Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Technical Guide Intermediate to Advanced 12 min read

Modules matériels de sécurité (HSM)

Un HSM est un équipement matériel dédié, conçu pour protéger les clés cryptographiques. Considérez-le comme un coffre-fort bancaire pour vos clés les plus sensibles : résistant aux altérations, auditable et conçu spécifiquement pour la sécurité. Ce guide couvre les cas où un HSM est nécessaire, les niveaux de certification FIPS, les options cloud et on-premises, ainsi que l'intégration des HSM à la PKI.

En bref

Type
Technical Guide
Niveau
Intermediate to Advanced
Suivant
Crypto-agilité et post-quantique

Vue d'ensemble

Un Hardware Security Module (HSM) est un dispositif physique dédié, résistant aux altérations, qui génère, stocke et gère les clés cryptographiques. Contrairement à un stockage de clés logiciel, un HSM garantit que les clés privées ne quittent jamais la frontière matérielle en clair.

Voyez un HSM comme un coffre-fort bancaire pour les clés cryptographiques. Tout comme un coffre-fort bancaire dispose de parois renforcées, de serrures à combinaison et de systèmes d'alarme, un HSM possède des scellés inviolables, des mécanismes actifs de réponse aux intrusions (par exemple l'effacement immédiat des clés en cas de détection d'intrusion physique) et des processeurs cryptographiques dédiés qui exécutent les opérations sur les clés sans jamais les exposer.

Les HSM existent sous plusieurs formats : cartes PCIe qui s'insèrent dans un serveur, appliances réseau au service de plusieurs applications, tokens USB pour le stockage portable de clés, et services hébergés dans le cloud par les grands fournisseurs. Quel que soit le format, le principe reste le même : le matériau de clé reste à l'intérieur du périmètre du HSM, et toutes les opérations cryptographiques se déroulent à l'intérieur de l'appareil.

Étapes clés

1

Niveau 1 : sécurité de base

Exige un module cryptographique de qualité production avec au moins un algorithme approuvé. Aucune exigence spécifique de sécurité physique. Des modules purement logiciels peuvent atteindre le niveau 1. Adapté aux environnements de développement et de test.

2

Niveau 2 : détection des altérations

Ajoute des revêtements ou des scellés inviolables au module, ainsi qu'une authentification fondée sur les rôles. Les altérations physiques sont détectables par les scellés brisés. C'est le niveau minimal visé par la plupart des organisations pour protéger leurs clés de production.

3

Niveau 3 : réponse aux altérations

Ajoute une réponse active aux altérations : le module efface (zeroize) ses clés en cas de détection d'intrusion physique. Exige une authentification fondée sur l'identité. C'est le standard pour les clés de CA, les HSM de paiement et la plupart des déploiements PKI d'entreprise.

4

Niveau 4 : protection environnementale

Le niveau le plus élevé. Ajoute une protection contre les attaques environnementales (variations de tension, de température) et offre une enveloppe de protection complète. Rare en usage commercial ; principalement utilisé dans les applications militaires et de renseignement.

Composants clés

Protection des clés de CA

La clé privée d'une autorité de certification est le joyau de toute PKI. En cas de compromission, chaque certificat qu'elle a émis devient suspect. Protéger les clés de CA par un HSM est une bonne pratique sectorielle et une exigence pour la conformité WebTrust et eIDAS.

Signature de code

Le CA/Browser Forum impose désormais que les clés de signature de code soient stockées dans un HSM ou un matériel équivalent. Une clé de signature de code compromise pourrait servir à signer un logiciel malveillant auquel vos clients feraient confiance.

Traitement des paiements

PCI DSS exige des HSM pour le chiffrement des PIN, l'injection de clés et la signature des transactions. Les réseaux de paiement imposent des niveaux de validation FIPS précis pour les HSM qui traitent des données de porteurs de cartes.

Chiffrement des bases de données (TDE)

Les clés maîtres du Transparent Data Encryption doivent être protégées par un HSM. Cela garantit qu'un vol de sauvegarde de base de données n'expose pas les données si la clé HSM n'est pas disponible.

Cérémonies de PKI

Les cérémonies de génération de clés de CA racine exigent des HSM pour s'assurer que les clés sont produites dans un environnement sécurisé et auditable. La cérémonie est généralement supervisée et enregistrée, le HSM fournissant la preuve cryptographique de la génération de la clé.

Conformité réglementaire

Des réglementations comme eIDAS (UE), FIPS (États-Unis) et des standards sectoriels comme PCI DSS et WebTrust exigent explicitement une protection matérielle des clés pour certains cas d'usage. Un HSM est souvent la voie la plus simple vers la conformité.

Comment nous aidons

Evertrust & Modules matériels de sécurité (HSM)

Support natif de PKCS#11Evertrust PKI s'intègre nativement avec tout HSM conforme PKCS#11. Tous les principaux fournisseurs de HSM sont pris en charge sans développement spécifique.

Intégration aux KMS cloudPour les déploiements cloud-native, Evertrust prend également en charge tous les principaux services HSM cloud (AWS, Azure, GCP). Exécutez votre CA dans le cloud avec le même niveau de protection matérielle des clés qu'on-premises.

Cérémonies de clés simplifiéesEvertrust propose des workflows guidés pour les cérémonies de génération de clés de CA racine, incluant l'initialisation du HSM, la génération des clés, le partage de clé M-sur-N et les procédures de sauvegarde. Réduisez la complexité des cérémonies tout en conservant des pistes d'audit complètes.

Parler à un expert Découvrir Evertrust PKI
Clés publiques et clés privées Crypto-agilité et post-quantique