Les normes de cybersécurité évoluent pour garantir la sécurité des appareils et des données. La norme FIPS 140-2 est conçue pour protéger les données sensibles dans une série d'applications.
FIPS signifie "Federal Information Processing Standard" (norme fédérale de traitement de l'information). La version actuelle, FIPS 140-2, comporte quatre niveaux de sécurité. Le National Institute of Standards and Technology (NIST) a élaboré la norme FIPS afin de protéger les informations gouvernementales sensibles contre les pirates informatiques. La norme FIPS 140-2 couvre l'ensemble du matériel, des logiciels et des microprogrammes cryptographiques qui traitent les données et les communications.
Si vous souhaitez vous assurer que vous êtes toujours en conformité avec les changements de la norme FIPS 140, sachez que l'ensemble de la suite cellulaire de Digi est validée FIPS 140-2 par une simple mise à jour du micrologiciel à l'aide d'un logiciel de gestion. Digi Remote Manager®.
Because Digi has simplified implementation of FIPS 140-2, not only do we ensure your FIPS 140 version stays current, but our always up-to-date encryption process makes it easy to implement. You can simply upgrade your firmware and your Digi devices will instantly comply with FIPS 140-2 Level 1. That’s it. Avoid getting stuck with expensive, costly and complicated solutions. And if you need support at any point along your FIPS journey, Digi Professional Services can help.
Si vous travaillez avec les gouvernements américain ou canadien et manipulez des informations sensibles ou protégées, vos modules cryptographiques doivent être validés selon la norme FIPS 140-2. La loi fédérale sur la gestion de la sécurité de l'information (Federal Information Security Management Act - FISMA) exige que les agences gouvernementales américaines, les sous-traitants du gouvernement américain et les tiers travaillant pour les agences fédérales adhèrent à la norme FIPS 140-2 afin de protéger les données sensibles. En fait, toute entreprise de défense traitant des informations non classifiées contrôlées doit répondre aux exigences de validation de la norme FIPS et utiliser des "mécanismes cryptographiques" pour protéger la confidentialité. Les organisations du secteur privé qui se conforment à des réglementations telles que le Health Insurance Portability and Accountability Act (HIPAA) doivent également passer la validation FIPS 140-2.
La norme FIPS 140-2 sert de référence pour l'efficacité du matériel cryptographique. La validation FIPS 140-2 signifie qu'un produit répond aux exigences rigoureuses des gouvernements américain et canadien. Mais les gouvernements ne sont pas les seuls concernés. Les secteurs gouvernementaux et non gouvernementaux du monde entier peuvent exiger que leurs dispositifs de communication soient conformes à la norme FIPS 140-2 en tant que référence des meilleures pratiques en matière de cybersécurité. Cette norme unifiée assure une protection extraordinaire des données contre des cyberattaques de plus en plus sophistiquées et constitue un moyen mesurable de renforcer les dispositifs et les systèmes contre les menaces.
Le non-respect des normes FIPS peut entraîner d'importants préjudices financiers et de réputation. Pour les secteurs réglementés tels que les agences gouvernementales et les institutions financières, tout manquement important à la conformité peut entraîner une perte d'activité, ainsi que des sanctions civiles ou pénales, des amendes et des audits gouvernementaux.
La conformité à la norme FIPS 140-2 garantit la sécurité des données pour les applications qui transmettent et utilisent des données sensibles mais non classifiées (SBU). Bien que cette norme ait été initialement développée et adoptée par des entités gouvernementales américaines et canadiennes, elle a été adoptée dans d'autres secteurs où la cybersécurité et la confidentialité des données sont essentielles.
La validation FIPS 140-2 est requise pour toutes les entités gouvernementales, y compris le FBI, le ministère de la défense, la patrouille frontalière américaine et d'autres agences qui traitent des informations non classifiées contrôlées (CUI) sur n'importe quel appareil. Par exemple, l'addendum à l'International Traffic in Arms Regulation (ITAR) met en évidence les normes FIPS 140-2 requises pour la transmission ou le stockage de données techniques en dehors des États-Unis.
Outre les agences gouvernementales américaines, les entrepreneurs publics doivent utiliser des dispositifs validés FIPS 140-2 pour chiffrer et protéger les données sensibles contre des cyberattaques de plus en plus sophistiquées. Les entreprises de défense, par exemple, sont tenues d'utiliser une cryptographie validée par la FIPS pour protéger la confidentialité des informations non classifiées contrôlées sur tous les ordinateurs de bureau et les appareils mobiles.
Les organismes de sécurité publique qui envoient des données sensibles constituent un cas d'utilisation clé pour les dispositifs validés par la norme FIPS 140-2. En particulier, les organismes chargés de l'application de la loi doivent utiliser la norme FIPS 140-2 pour le traitement de toutes les données transférées par voie hertzienne. Les agents et le personnel des forces de l'ordre accèdent au système fédéral d'information sur la justice pénale (Criminal Justice Information System - CJIS), ce qui implique l'utilisation d'informations non classifiées contrôlées.
La norme FIPS 140-2 s'applique aux secteurs réglementés qui collectent, stockent et transfèrent des données sensibles. Il s'agit notamment des opérations financières gouvernementales telles que l'IRS et la Réserve fédérale, ainsi que de nombreuses banques et services financiers du secteur privé. Ces organisations utilisent les exigences de la norme FIPS 140-2 pour s'assurer que leurs données et leurs communications sont conformes aux normes de sécurité réglementées.
Les professionnels de la santé manipulant des données sensibles sur les patients, la validation FIPS 140-2 est de plus en plus souvent exigée pour les appareils et les logiciels utilisés dans les systèmes médicaux et de soins de santé. Le respect de ces normes permet de protéger les dossiers médicaux électroniques, les dispositifs médicaux et les systèmes de communication contre les cybermenaces, garantissant ainsi la confidentialité des patients et l'intégrité des informations essentielles sur les soins de santé.
La conformité à la norme FIPS 140-2 est un objectif pour toute une série de secteurs où les données doivent être cryptées. La norme FIPS 140-2 constitue un point de référence pour garantir la conformité à des exigences spécifiques. Bien que la norme ne soit pas obligatoire en dehors des applications gouvernementales, médicales et financières, elle peut être utilisée pour le cryptage des données dans les secteurs de la fabrication, du transport, des services publics, du contrôle des aéroports et dans d'autres cas d'utilisation.
Le NIST a mis au point quatre niveaux de sécurité qualitatifs, résumés ci-dessous, destinés à couvrir un large éventail d'applications et d'environnements potentiels
The evolution of FIPS now includes FIPS 140-3. There are few major technical changes, most significantly a migration from internally developed security standards towards a set of standards developed and maintained by the international body ISO . Digi is committed to transition to FIPS 140-3 as part of a firmware release prior to the expected expiration of FIPS 140-2 in September, 2026.