Dans le cadre d’une procédure de « hardening » de vos sites Web, vous envisagez l’acquisition de modules de sécurité matériel (HSM). Ces dispositifs auront pour objectif la sécurisation de vos clés privées et la réalisation d’opérations cryptographiques asymétriques. Quelle certification est la plus pertinente pour attester du niveau de sécurité de ces produits ?
[A] UIT X509
[B] TLS 1.3
[C] FIPS 140-3
[D] ISO/IEC 27034
L’UIT X.509 (alias ISO 9594-8) n’est pas une certification mais une recommandation de l’Union Internationale de Télécommunications (UIT). Elle définit le type et le format des données utilisées dans les certificats à clé publique et dans les listes de révocation de certificats (CRL). Rien à voir donc avec la certification d’un équipement de cryptographie.
TLS est un protocole de sécurité normalisé par l’IETF (RFC). On peut bien sûr se servir de boitiers HSM pour renforcer la sécurité d’une configuration TLS mais ce n’est en aucun cas un moyen d’attester la sécurité du boitier en lui-même.
L’ISO 27034 est une série de 7 normes (ISO 27034-1 à ISO 27034-7) consacrée à la sécurité des applications. Elle fournit un cadre et des bonnes pratiques pour intégrer la sécurité dans tout le cycle de développement des applications (SDLC). L’ISO 27034 est un référentiel de type « bonnes pratiques » et non pas « d’exigences ». Par conséquent, elle ne peut faire l’objet d’aucune certification de sécurité pour les applications. La série des normes ISO 27034 fait partie du programme officiel du CISSP (CBK domaine 8 – Sécurité des développements logiciels).
La bonne réponse est la proposition [C] FIPS 140-3
FIPS 140 est un norme gouvernementale américaine (NIST) qui définit des exigences de sécurité minimales pour des modules cryptographiques (Security Requirements for Cryptographic Modules). La norme FIPS 140 a été publiée en 1994 et révisée en 2001 (FIPS 140-2) puis en 2019 (FIPS 140-3). Cette dernière version est basée sur les normes ISO 19790 et ISO 24759.
Le déroulement d’une certification FIPS 140 est assez similaire à une certification critères communs (ISO 15408) et suit un programme appelé CMVP (Cryptographic Module Validation Program). Le programme CMVP est un programme nord américain supervisé par les Etats-Unis via le NIST et par le Canada via le CCCS (Canadian Centre for CyberSecurity).
Pour obtenir une certification FIPS 140, le fournisseur d’un produit cryptographique doit adresser son produit et toute la documentation nécessaire à son évaluation à un laboratoire CST (Cryptographic and Security Testing). Un CST est un laboratoire accrédité via le programme NVLAP (National Voluntary Laboratory Accreditation Program). Tous les produits certifiés FIPS 140 sont disponibles sur le site du NIST et facilement accessibles via un moteur de recherche disponible à l’adresse suivante : https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Validated-Modules/Search
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE