Conformité FIPS

Les normes FIPS (Federal Information Processing Standards) sont des normes publiées par le NIST (National Institute of Standards and Technology) et utilisées par les agences fédérales ainsi que par les organisations qui traitent des informations fédérales. Ces normes sont particulièrement axées sur les modules cryptographiques conçus pour protéger les données sensibles mais non classifiées. L'utilisation des normes FIPS établit des critères communs pour évaluer la technologie grâce à des tests indépendants et des procédures de validation reconnues.

La conformité à la norme FIPS signifie qu'un module cryptographique a passé avec succès une évaluation indépendante par rapport à des publications FIPS spécifiques, notamment celles de la série FIPS 140. La validation confirme que le chiffrement, la gestion des clés, l'authentification et les fonctions de sécurité associées sont correctement mis en œuvre et répondent aux niveaux d'assurance requis. Bien que la norme FIPS couvre plusieurs sujets, la validation FIPS 140 est la marque de conformité la plus fréquemment référencée pour les produits de sécurité de l'information.

Pourquoi la conformité FIPS est essentielle

Les modules cryptographiques validés garantissent la confidentialité, l'intégrité et la disponibilité des informations dans les environnements exposés à des risques élevés. Le déploiement de solutions ayant passé avec succès les tests FIPS minimise le risque d'introduction de failles de sécurité, tout en garantissant un cryptage puissant, une gestion robuste des clés et une protection fiable des données au repos et en transit.

Pertinence des politiques et des marchés publics

Pour les agences fédérales américaines et leurs sous-traitants, la conformité FIPS n'est pas seulement une exigence réglementaire, elle constitue également un critère déterminant dans les processus d'approvisionnement. Le déploiement de modules validés FIPS est obligatoire pour le traitement des données sensibles mais non classifiées, ce qui influe à la fois sur les décisions d'approvisionnement et sur l'autorisation globale du système.

Le non-respect de ces exigences peut entraîner des risques contractuels, des retards ou des refus d'autorisation du système, ainsi que des vulnérabilités techniques susceptibles de compromettre les objectifs de sécurité. En dehors du gouvernement fédéral, la validation FIPS est adoptée par de nombreuses organisations comme une pratique exemplaire en matière de gestion des risques et pour répondre aux exigences des clients et des réglementations.

Relation avec FedRAMP et les cadres plus larges

La conformité FIPS est étroitement liée à d'autres cadres réglementaires du gouvernement américain. Par exemple, les autorisations de services cloud via FedRAMP exigent un chiffrement validé FIPS conforme aux bases de référence de contrôle NIST SP 800-53. De même, les cadres de conformité dans les domaines de l'application de la loi, des soins de santé, de la sécurité publique et des exigences étatiques font souvent référence ou s'alignent sur la norme FIPS et les normes cryptographiques associées.

Qui a besoin d'une cryptographie validée par la norme FIPS ?

L'utilisation de modules cryptographiques validés par la norme FIPS est obligatoire pour les organisations qui stockent, traitent ou transmettent des informations fédérales. Cela inclut :

Les agences fédérales et leurs sous-traitants directs.
Sous-traitants et fournisseurs dans les chaînes d'approvisionnement fédérales.
Entreprises technologiques ayant des clients fédéraux.
Les fournisseurs de services cloud qui demandent une autorisation gouvernementale.

Outre le gouvernement fédéral, les secteurs soumis à des exigences strictes en matière de sécurité, notamment la défense, la sécurité publique, les services publics, les soins de santé et la finance, exigent souvent la conformité FIPS pour répondre aux exigences en matière de gestion des risques ou aux exigences contractuelles.

Étapes pour atteindre et maintenir la conformité FIPS

L'obtention de la validation FIPS implique un processus méthodique, combinant une évaluation technique et une surveillance opérationnelle stricte. Une feuille de route type commence par une évaluation complète et se poursuit par une surveillance continue et une gestion du cycle de vie.

Mesures essentielles pour la conformité

Inventorier tous les modules cryptographiquesutilisés, en documentant les numéros de version et l'état de validation existant.
Évaluer les exigences à l'aide de la norme FIPS 140-3, en veillant à ce que l'architecture de référence inclue des algorithmes approuvés, une gestion sécurisée du cycle de vie des clés et des dépendances documentées.
Remplacer ou mettre à niveau les modules non validés sinécessaire, en s'assurant que les configurations sont limitées aux modes approuvés.
Mettre à jour les politiques internesafin d'exiger l'acquisition et l'utilisation d'un système de cryptographie validé pour les informations sensibles.
Formerle personnel technique à l'utilisation correcte des algorithmes approuvés, à leur mise en œuvre sécurisée et aux meilleures pratiques opérationnelles.
Mettre en place des systèmes de surveillancepour les versions des modules, le statut des certificats de validation et les bulletins pertinents du NIST ou du CMVP.

Le processus de validation

La validation FIPS est gérée par le CMVP, une collaboration entre le NIST et le Centre canadien pour la cybersécurité (CCCS). Les fournisseurs soumettent des modules à des tests en laboratoire, et des certificats sont délivrés par le NIST/CCCS après une évaluation réussie. Il incombe aux organisations qui déploient ces modules de s'assurer que la configuration validée correspond à celle utilisée en production.
La validation implique de satisfaire aux exigences appropriées pour le niveau de sécurité et le type de module concernés, y compris les logiciels, les micrologiciels ou le matériel. Cela comprend généralement le respect des rôles et des contrôles de service, les routines d'autotest, les protections solides des clés et les consignes d'utilisation opérationnelle. Des efforts continus sont nécessaires pour maintenir la conformité, ce qui peut inclure la surveillance des avis des fournisseurs, le suivi de l'expiration des certificats et la planification des mises à jour technologiques.

