Certification FIPS 140-3

Thales peut vous aider à répondre à vos besoins de conformité en matière de sécurité des données avec des solutions certifiées FIPS 140-3.

Qu’est-ce que FIPS 140 ?

En matière de sécurité cryptographique, le respect des normes est primordial pour garantir la protection des données sensibles et répondre aux besoins en termes de conformité et de réglementation. FIPS 140 (Federal Information Processing Standard) est un ensemble d’exigences de sécurité pour les modules cryptographiques définies par le National Institute of Standards and Technology (NIST) et gérées par les États-Unis et le Canada, dans le cadre du Programme de validation de module cryptographique (CMVP). Les modules validés FIPS 140 sont obligatoires pour protéger les clés cryptographiques et effectuer des opérations cryptographiques pour de nombreuses applications gouvernementales.

La norme FIPS 140-2, qui précède FIPS 140-3, a été largement adoptée comme référence en matière de sécurité et comme meilleure pratique à suivre par les organisations au cours des deux dernières décennies. Elle est également devenue la norme de facto dans de nombreux autres pays en dehors de l’Amérique du Nord pour établir des réglementations nationales, tant dans le secteur gouvernemental que dans le secteur privé.

Qu’est-ce que FIPS 140-3 ?

FIPS 140-3 est une norme à laquelle toute organisation qui gère, collecte ou stocke des données sensibles devra probablement se conformer, en particulier celles opérant dans des secteurs hautement réglementés.

FIPS 140-3 Badge

FIPS 140-3 permettra la certification des algorithmes de cryptographie post-quantique (PQC), car elle garantit que les modules cryptographiques sont prêts à relever les défis et les menaces posés par les attaques quantiques. La mise en œuvre de solutions de sécurité validées FIPS 140-3 est un élément essentiel de la création d’une posture de sécurité crypto-agile à sécurité quantique, garantissant que les organisations maintiennent la protection des données aujourd’hui et à l’avenir.

Quelle est la différence entre FIPS 140-2 et FIPS 140-3 ?

FIPS 140-3 est la dernière itération pour valider l’efficacité du matériel cryptographique, conforme aux normes internationales ISO/CEI 19790 et introduit de nouvelles améliorations aux exigences de sécurité de la norme FIPS 140-2, notamment :

  1. Des exigences de test d’intégrité plus strictes.
  2. Un nouveau service requis : pour produire le nom/l’identifiant du module et la version qui peut être mappée aux enregistrements/certificats de validation.
  3. La remise à zéro des clés est requise pour TOUS les « paramètres de sécurité sensibles » (SSP) non protégés à tous les niveaux, y compris les clés publiques.
  4. Rôles, services et authentification : doivent être satisfaits par la mise en œuvre d’un module cryptographique (et non via une politique, des règles, etc.), par exemple des restrictions sur la taille du mot de passe.
  5. Assurance du cycle de vie : les fournisseurs doivent démontrer des tests internes adéquats sur un module, en plus des tests en laboratoire de validation.

Les organisations doivent utiliser la norme FIPS 140-3 pour garantir que le matériel qu’elles sélectionnent répond aux exigences de sécurité spécifiques. La norme Certification FIPS 140-2 définit quatre niveaux de sécurité croissants et qualitatifs, qui restent les mêmes dans FIPS 140-3.

Transition vers FIPS 140-3

Les organisations qui adhèrent actuellement à FIPS 140-2 doivent planifier leur transition vers FIPS 140-3 pour garantir une conformité continue. L’objectif de la norme FIPS 140-3 est d’être plus étroitement alignée sur les normes ISO/CEI internationales et mieux adaptée aux technologies actuelles :

ISO/CEI 19790:2012 : répertorie les exigences de sécurité pour un module cryptographique utilisé dans un système de sécurité protégeant les informations sensibles dans les systèmes informatiques et de télécommunication. La présente Norme internationale définit quatre niveaux de sécurité pour les modules cryptographiques afin de fournir un large éventail de sensibilité des données (par exemple, données administratives de faible valeur, transferts de fonds d’un million de dollars, données de protection de la vie, informations d’identité personnelle et informations sensibles utilisées par le gouvernement) et une diversité d’environnements d’application (par exemple une installation surveillée, un bureau, des supports amovibles et un emplacement totalement non protégé).

ISO/CEI 24759:2017 : décrit les exigences de test pour les modules cryptographiques. Les méthodes sont développées pour fournir un degré élevé d’objectivité pendant le processus de test et garantir la cohérence entre les laboratoires de test.

Cet alignement sur les normes internationales permet une transition transparente vers FIPS 140-3 et une plus grande interopérabilité, tout en garantissant des pratiques de sécurité cohérentes à travers le monde. Les certificats FIPS 140-2 existants ne seront pas révoqués mais seront déplacés vers la liste historique à compter du 21 septembre 2026.

Prise en charge de la norme de sécurité FIPS 140-3 par Thales

Thales développe des produits et sous-systèmes cryptographiques conformes à la norme de sécurité FIPS 140-3. Les solutions Thales qui répondent à la norme comprennent les modules de sécurité matériels Luna (HSM), les chiffreurs haute vitesse (HSE) et les solutions d’authentification.

