Qu’est-ce que la norme Federal Information Processing Standard (FIPS) ?

La certification FIPS (Federal Information Processing Standard) 1402 est la référence pour valider l’efficacité du matériel cryptographique. Si un produit dispose d’un certificat FIPS 140-2, vous savez qu’il a été testé et formellement validé par les gouvernements américain et canadien. Bien que la FIPS 140-2 soit une norme fédérale américaine/canadienne, la conformité FIPS 140-2 a été largement adoptée dans le monde entier dans les secteurs gouvernementaux et non gouvernementaux en tant que référence de sécurité pratique et meilleure pratique réaliste.

Niveaux de la FIPS 140-2

Les organisations utilisent la norme FIPS 140-2 pour s’assurer que le matériel qu’elles sélectionnent répond à des exigences de sécurité spécifiques. La norme de certification FIPS définit quatre niveaux de sécurité qualitatifs croissants :

  • Niveau 1 : Requiert un équipement de production et des algorithmes testés en externe.
  • Niveau 2 : Ajoute des exigences pour la preuve de falsification physique et l’authentification basée sur les rôles. Les implémentations logicielles doivent s’exécuter sur un système d’exploitation approuvé selon les critères communs à EAL2.
  • Niveau 3 : Ajoute des exigences pour la résistance à la falsification physique et l’authentification basée sur l’identité. Une séparation physique ou logique doit également exister entre les interfaces par lesquelles les « paramètres de sécurité critiques » entrent et sortent du module. Les clés privées ne peuvent entrer ou sortir que sous forme cryptée.
  • Niveau 4 : Ce niveau rend les exigences de sécurité physique plus strictes, ce qui implique la capacité de réagir contre la falsification, effaçant le contenu de l’appareil s’il détecte diverses formes d’attaque environnementale.

La norme FIPS 140-2 autorise techniquement des implémentations logicielles uniquement au niveau 3 ou 4, mais applique des exigences tellement strictes qu’aucune n’a été validée.

Pour de nombreuses organisations, exiger la certification FIPS 140 de niveau 3 est un bon compromis entre sécurité efficace, commodité opérationnelle et choix sur le marché.