Conseils pratiques pour maintenir la conformité

Configurer les systèmes pour qu'ils n'utilisent que des algorithmes et des modes approuvés, afin d'éviter tout écart au fil du temps.
Consolider les services cryptographiqueslorsque cela est possible afin de réduire la complexité et l'exposition.
Conservez des registres détaillésdes documents de validation et des preuves de déploiement.
Intégrer les contrôlesde conformité FIPS dansles pipelines de développement et de déploiement de logiciels.
Testez les modifications apportées au système dans des environnements contrôlésafin de garantir la conformité continue après les mises à niveau ou les correctifs.

Rôle des partenaires technologiques et des plateformes

Les fournisseurs de technologies et les fournisseurs de plateformes peuvent jouer un rôle essentiel dans la rationalisation de la conformité FIPS pour leurs clients, généralement en :

Intégration de modules validés FIPS dans leurs solutions de protection des données.
Fournir une documentation claire et des certificats de validation à l'appui des audits.
Activation des contrôles pour imposer l'utilisation d'une cryptographie approuvée et de configurations validées.
Assurer la visibilité sur l'état des modules pour une supervision efficace.
Offrir des conseils sur les meilleures pratiques en matière de déploiement et de gestion opérationnelle.

Le choix des partenaires technologiques et des plateformes doit être guidé par des listes CMVP éprouvées, la prise en charge des publications FIPS actuelles et un engagement en faveur d'une conformité continue grâce à des mises à jour et à la gestion du cycle de vie.

Les 5 meilleures plateformes pour la conformité FIPS

Les organisations qui souhaitent se conformer à la norme FIPS ont besoin de partenaires technologiques et de plateformes offrant des modules cryptographiques validés, une documentation et une flexibilité de déploiement adaptés aux environnements gouvernementaux et aux infrastructures critiques. Les cinq plateformes suivantes sont reconnues pour leur prise en charge robuste de la sécurité conforme à la norme FIPS :

Microsoft Azure Gouvernement

Propose des services cloud dédiés aux agences gouvernementales américaines avec des modules cryptographiques validés FIPS 140-2 pour le calcul, le stockage et la mise en réseau, permettant ainsi des charges de travail conformes à grande échelle.

Amazon Web Services (AWS) GovCloud

Fournit un environnement autorisé par FedRAMP avec des terminaux validés FIPS 140-2 pour les services de sécurité clés tels que le stockage, les bases de données et le chiffrement, simplifiant ainsi la conformité pour les charges de travail fédérales.

Charges de travail garanties sur Google Cloud Platform (GCP)

Fournit une infrastructure cloud sécurisée, comprenant un chiffrement validé FIPS et des contrôles de conformité, adaptée au secteur public et aux clients soumis à des réglementations.

Solutions Cisco Secure Firewall et VPN

Intégrez des modules cryptographiques validés FIPS 140-2 et FIPS 140-3 pour sécuriser les environnements réseau hybrides et sur site, et garantir la conformité des agences et des fournisseurs d'infrastructures.

Communications sécurisées BlackBerry

Permet des communications sécurisées de niveau gouvernemental, contrôlées par l'État, avec une cryptographie validée pour la gestion des appareils mobiles, la voix sécurisée, les SMS et les interventions d'urgence sur tous les terminaux.

Se lancer sur la voie de la conformité

Commencez par dresser un inventaire complet de tous les modules cryptographiques et configurations utilisés au sein de votre organisation. Vérifiez le statut des certificats de validation, les versions applicables et les modes opérationnels par rapport à la liste CMVP. Donnez la priorité à la correction ou au remplacement de tout module non validé et intégrez des contrôles de conformité dans les processus d'approvisionnement, d'ingénierie et de déploiement. Une surveillance continue doit être mise en place afin de garantir une validation permanente malgré les changements technologiques, les mises à jour logicielles et l'évolution des exigences.

Une approche systématique de la conformité FIPS peut contribuer à réduire les risques, faciliter la mise en conformité réglementaire et l'assurance client, et établir une capacité reproductible pour protéger les informations sensibles dans les environnements critiques.

BlackBerry pour des communications sécurisées

Sécurité certifiée. Autorité de confiance.

Les solutions BlackBerry Secure Communications sont certifiées par les autorités de sécurité les plus exigeantes au monde, pour vos opérations critiques.

FAQ

La conformité FIPS est-elle obligatoire ?

L'utilisation de modules cryptographiques validés par la norme FIPS est obligatoire pour les agences fédérales américaines dans le cadre de la gestion de données sensibles mais non classifiées. Ces exigences s'étendent généralement aux sous-traitants et aux fournisseurs par le biais de clauses contractuelles ou programmatiques, et sont largement adoptées dans d'autres secteurs à haut niveau de sécurité.

Quelles publications sont incluses dans le FIPS ?

Les principales normes FIPS comprennent FIPS 140 (modules cryptographiques), FIPS 180 (hachage sécurisé), FIPS 197 (chiffrement) et FIPS 201 (identité), toutes publiées et mises à jour par le NIST.

Comment la norme FIPS s'harmonise-t-elle avec les autres cadres de conformité ?

Les normes FIPS sous-tendent les exigences de nombreux cadres, notamment FedRAMP, CJIS, HIPAA (lorsqu'elles sont liées à des programmes fédéraux) et les mandats des gouvernements des États, en spécifiant les pratiques approuvées en matière de cryptographie et de sécurité opérationnelle.

Quels types d'obligations de conformité existent ?

Les obligations FIPS relèvent des domaines réglementaire (législatif), contractuel (convenu avec les clients ou partenaires) et interne (politique d'entreprise), en fonction de l'environnement et du profil de risque.