme. «données
de métriques d’artéfact» remplace «échantillon biométrique ou élément biométrique», «un élément
biométrique» a été supprimé. Les notes à l’article ont été remplacées par une nouvelle Note 1 à l’article.]
3.8
référence
données de métriques d’artéfact enrôlées en tant qu’objet de la comparaison
Note 1 à l’article: La mesure (données de capteurs prétraitées) d’une caractéristique distinctive (3.3) d’un artéfact
unique correspond aux données de métriques d’artéfact utilisées en tant que référence dans le présent document.
[SOURCE: ISO/IEC 2382-37:2022, 37.03.16, modifié — «biométrique» a été supprimé du terme. «données
de métriques d’artéfact enrôlées» remplace «un ou plusieurs échantillons biométriques stockés, des
modèles biométriques ou des modèles biométriques attribués à une personne concernée par les données
biométriques et», «biométrique» a été supprimé. L’exemple a été supprimé. Les notes à l’article ont été
remplacées par une nouvelle Note 1 à l’article.]
3.9
décision de comparaison
action pour déterminer si la (les) requête(s) (3.7) et référence(s) (3.8) proviennent du même
artéfact (3.1), sur la base d’un (de) score(s) de comparaison, d’une (de) politique(s) décisionnelle(s)
comprenant un seuil et éventuellement d’autres éléments d’entrée
[SOURCE: ISO/IEC 2382-37:2022, 37.03.26, modifié — «biométrique» a été supprimé après «requête(s)»
et «référence(s)», «proviennent du même artéfact» remplace «ont la même source biométrique». La
Note 1 à l’article a été supprimée.]
3.10
fausse correspondance
décision de comparaison (3.9) de correspondance pour une requête (3.7) et une référence (3.8) provenant
de différents artéfacts (3.1) individuels
[SOURCE: ISO/IEC 2382-37:2022, 73.09.08, modifié — «biométrique» a été supprimé aprè
...
NORME ISO
INTERNATIONALE 22387
Première édition
2022-12
Sécurité et résilience — Authenticité,
intégrité et confiance pour les
produits et les documents —
Procédures de validation pour
l'application des métriques d'artéfact
Security and resilience — Authenticity, integrity and trust for
products and documents — Validation procedures for the application
of artefact metrics
Numéro de référence
ISO 22387:2022(F)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 22387:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO 2022 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 22387:2022(F)
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Conformité . 6
5 Vue d’ensemble des éléments des systèmes de métriques d’artéfact .6
5.1 Vue d’ensemble conceptuelle d’un système de métriques d’artéfact . 6
5.2 Acquisition . 7
5.3 Enrôlement . 8
5.4 Fonction de décision de comparaison . 8
5.5 Vérification de métriques d’artéfact. 9
5.6 Identification des métriques d’artéfact . 9
6 Exigences relatives à la planification d’une évaluation .10
6.1 Généralités . 10
6.2 Nomination et responsabilités de l’équipe de déploiement . 10
6.3 Spécification de test . 10
6.4 Définition de la fonctionnalité requise . 11
6.5 Sélection d’artéfacts de test appropriés . .12
6.6 Définition des conditions d’acquisition .12
6.7 Nomination des testeurs . .13
7 Exigences concernant les tests, la collecte de données, l’analyse et l’établissement
de comptes rendus .14
7.1 Généralités . 14
7.2 Tests d’acquisition et d’enrôlement . 14
7.3 Tests de performance de la fonction de décision de comparaison .15
7.3.1 Généralités .15
7.3.2 Taux de fausses non-correspondances . 15
7.3.3 Taux de fausses correspondances . 15
7.3.4 Enregistrement et compte rendu d’une décision de comparaison . 16
7.4 Tests de vérification . 16
7.4.1 Généralités . 16
7.4.2 Taux de faux rejets . 16
7.4.3 Taux de fausses acceptations . 17
7.4.4 Enregistrement et compte rendu d’une vérification . 17
7.5 Tests d’identification . 17