HSM

Modules de sécurité matérielle validés FIPS 140-3

Les HSM Luna sont les premiers du secteur à recevoir la validation FIPS 140-3 niveau 3 et à fournir un environnement renforcé et inviolable pour un traitement cryptographique sécurisé, la génération et la protection de clés, le chiffrement et bien plus encore.

Les HSM Thales Luna 7 (Réseau et PCIe*) sont désormais validés FIPS 140-3 niveau 3, offrant aux clients les avantages suivants :

  • Flexibilité pour les utilisateurs de HSM : FIPS 140-3 permet la prise en charge simultanée de services approuvés et non approuvés sur la même plateforme. Cette flexibilité permet aux utilisateurs de répondre aux contraintes des applications existantes tout en adoptant de nouvelles normes pour les nouvelles applications.
  • Auto-test amélioré des modules : au niveau 3, FIPS 140-3 ajoute des auto-tests périodiques pour les modules, comme les HSM, qui ont souvent de longues périodes de disponibilité s’étendant sur des années. Cela garantit un fonctionnement sécurisé et continu.
  • Tests rigoureux par les laboratoires : la norme impose des exigences plus rigoureuses aux laboratoires de test pour examiner et garantir des tests adéquats des modules par les fournisseurs. Cela se traduit par un niveau de sécurité plus cohérent dans les différents laboratoires et dans les différents pays.
  • Suivi CVE et qualité du code : FIPS 140-3 nécessite de démontrer la capacité d’examiner et de suivre les vulnérabilités et expositions communes (CVE) qui peuvent avoir un impact sur les bibliothèques utilisées par le module. Cela renforce les règles de maintien de la qualité des codes internes, même s’ils ne sont pas directement exposés à l’environnement externe et ne peuvent donc pas être scannés et détectés par les utilisateurs de HSM.

Faites confiance aux HSM Luna validés FIPS 140-3 niveau 3 en tant que base crypto-agile leader du marché pour la confiance numérique afin de réduire les risques, garantir la flexibilité, gérer facilement les clés et simplifier les intégrations.

*FIPS 140-3 Niveau 3 actuellement en cours d’examen pour les HSM Luna USB et Backup.

Le module cryptographique Thales Luna K7 (utilisé dans les HSM Luna Network et Luna PCIe) est désormais validé FIPS 140-3 niveau 3 (certificat NIST 4684)

HSE

Solutions de chiffrement haut débit validées FIPS 140-3

Les solutions de chiffrement réseau de Thales fournissent une plateforme unique pour chiffrer partout : du trafic réseau entre les centres de données et le siège social jusqu’aux sites de sauvegarde et de récupération d’urgence, que ce soit sur site ou dans le cloud. Rigoureusement testées et certifiées, les solutions de chiffrement réseau de Thales ont été approuvées par des organisations telles que l’Agence des systèmes d’information du ministère de la Défense (DoDIN APL) et l’OTAN.

Les chiffreurs haute vitesse Thales sont certifiés FIPS depuis plus d’une décennie et continuent de répondre aux avancées du NIST telles que FIPS 140-3 et la cryptographie post-quantique (PQC). Les solutions de chiffrement réseau sont validées FIPS 140-2 niveau 3 et sont actuellement en attente de révision pour FIPS 140-3.

Smartcards

Cartes à puce SafeNet IDCore 230/3230 basées sur Java validées FIPS 140-3*

Les cartes à puce SafeNet IDCore utilisant le système d’exploitation Java intègrent des micro-contrôleurs avancés avec une certification de sécurité forte. Le système d’exploitation SafeNet IDCore Java Card a été développé par une équipe de sécurité experte pour mettre en place des mesures de contre-attaque contre les diverses menaces, y compris les attaques par canal auxiliaire, les invasions, les injections de fautes et autres types d’attaque. Le système d’exploitation SafeNet IDCore Java Card répond aux certifications de sécurité les plus strictes du secteur, telles que FIPS 140 et CC EAL5+. / Carte Java PP.

Les dispositifs SafeNet IDCore 230/3230 sont des cartes Java à clé publique (prenant en charge à la fois RSA et les courbes elliptiques) qui répondent aux exigences de sécurité les plus avancées des programmes multi-applications à long terme, y compris ceux déployés par les grandes organisations mondiales, notamment :

  • Java Card 3.1.0
  • Global Platform 2.2.1
  • ISO 7816
  • ISO 14443 pour SafeNet IDCore 3230 uniquement

* La certification NIST est en cours : plateforme IDCore 3230/230 de Thales

Parler à un spécialiste des solutions FIPS 140-3
Nous contacter

Édition mondiale

Rapport Thales sur les menaces liées aux données 2024

En savoir plus sur comment faire face aux nouvelles menaces et surmonter les anciens défis

Rapport 2024 sur les menaces liées aux données

Ressources associées

Partners Resources Blogs Sentinel Drivers