La norme de chiffrement FIPS 140-3 et ses cas d'utilisation

Pour les États-Unis, la cybersécurité est avant tout une question de résilience. C'est pourquoi l'Institut national américain des normes et des technologies (NIST) établit des normes et des lignes directrices, notamment pour les systèmes connectés utilisés par le gouvernement et ses prestataires. Cet organisme gère les normes fédérales de traitement de l'information (FIPS). La version actuelle est FIPS 140-3. Cette stratégie vise à renforcer les infrastructures critiques, le cyberespace mondial et les services de renseignement américains face aux cyberattaques.

À une époque où les nouvelles technologies, telles que l'intelligence artificielle et l'informatique quantique, offrent à la fois des opportunités et des menaces, la norme FIPS 140-3 a un rôle important à jouer dans le renforcement de la cybersécurité.

Cette norme de cybersécurité est utilisée par les gouvernements américain et canadien, mais tout le monde peut l'adopter. Cet article décrit l'objectif de cette norme, ainsi que d'importants cas d'utilisation, et recommande des produits validés FIPS qui peuvent répondre à vos besoins.

Aller à :

• Présentation de la norme FIPS 140-3
• Cas d'utilisation de la norme cryptographique FIPS
• Travailler avec un fournisseur de solutions de confiance

Présentation de la norme FIPS 140-3

Le NIST a élaboré la norme FIPS 140 afin de contribuer à la protection des informations gouvernementales sensibles contre les pirates informatiques. L'organisme fournit des recommandations pour la mise en œuvre de la norme FIPS 140-3 afin de garantir que les équipementiers et autres acteurs qui produisent et utilisent des systèmes connectés traitant des données sensibles comprennent parfaitement les exigences et sachent comment s'y conformer. La norme FIPS 140-3 couvre l'ensemble du matériel, des logiciels et des micrologiciels cryptographiques qui mettent en œuvre des fonctions de sécurité approuvées.

En d'autres termes, pour que les modules cryptographiques soient conformes, ils doivent intégrer les caractéristiques décrites dans la norme. Par conséquent, si vos modules cryptographiques ne répondent pas aux exigences de validation, vous ne pouvez pas vendre vos solutions au gouvernement. Si vous vous demandez à quoi ressemblent ces exigences, voici un bref aperçu.

La norme FIPS 140-3 comporte quatre niveaux de sécurité croissants, que vous pouvez découvrir dans notre fiche technique sur la norme FIPS 140-3.

Cas d'utilisation de la norme cryptographique FIPS

En veillant à ce que les modules cryptographiques (matériels et logiciels) chargés des communications et des données respectent la norme FIPS 140-3, les organismes publics et leurs prestataires peuvent se conformer à un cadre normatif visant à protéger les données, les opérations et les actifs contre les cybermenaces. Outre les applications gouvernementales requises, d'autres cas d'utilisation concernent notamment les infrastructures critiques, l'industrie manufacturière et les transports. Dans la section suivante, nous examinerons de plus près certains cas d'utilisation dans le secteur public et au-delà.