7.5.1 Généralités . 17
7.5.2 Taux d’identification des faux négatifs . 18
7.5.3 Taux d’identification des faux positifs . 19
7.5.4 Enregistrement et compte rendu d’une identification . 19
7.6 Tests de débit . 19
8 Recommandations pour le déploiement par phases des métriques d’artéfact .20
8.1 Types d’évaluations des performances . 20
8.1.1 Généralités .20
8.1.2 Évaluation de la faisabilité de l’acquisition et de la décision de comparaison .20
8.1.3 Évaluation en laboratoire . 21
8.1.4 Évaluation opérationnelle . 21
8.2 Lignes directrices pour l’introduction par phases . 21
8.2.1 Généralités . 21
8.2.2 Création de la spécification de test . 21
8.2.3 Phase 1: Validation de la présence de caractéristiques capturables .22
iii
© ISO 2022 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO 22387:2022(F)
8.2.4 Phase 2: Évaluation des performances de la fonction de décision de
comparaison .22
8.2.5 Phase 3: Considérations sur l’influence des conditions d’acquisition des
données . 22
8.2.6 Phase 4: Assurer la fiabilité dans l’environnement opérationnel prévu .23
Annexe A (informative) Application des métriques d’artéfact .24
Annexe B (informative) Application des métriques d’artéfact pour l’auto-vérification.27
Annexe C (informative) Exemple de conditions de capture de données et de l’état d’artéfact .29
Bibliographie .30
iv
© ISO 2022 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 22387:2022(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
© ISO 2022 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO 22387:2022(F)
Introduction
0.1 Métriques d’artéfact
Tous les objets manufacturés (artéfacts) présentent des variations lorsqu’ils sont étudiés en détail.
Même lorsque des artéfacts sont fabriqués à l’aide des mêmes matériaux, dans les mêmes conditions de
fabrication au cours de la même période, ils présentent généralement des caractéristiques distinctives.
Par exemple, des feuilles de papier issues du même lot, fabriquées au même moment, avec les mêmes
matériaux et selon le même processus de fabrication semblent identiques à l’œil nu. Toutefois, lorsque
l’on agrandit certaines zones (d’une même feuille ou de feuilles différentes) et qu’on les compare, les
fibres du papier sont assez différentes les unes des autres et il est impossible de trouver deux zones
identiques. Il en va de même avec les empreintes digitales humaines ou d’autres attributs biométriques.
Dans certains cas, les techniques et processus de fabrication peuvent être pensés ou conçus pour
conférer des caractéristiques distinctives à chaque objet ou les y faire apparaître artificiellement.
Ces caractéristiques permettent de reconnaître des composants individuels à l’aide de procédures
semblables à celles utilisées par la biométrie.
Le plus souvent, une base de données est utilisée avec les métriques d’artéfact. Pour les artéfacts qui
doivent être reconnus de cette manière, des mesures uniques des caractéristiques distinctives sont
acquises pour chaque artéfact et enrôlées dans une base de données. Une fois la reconnaissance d’objet
effectuée, les mesures uniques des caractéristiques distinctives de l’artéfact cible sont acquises et
comparées aux entrées de la base de données. Ce processus et son application sont décrits plus en détail
dans le présent document.
Si de nombreux systèmes de métriques d’artéfact utilisent une base de données, cela n’est pas toujours
nécessaire et pour certaines applications, les mesures peuvent être codées et jointes ou associées à
l’artéfact. Dans ce cas, les différences sont importantes et l’Annexe B contient une description d’un tel
système.
Le présent document décrit deux types de reconnaissance: l’identification des métriques d’artéfact et la
vérification des métriques d’artéfact.
