Qu’est-ce qu’un Module matériel de sécurité (HSM) ?
Les modules matériels de sécurité (HSM) sont des périphériques physiques renforcés et inviolables qui sécurisent les processus cryptographiques en générant, protégeant et gérant les clés utilisées pour le cryptage et le décryptage des données et la création de signatures numériques et de certificats.
Les HSM sont testés, validés et certifiés selon les normes de sécurité les plus strictes, telles que la norme FIPS 140-2 et les Critères communs. Grâce à notre famille de produits HSM à usage général nShield, Entrust est l’un des principaux fournisseurs mondiaux de modules HSM.
Les HSM permettent aux organisations :
Qu’est-ce qu’un HSM en tant que service ou un HSM basé sur le cloud ?
Un HSM en tant que service est une offre sous forme d’abonnement : les clients peuvent utiliser un module matériel de sécurité basé sur le cloud pour générer leur contenu de clé cryptographique, y accéder et le protéger, indépendamment des données sensibles. Ce type de service offre généralement le même niveau de protection qu’un déploiement sur site, tout en étant plus flexible. Les clients peuvent transférer leurs dépenses d’investissement (CapEx) vers des dépenses d’exploitation (OpEx), ce qui leur permet de ne payer que les services dont ils ont besoin, lorsqu’ils en ont besoin.
nShield en tant que service utilise des HSM nShield certifiés FIPS 140-2, de niveau 3. Cette offre propose les mêmes caractéristiques et fonctionnalités que les HSM nShield sur site, auxquelles s’ajoutent les avantages d’un déploiement sur le cloud. Cela permet aux clients d’atteindre leurs objectifs en matière de stratégies privilégiant le cloud ou de déployer un mélange de HSM sur site et de HSM en tant que service, tout en confiant la maintenance de ces appareils en tant que service aux experts d’Entrust.
Pourquoi utiliser un HSM ?
Les opérations cryptographiques telles que le cryptage et la signature numérique ne valent rien si les clés privées qu’elles utilisent ne sont pas bien protégées. Les attaquants d’aujourd’hui sont devenus beaucoup plus sophistiqués dans leur capacité à localiser les clés privées stockées ou utilisées. Les HSM constituent la norme de référence en matière de protection des clés privées et des opérations cryptographiques associées, et suivent la politique définie par l’organisation utilisatrice pour les utilisateurs et les applications autorisés à accéder à ces clés.
Les HSM peuvent être utilisés avec de nombreux types d’applications différents capables d’effectuer le chiffrement ou la signature numérique. D’après l’Étude du Ponemon sur les tendances mondiales en matière de chiffrement, les principaux cas d’utilisation des HSM sont illustrés ci-dessous.
Comment les HSM sont déployés ou devraient l’être au cours des 12 prochains mois
Découvrez pourquoi vous devriez utiliser un HSM.
Qu’est-ce qu’une racine de confiance ?
Root of Trust (Racine de confiance) est une source considérée comme fiable dans un système cryptographique. Les composants matériels et logiciels de Root of Trust sont fiables par nature, et doivent donc être parfaitement sûrs. L’implémentation la plus sûre de Root of Trust comprend généralement un module matériel de sécurité (HSM), qui génère et protège les clés et exécute les fonctions cryptographiques dans un environnement sécurisé.
Quelle valeur apporte un HSM ?
Les HSM améliorent et étendent la sécurité d’une large gamme d’applications qui effectuent le chiffrement et la signature numérique. Le tableau ci-dessous décrit la valeur ajoutée des HSM pour un ensemble de cas d’utilisation les plus courants.