Applications nécessitant une validation FIPS 140-3

• Organismes publics et sous-traitants: Le gouvernement américain est l'un des plus grands consommateurs et producteurs de données numériques. La sécurité des données revêt une importance capitale. C'est pourquoi la certification FIPS 140-3 est obligatoire pour toutes les entités traitant des informations non classifiées mais soumises à des contrôles de sécurité (CUI), ce qui concerne des centaines d'organismes publics, notamment le FBI, le ministère de la Défense et les services de police des frontières américains, ainsi que tous les sous-traitants du secteur de la défense et les autres prestataires travaillant sous contrat avec le gouvernement.
• Forces de l'ordre: Les services chargés de l'application de la loi utilisent le Système d'information de la justice pénale (CJIS), ce qui signifie qu'ils ont accès à des informations hautement sensibles. C'est pourquoi les forces de police sont tenues d'utiliser des appareils certifiés FIPS 140-3. De plus, elles utilisent des appareils tels que les lecteurs automatiques de plaques d'immatriculation (ALPR) dans le cadre de leur arsenal de technologies embarquées qui transmettent et partagent des données. La conformité à la norme FIPS 140-3 garantit la sécurité des données ALPR lors du stockage et de la transmission des données relatives aux plaques d'immatriculation.
• Services financiers: Le secteur financier est l'un des secteurs les plus réglementés au monde. Les institutions financières relevant du gouvernement fédéral, notamment l'IRS et la Réserve fédérale, sont tenues d'utiliser des appareils certifiés FIPS 140-3 afin de protéger les données financières contre les cybermenaces. De plus en plus, d'autres services et institutions financiers adoptent cette norme comme référence en matière de cybersécurité.
• Établissements médicaux: à l'instar des institutions financières, ceux relevant de la compétence des pouvoirs publics sont tenus d'utiliser des dispositifs certifiés FIPS 140-3. De plus, les établissements soumis à la norme HIPAA doivent s'y conformer, et la plupart des établissements de santé doivent s'y conformer pour assurer la protection des données des patients. Les risques sont élevés. Par exemple, Quest Diagnostics a été victime d'un cybervol au cours duquel plus de 12 millions de dossiers médicaux sensibles ont été dérobés lorsque des pirates ont piraté la page Web de paiement d'un fournisseur. La conformité à la norme FIPS 140-3 peut aider les fabricants de dispositifs médicaux et les fournisseurs de logiciels de santé à s'assurer que leurs méthodes de chiffrement protègent les données sensibles des patients ainsi que la sécurité des dispositifs médicaux dont dépendent la vie des patients.

Autres applications pour lesquelles la conformité à la norme FIPS 140-3 est avantageuse

On ne saurait sous-estimer les avantages de la conformité à la norme FIPS 140-3, car toute organisation doit aujourd’hui renforcer sa cybersécurité face à la sophistication croissante des pirates informatiques. La norme FIPS 140-3 réduit considérablement la vulnérabilité aux attaques des organisations qui traitent aussi bien des données des consommateurs que des transactions financières