Pour l’identification des métriques d’artéfact, les mesures de l’artéfact unique à identifier sont
comparées aux mesures des artéfacts précédemment enrôlées dans une base de données (un à
plusieurs) et une liste des candidats comprenant généralement un ou plusieurs identificateurs du ou des
artéfacts correspondant le mieux est renvoyée. Ainsi, l’identification des métriques d’artéfact permet
d’identifier une pièce ou un produit. Lorsque des informations telles que les conditions de fabrication
sont associées à la référence, ces données peuvent être utilisées pour rappeler cet artéfact et d’autres
artéfacts fabriqués dans les mêmes conditions. L’identification facilite également d’autres fonctions
telles que le suivi et traçabilité et l’authentification.
Pour la vérification de métriques d’artéfact, les mesures des artéfacts sont enrôlées et associées à un
identifiant. Cet identifiant, par exemple un nombre unique représenté sous la forme d’un code à barres,
est associé directement à l’artéfact. L’artéfact est ensuite mesuré et ces mesures sont comparées avec
l’entrée de la base de données associée à l’identifiant afin de vérifier l’identité de l’artéfact (un à un).
Grâce à la vérification de métriques d’artéfact, l’artéfact cible est reconnu comme étant celui qui est
enregistré dans la base de données, ou comme un imposteur.
NOTE Lorsqu’aucune base de données n’est utilisée, le processus d’enrôlement n’a pas lieu d’être et les
mesures sont encodées directement dans l’artéfact. Pour plus de détails, voir l’Annexe B.
0.2 Traçabilité dans les chaînes d’approvisionnement
La sensibilisation à la sécurité des personnes ne cessant de gagner du terrain, de nombreux fabricants
sont tenus d’assurer la qualité des produits dans leur chaîne d’approvisionnement. Lorsqu’un défaut est
trouvé dans une pièce incluse dans un produit, le fabricant doit localiser et rappeler toutes les pièces
présentant le même défaut. Pour cela, il doit localiser l’usine, le lot, la personne responsable et les
conditions dans lesquelles les pièces défectueuses ont été fabriquées.
vi
© ISO 2022 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 22387:2022(F)
Lors de la fabrication, les fabricants sont tenus d’enregistrer suffisamment d’informations concernant
tous les matériaux, pièces et produits, et d’assurer que des processus ont été mis en place pour localiser
le produit après sa fabrication afin de pouvoir le rappeler. Une gestion harmonisée des produits est
exigée dans toute la chaîne d’approvisionnement pour assurer leur intégrité.
Les dommages causés par les produits de contrefaçon préoccupent de plus en plus de nombreuses
parties intéressées des chaînes d’approvisionnement. Bien souvent, des produits de contrefaçon sont
mélangés au flux commercial des produits authentiques et, dans certains cas, le détaillant peut recevoir
et revendre ces produits à ses clients à son insu. Afin de protéger leur réputation et de conserver
la confiance de ses clients, les détaillants ont une forte motivation pour éliminer les produits de
contrefaçon.
L’assurance qualité et la lutte contre la contrefaçon sont par conséquent une préoccupation majeure
sur les chaînes d’approvisionnement, et une technologie de reconnaissance des objets applicable aux
produits ou aux pièces est exigée pour y répondre. La capacité de reconnaissance des objets par les
métriques d’artéfact telle qu’elle est proposée est très difficile (voire impossible, dans la plupart des
cas) à cloner.
L’Annexe A contient et décrit des exemples d’utilisation de systèmes de métriques d’artéfact.
0.3 L’utilisation des métriques d’artéfact pour l’authentification
Le présent document ne spécifie pas toutes les exigences nécessaires pour proposer une solution
d’authentification, mais fournit certaines mesures importantes des performances d’un système de
métriques d’artéfact dans la reconnaissance des artéfacts. Lorsqu’ils sont utilisés avec d’autres mesures,
les métriques d’artéfact peuvent servir de base à des solutions d’authentification efficaces.
Lorsqu’une authentification est nécessaire, le présent document est destiné à être utilisé conjointement
[2]
avec l’ISO 22383. La relation entre ces deux normes est illustrée à la Figure 1.
