Cryptographic standard

Introduction


L'objectif de cette norme est de fournir des lignes directrices qui limitent l'utilisation du cryptage aux algorithmes et aux chiffrements qui ont fait l'objet d'un examen public approfondi et dont l'efficacité a été prouvée.



Gestion de l'environnement et du code


  • Les chiffrements utilisés respectent ou dépassent l'ensemble défini comme « compatible AES » ou « partiellement compatible AES » selon le catalogue de chiffrement IETF/IRTF, ou l'ensemble défini pour une utilisation par le National Institute of Standards and Technology (NIST) des États-Unis. publication FIPS 140-2, ou tout document le remplaçant en fonction de la date de mise en œuvre. L'utilisation de Advanced Encryption Standard (AES) est fortement recommandée pour le cryptage symétrique.

  • Les algorithmes utilisés répondent aux normes définies pour une utilisation dans la publication NIST FIPS 140-2 ou dans tout document le remplaçant, selon la date de mise en œuvre. L'utilisation des algorithmes RSA et Elliptic Curve Cryptography (ECC) est fortement recommandée pour le cryptage asymétrique.

  • Chaque clé cryptographique est associée à une force de clé qui peut fournir une protection adéquate pendant toute la durée de vie utile des données protégées ainsi que la capacité de résister aux attaques pendant cette durée de vie

  • Lors du choix d'un chiffrement par bloc d'algorithme de hachage ou de chiffrement approprié, des tailles de bits plus élevées sont préférables.

  • Seuls les hachages de mots de passe salés sont utilisés.

  • Les dispositifs cryptographiques matériels sont certifiés au niveau de sécurité 2+, tel que défini dans la publication FIPS 140-2 sur les exigences de sécurité pour les modules cryptographiques

  • Les systèmes cryptographiques sont conçus pour échouer fermés



Conception et documentation


  • Lorsque cela est nécessaire, les méthodologies de dépôt de clés sont entièrement documentées avant la mise en œuvre en production des systèmes cryptographiques.

  • De manière continue, les informations liées aux faiblesses et attaques cryptographiques sont analysées et des recommandations sont fournies par les équipes de sécurité.

  • Les dates d'expiration des clés sont documentées dans le cadre d'un nouveau processus de création de clé.



Protection des données et sécurité des informations


  • Tous les serveurs et applications utilisant Transport Layer Security (TLS) disposent de certificats signés par un fournisseur de certificats connu et fiable.

  • Les points de terminaison publics sont sécurisés avec TLS 1.3 ou, si cela n'est pas possible, TLS 1.2 avec une liste courte mais diversifiée de suites de chiffrement sélectionnées.

  • Les certificats numériques utilisés par le Groupe Altus DOIVENT être des certificats X509 version 3 émis (signés) par une autorité de certification (CA) approuvée par le Groupe Altus


Gestion des clés

Avant toute nouvelle mise en œuvre de cryptographie, la phase du cycle de vie des clés au cours de laquelle les clés sont gérées est identifiée et documentée.

  • Les processus de gestion des clés pour toutes les clés matérielles et logicielles sont développés et maintenus pour toutes les étapes du cycle de vie de la gestion des clés.

  • Les processus sont conçus pour empêcher la substitution de clés.

  • Les clés ne sont jamais partagées ou déplacées entre les systèmes ou environnements de production et hors production.


Liens rapides
Contrôle d'accèsNorme d'assuranceGestion du changementGouvernance d'entrepriseNorme cryptographiqueSécurité RHPlan de réponse aux incidentsAppareils mobiles et ordinateurs portablesSécurité InternetSécurité physique et environnementaleGestion des risquesDéveloppement sécurisé