• La société Plasma Ruggedized Solutions propose des revêtements conformes ainsi que des services d'enrobage et d'encapsulation spécialement conçus pour obtenir la certification FIPS. En d'autres termes, ses produits recouvrent les composants électroniques sensibles afin d'empêcher l'accès aux données stockées sur les assemblages de circuits imprimés traités. Elle propose même des mesures spéciales garantissant l'autodestruction du produit en cas de détection de toute tentative de manipulation, telle qu'un accès non autorisé, une modification ou une ingénierie inverse.
• Entreprises du secteur de l'énergie et des services publics: Les infrastructures énergétiques, notamment les réseaux de gaz, d'eau et d'électricité, sont au cœur de toutes nos activités. Elles sont essentielles à notre économie et à notre mode de vie. Elles sont également étroitement reliées à des milliers de terminaux, parmi lesquels des installations de production d'électricité, des fournisseurs d'énergie et même des compteurs intelligents. C'est pourquoi elles doivent être protégées contre des cyberattaques de plus en plus sophistiquées. Au-delà de la mauvaise presse et de l'atteinte à la réputation, les pirates informatiques peuvent causer des pertes financières et voler une propriété intellectuelle précieuse. Par exemple, de récentes cyberattaques dans le secteur de l'énergie ont désactivé les commandes à distance de parcs éoliens et entraîné des fuites de données contenant des informations sensibles sur les clients. Prévenir les cybermenaces signifie offrir les plus hauts niveaux de protection pour tous les terminaux et toutes les données. Les services publics qui souhaitent renforcer leur résilience face aux cyberattaques peuvent obtenir la validation FIPS 140-3 pour tous leurs modules de chiffrement.
• Centres de données dans le cloud: les fournisseurs de services cloud tels que Google Cloud, IBM, AWS, Dell et Microsoft utilisent tous un cryptage certifié FIPS 140-3. Cela signifie que tant les données transmises que celles stockées sont cryptées à l'aide d'un cryptage certifié FIPS.
• Véhicules sans pilote: les véhicules sans pilote vont des aéronefs sans pilote, tels que les drones, aux véhicules sous-marins sans pilote, en passant par les voitures autonomes. Étant donné que les systèmes informatiques contrôlent pratiquement toutes les opérations de ces véhicules, la sécurisation des données et des informations transférées reste une priorité absolue. DJI, une entreprise spécialisée dans les drones et la robotique, a demandé la certification FIPS 140-3 pour certains de ses drones. Selon DJI, tous les drones équipés du DJI Core Crypto Engine garantissent à ses clients « des normes de sécurité fiables, faisant autorité et reconnues à l'échelle mondiale ». De nombreux clients de DJI représentent le gouvernement fédéral ou travaillent sur des contrats gouvernementaux ; il est donc logique que DJI cherche à obtenir la certification FIPS pour ses produits.
• Véhicules autonomes: À mesure que les technologies de conduite autonome progressent, les véhicules dotés d'intelligence artificielle et pilotés par des logiciels joueront un rôle de plus en plus important dans l'avenir de la mobilité. Ces véhicules dépendent fortement des données et des communications pour fonctionner en toute sécurité ; la cybersécurité reste donc un risque majeur. Le rapport préliminaire final 2022 du ministère américain des Transports, intitulé « Cybersecurity Best Practices for the Safety of Motor Vehicles » (Meilleures pratiques en matière de cybersécurité pour la sécurité des véhicules à moteur), cite la norme FIPS 140-3 comme un moyen de garantir que « les techniques cryptographiques doivent être à jour et non obsolètes pour l'application prévue ».

Travailler avec un fournisseur de solutions de confiance

Même si travailler au sein du gouvernement fédéral ou en tant que fournisseur de celui-ci implique de se conformer aux exigences de la norme FIPS 140-3, toute organisation ayant besoin d’un niveau élevé de protection en matière de cybersécurité peut adopter cette norme. C’est là que Digi peut vous aider. Depuis 1985, Digi est un pionnier dans le domaine des communications sans fil. Aujourd'hui, Digi propose une gamme complète de services, allant des solutions basées sur des capteurs et d'une plateforme sophistiquée de surveillance à distance jusqu'à des équipes professionnelles offrant des services complets de conception, de mise en œuvre et de certification. En matière de cybersécurité, nous avons ce qu'il vous faut.

Les solutions Digi prennent en charge la norme FIPS 140-2 sur l'ensemble de la gamme d'appareils fonctionnant sous le système d'exploitation Digi Accelerated Linux (DAL OS) :

 

• Routeurs cellulaires Digi EX, IX et TX
• Serveurs de console informatique Digi Connect
• Digi Connect EZ Serial Device and Terminal Servers (serveurs de périphériques et de terminaux sériels)
• Digi AnywhereUSB USB sur IP

Le chiffrement est facile à mettre en œuvre. Digi Remote Manager, la solution cloud de Digi dédiée à la surveillance et à la gestion des appareils, simplifie la mise à jour de vos appareils. Il vous suffit de mettre à jour votre micrologiciel et d'activer la norme FIPS. C'est tout. Ne vous encombrez pas de solutions coûteuses et compliquées. Grâce à l'approche de Digi, vos systèmes bénéficient de mises à jour régulières, en toute simplicité et sans frais supplémentaires.

Prochaines étapes

• Prêt à parler à un expert Digi ? Contactez nous
• Vous voulez en savoir plus sur Digi ? Inscrivez-vous à notre newsletter
• Ou achetez maintenant des solutions Digi : Comment acheter