Figure 1 — Utilisation des métriques d’artéfact dans le cadre d’une solution d’authentification
Ainsi que le montre la Figure 1, comme les métriques d’artéfact peuvent utiliser les mesures de
caractéristiques distinctives propres à chaque objet, ils peuvent constituer une base efficace pour
l’authentification. Les mesures des performances décrites dans le présent document permettent de
mesurer l’efficacité du système de métriques d’artéfact sur la base de la technologie évaluée.
vii
© ISO 2022 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 22387:2022(F)
0.4 Vue d’ensemble du présent document
Le présent document a pour objectif principal d’aider les fabricants à se préparer à l’introduction de
systèmes de métriques d’artéfact.
— L’Article 5 propose une vue d’ensemble des systèmes de métriques d’artéfact types et décrit leurs
principales fonctions.
— L’Article 6 contient des exigences et des recommandations relatives à la conduite d’une série de tests
susceptibles de fournir des métriques de performances fiables.
— L’Article 7 décrit la série de tests et les exigences relatives à l’établissement du compte rendu.
— L’Article 8 décrit la procédure requise pour introduire des systèmes de métriques d’artéfact dans
une organisation.
0.5 Autres considérations
Comme lors du déploiement et de l’utilisation de n’importe quel système, il convient de procéder à une
évaluation du risque avant le déploiement et de continuer à évaluer les risques tout au long du cycle de
vie du système. Outre les risques généraux qui concernent le fonctionnement de n’importe quel système,
les risques associés à l’intégrité du système doivent être pris en compte.
De même, il convient de passer en revue et, si possible, d’améliorer les performances et la fiabilité du
système tout au long de sa vie.
Lorsque les métriques d’artéfact servent de base à l’authentification, il convient de prendre en compte
les performances du système de métriques d’artéfact fournies dans le présent document, ainsi que les
autres aspects présentés à la Figure 1. L’ISO 22383 fournit des lignes directrices relatives à ces aspects
et il convient de les appliquer pour le déploiement et l’utilisation des systèmes de métriques d’artéfact.
viii
© ISO 2022 – Tous droits réservés
---------------------- Page: 8 ----------------------
NORME INTERNATIONALE ISO 22387:2022(F)
Sécurité et résilience — Authenticité, intégrité et confiance
pour les produits et les documents — Procédures de
validation pour l'application des métriques d'artéfact
1 Domaine d’application
Le présent document spécifie un processus qui vise à qualifier l’adaptation, la fiabilité et l’efficacité
des métriques d’artéfact, ainsi que les principes de reconnaissance de ces métriques à des fins
d’identification et de vérification.
La reconnaissance des métriques d’artéfact décrite dans le présent document peut permettre
d’identifier ou de vérifier les artéfacts à l’aide d’une ou plusieurs mesures de leurs caractéristiques,
chacun étant unique pour un artéfact individuel et censé être impossible à reproduire.
Le présent document est applicable aux métriques d’artéfact tout au long des processus du cycle de vie
des produits.
L’évaluation de la résilience d’un système dont les caractéristiques distinctives sont dégradées n’entre
pas dans le domaine d’application du présent document.
Le présent document est applicable aux tests de performances des systèmes et algorithmes de métriques
d’artéfact via l’analyse des scores de comparaison et des décisions générés par le système, sans qu’il
soit nécessaire de connaître en détail les algorithmes du système ni la distribution sous-jacente des
caractéristiques des objets d’intérêt.
Le présent document exclut les tests de performance lors desquels des attaques délibérées tentent de
compromettre le système des métriques d’artéfact.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
1
© ISO 2022 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 22387:2022(F)
3.1
artéfact
objet fabriqué directement ou indirectement par une personne
Note 1 à l'article: Il peut s’agir d’un produit, d’un document, d’un composant de produit ou d’une partie de
document adapté aux mesures de ses caractéristiques.
Note 2 à l'article: Dans certains cas, les artéfacts peuvent être des objets d’origine naturelle.
3.2
métrique d’artéfact
mesure d’une caractéristique d’un artéfact (3.1)
Note 1 à l'article: La mesure peut être basée sur une caractéristique naturelle (intrinsèque) de l’objet lui-même,
ou sur une caractéristique issue de la fabrication.