| CAS D’UTILISATION | Valeur des HSM au cas d’utilisation |
| Cloud et conteneurs/Kubernetes | Maintenir le contrôle des clés et des données dans le cloud ; applications conteneurisées sécurisées |
| Infrastructure à clé publique (PKI) | Protéger la racine PKI critique et les clés de signature CA |
| Accès privilégié et gestion des secrets | Résoudre les menaces internes et simplifier l’accès aux secrets pour DevOps |
| Chiffrement et tokénisation | Améliorer la protection des clés de chiffrement pour les données en transit et en stockage |
| Gestion des clés | Appliquer la politique de gestion des clés sur plusieurs clouds et applications |
| Signature numérique, signature de code | Protéger les clés qui garantissent l’intégrité du logiciel et permettent des transactions juridiquement contraignantes |
| Applications TLS/SSL (ADC, pare-feu, etc.) | Clés de chiffrement principales sécurisées TLS/SSL |
| Identité, authentification | Créer des informations d’identification de confiance |
| Paiements | Protéger les clés qui créent et signent les identifiants de paiement |
Qu’est-ce que la génération de nombres aléatoires ?
La génération de nombres aléatoires (RNG) fait référence aux nombres aléatoires créés par un algorithme ou un appareil. Il est important que les clés cryptographiques soient créées à l’aide d’une source certifiée de nombres aléatoires, ce qui constitue un problème difficile pour les systèmes logiciels.
Lorsque la source d’entropie d’un générateur de nombres aléatoires est dérivée de mesures basées sur un logiciel, il ne peut être garanti que l’entropie ne sera pas prévisible ou ne pourra pas être influencée. Un HSM utilise une source d’entropie matérielle vérifiée pour sa RNG, afin de fournir une bonne source d’entropie dans toutes les conditions de fonctionnement normales.
Ceci est important pour les cas d’utilisation comme les BYOK (Détenez votre propre clé), qui permettent aux utilisateurs de créer et gérer des clés qu’ils téléchargent vers des fournisseurs de services cloud.
Qu’est-ce qui fait d’Entrust un fournisseur de HSM de premier plan ?
Un très grand nombre d’entreprises ont choisi Entrust comme partenaire privilégié pour les modules matériels de sécurité. Pourquoi ? Parce que nous sommes une référence du secteur en matière de protection des données sécurisée et polyvalente. Nous concevons, innovons et vendons des HSM depuis plus de 25 ans.
Nos HSM nShield sont conçus pour offrir une sécurité robuste avec une solide base de confiance. Vous avez ainsi l’assurance que vos actifs cryptographiques sont protégés.
Voici ce que vous pouvez attendre d’Entrust en tant que conseiller de confiance :
- Protection complète des données : Les HSM Entrust intègrent une architecture robuste et inviolable, offrant le plus haut niveau de sécurité pour protéger vos données sensibles contre les menaces sophistiquées. Nos certifications FIPS 140-2 niveau 3, FIPS 140-3 niveau 3 (en cours d’examen) et Common Criteria EAL4+ témoignent de notre engagement à respecter des normes de sécurité rigoureuses.
- Déploiement flexible : Les entreprises uniques méritent mieux qu’une sécurité identique pour tous. Nous proposons plusieurs options de déploiement, y compris des modèles sur site, cloud et hybrides. De plus, notre vaste écosystème HSM comprend plus de 150 intégrations documentées avec d’autres solutions. Ainsi, vos besoins sont couverts, quel que soit le cas d’utilisation.
- Solutions innovantes : Chez Entrust, nous innovons en permanence pour rester à la pointe des défis de sécurité en constante évolution, y compris la menace post-quantique. Nos appareils exploitent l’architecture Security World, dotée d’un cadre de gestion des clés polyvalent exclusif qui couvre l’ensemble de la famille de modules matériels de sécurité (HSM) à usages multiples Entrust nShield. De plus, avec la boîte à outils CodeSafe, les développeurs logiciels peuvent écrire et exécuter des applications sensibles à l’intérieur du périmètre inviolable des HSM nShield certifiés FIPS.
- Expertise fiable : Avec plus de 25 ans d’expérience, Entrust est un partenaire privilégié de nombreuses entreprises du monde entier. Notre équipe d’experts s’engage à vous fournir le soutien et les conseils dont vous avez besoin pour mettre en œuvre et maintenir une posture de sécurité à l’épreuve du temps.