FIPS (Federal Information Processing Standard) 140-3 est une norme établie par le gouvernement des États-Unis relative au chiffrement et aux conditions de sécurité à respecter dans la conception des produits informatiques destinés à traiter des données sensibles, mais non confidentielles.

Cette norme vise à garantir que les produits mettent en œuvre des pratiques de sécurité saines, à savoir des méthodes et des algorithmes de chiffrement puissants et approuvés. Elle précise également comment autoriser des personnes et des processus à utiliser le produit et comment concevoir les modules et les composants de manière à sécuriser leurs interactions avec d’autres systèmes.

Si vous souhaitez commercialiser vos produits sur le marché Américain, vous devez démontrer que ceux-ci offrent le bon niveau de sécurité. Pour cela, vous devez faire appel à un tiers de confiance, capable d’apporter les preuves nécessaires au vu de l’obtention de la norme FIPS 140-3.

La norme FIPS 140-3 définit quatre niveaux de sécurité. Chaque produit est certifié pour un niveau de sécurité spécifique indiqué sur le certificat FIPS 140-3 qui lui est apposé.

Le niveau 1 habituellement attribué aux produits qui effectuent un chiffrement purement logiciel, pose des conditions très limitées en matière de sécurité. Le produit doit être constitué exclusivement de composants adaptés à un environnement de production et offrir une protection contre les failles de sécurité les plus évidentes.

Le niveau 2 exige une authentification basée sur les rôles (l’authentification des divers utilisateurs n’est pas obligatoire). Il requiert également la capacité de détecter les manipulations physiques via des verrouillages physiques ou des plombs permettant de les constater.

Le niveau 3 inclut la résistance aux manipulations physiques par désassemblage ou modification, afin de rendre le piratage extrêmement difficile. En cas de manipulation, le périphérique doit être en mesure d’effacer les paramètres de sécurité critique. Le niveau 3 requiert également la gestion des clés et une protection cryptographique robuste, l’authentification basée sur l’identité et la séparation physique ou logique des interfaces d’entrée et de sortie des paramètres de sécurité critique.

Le niveau 4 impose une protection avancée contre les manipulations. Il est conçu pour les produits fonctionnant dans des environnements non protégés physiquement.

Le laboratoire de sécurité de SERMA Safety and Security effectue les évaluations de tests FIPS 140 accrédité par le NVLAP (Lab Code 200977-0) et reconnu par le Cryptographic Module Validation Program (CMVP) pour effectuer des validations de niveau 1 à 4 depuis 2016.

L’équipe est constituée d’un groupe de cryptanalystes ainsi que d’experts en logiciels et en matériel ayant de nombreuses années d’expérience dans les validations de sécurité. Au sein d’une structure ITSEF, notre laboratoire est hautement sécurisé par des normes et procédures strictes, vos informations sont donc en sécurité chez nous .

Nous utilisons le programme de validation cryptographique automatisé (ACVP), que ce soit de manière indépendante ou dans le cadre d’une validation CMVP.

Nous effectuons également l’évaluation de l’entropie (SP800-90B-ESV Submissions) de manière indépendante, avec des experts et des cryptanalystes spécialement dédiés à ce domaine.

Nos services commencent dès le début de votre projet jusqu’à sa validation :

• Atelier sur site ou à distance pour identifier les lacunes de votre produit par rapport à la FIPS 140-3,
• Formation FIPS 140-3 pour vos experts et concepteurs (cryptographie, logiciel, matériel),
• Évaluation préliminaire,
• Évaluation de l’entropie (seule ou dans le cadre d’un module),
• Test des algorithmes cryptographiques à l’aide du protocole de validation cryptographique automatisé du NIST,
• Validations FIPS 140-3 : conception, revue de code, ACVT, tests matériels, évaluation de l’entropie, tests opérationnels, etc)