Note 2 à l'article: Le terme «métriques d’artéfact» est utilisé dans le même sens que le terme «éléments
biométriques», qui s’appuie sur le caractère unique des entités biologiques. Contrairement aux éléments
biométriques, les métriques d’artéfact s’appuient sur le caractère unique des objets/choses physiques, des
processus physiques ou de combinaisons de ceux-ci. Dans le présent document, le terme «métriques d’artéfact»
[5]
est parfois utilisé dans ce sens, ce que le contexte permet généralement de comprendre .
3.3
caractéristique distinctive
caractéristique partagée par une série d’artéfacts (3.1) qui peut faire l’objet de mesures uniques pour
chaque artéfact
3.4
signal de métrique d’artéfact
données qui représentent la caractéristique mesurée et qui ont un lien fonctionnel avec l’artéfact (3.1)
Note 1 à l'article: Il peut s’agir d’une image, d’un signal électrique, de mesure d’une caractéristique physique,
d’une géométrie structurale, etc.
Note 2 à l'article: Les mesures uniques sont extraites de ce signal et utilisées en tant que requêtes (3.7) ou
références (3.8).
3.5
reconnaissance de métriques d’artéfact
reconnaissance automatique d’artéfacts (3.1) uniques sur la base de leurs caractéristiques distinctives
(3.3)
Note 1 à l'article: La reconnaissance des métriques d’artéfact décrit la vérification des métriques d’artéfact (3.16)
et l’identification des métriques d’artéfact (3.19).
[SOURCE: ISO/IEC 2382‑37:2022, 37.01.03, modifié — dans le terme, «métriques d’artéfact» remplace
«biométrique». Dans la définition, «artéfacts uniques» remplace «individus» et «distinctives» remplace
«biologiques et comportementales». Les notes à l’article ont été remplacées par une nouvelle Note 1 à
l’article.]
3.6
système de métriques d’artéfact
système de reconnaissance de métriques d’artéfact (3.5) d’objets sur la base des caractéristiques
distinctives (3.3)
[SOURCE: ISO/IEC 2382‑37:2022, 37.02.03, modifié — «de métriques d’artéfact» remplace «biométrique»
dans le terme. Dans la définition, «reconnaissance de métriques d’artéfact» remplace «destiné à la
reconnaissance biométrique», «objets» remplace «individus», et «distinctives» remplace «biologiques
et comportementales». La Note 1 à l’article a été supprimée.]
2
© ISO 2022 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 22387:2022(F)
3.7
requête
éléments d’entrée d’une série de données de métriques d’artéfact dans un algorithme pour la
comparaison avec une (des) référence(s) (3.8)
Note 1 à l'article: La mesure (données de capteurs prétraitées) d’une caractéristique distinctive (3.3) d’un artéfact
unique correspond aux données métriques d’artéfact utilisées en tant que requête dans le présent document.
[SOURCE: ISO/IEC 2382‑37:2022, 37.03.14, modifié — «biométrique» a été supprimé du terme. «données
de métriques d’artéfact» remplace «échantillon biométrique ou élément biométrique», «un élément
biométrique» a été supprimé. Les notes à l’article ont été remplacées par une nouvelle Note 1 à l’article.]
3.8
référence
données de métriques d’artéfact enrôlées en tant qu’objet de la comparaison
Note 1 à l'article: La mesure (données de capteurs prétraitées) d’une caractéristique distinctive (3.3) d’un artéfact
unique correspond aux données de métriques d’artéfact utilisées en tant que référence dans le présent document.
[SOURCE: ISO/IEC 2382‑37:2022, 37.03.16, modifié — «biométrique» a été supprimé du terme. «données
de métriques d’artéfact enrôlées» remplace «un ou plusieurs échantillons biométriques stockés,
des modèles biométriques ou des modèles biométriques attribués à une personne concernée par les
données biométriques et», «biométrique» a été supprimé. L’exemple a été supprimé. L
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.