Comme il est particulièrement difficile de mettre en œuvre la cryptographie correctement et de façon sûre, le Centre pour la cybersécurité a recours au Programme de validation des modules cryptographiques (PVMC) pour certifier les produits de TI qui peuvent être achetés. Le PVMC s’adresse particulièrement aux acheteurs d’organismes qui se procurent des produits de TI.
Le PVMC valide les modules cryptographiques (les parties des systèmes mettant en œuvre la cryptographie) qui composent les produits de TI en fonction de la norme Federal Information Processing Standard (FIPS) 140-2 (en anglais seulement), ainsi que d’autres normes de cryptographie. Se procurer et déployer un produit homologué FIPS permet de s’assurer que le fournisseur a mis en œuvre le produit correctement et qu’il respecte les pratiques exemplaires recommandées par le Centre pour la cybersécurité en matière de cryptographie. Notez que le PVMC procède actuellement à l’adoption de la nouvelle norme FIPS 140-3. Les essais en fonction de cette norme commenceront en septembre 2020.
À propos du PVMC
Le Centre pour la cybersécurité gère le Programme de validation des modules cryptographiques (PVMC) en partenariat avec le National Institute of Standards and Technology des États-Unis, National Institute of Standards and Technology (NIST) (en anglais seulement) un organisme fédéral non réglementaire qui relève de l’Administration technologique du département du Commerce des États-Unis (en anglais seulement). Le Centre pour la cybersécurité est l’autorité de certification canadienne.
Les organismes fédéraux du Canada et des États-Unis acceptent les produits validés selon la norme FIPS 140-1 ou 140-2 (ou, bientôt, la norme FIPS 140-3) pour la protection de l’information sensible aux États-Unis et de l’information protégée au Canada.
Pour les fournisseurs
Les fournisseurs qui veulent faire valider leurs produits en vertu du PVMC doivent s’adresser à un laboratoire d’essais agréé (en anglais seulement).
Les termes ci-dessous permettront de limiter la recherche aux laboratoires agréés en vertu du PVMC :
- Programme : Formation en sécurité des technologies de l’information – Mise à l’essai et sécurité cryptographique;
- Domaine d’accréditation : Mise à l’essai et sécurité cryptographique de base.
Pour les architectes de systèmes
Le Centre pour la cybersécurité recommande de limiter l’utilisation de produits validés en vertu du PVMC (en anglais seulement) aux architectures de systèmes qui font appel à la cryptographie. L’utilisation de produits validés en fonction du PVMC permet de garantir le chiffrement continu de l’information, que ce soit au moyen d’un algorithme approuvé, de clés générées ou dérivées selon une méthode approuvée, ou grâce à une force approuvée tant pour sa longueur que pour son caractère aléatoire. Le Centre pour la cybersécurité estime que le recours à une cryptographie non validée ne protège aucunement l’information; ce qui équivaut, en d’autres mots, à du texte en clair.
Veuillez vous reporter à la façon de sélectionner un produit validé selon le PVMC pour obtenir de plus amples renseignements sur le choix d’un produit validé adapté à votre architecture.
Pour les acheteurs
Avant d’utiliser un produit qui met en œuvre la cryptographie, le Centre pour la cybersécurité recommande que les organismes obtiennent copie du certificat de validation à la norme FIPS 140-2 du fournisseur ou le numéro de certificat du produit, et qu’ils valident ces certificats en vérifiant la liste de validation du PVMC (en anglais seulement). La norme prescrit quatre niveaux de sécurité croissants et qualitatifs, soit les niveaux 1 à 4. Ces niveaux couvrent un vaste éventail d’applications et d’environnements potentiels pour lesquels vous pourriez faire appel à la cryptographie. Les exigences de sécurité abordent onze domaines liés à la conception et la mise en œuvre sécurisées d’un module cryptographique. Le Centre pour la cybersécurité recommande que la cote générale attribuée à un module cryptographique ne soit pas nécessairement la plus importante.
Les fournisseurs ajoutent souvent un éventail de termes pour les annonces de conformité dans le matériel de marketing, ce qui peut créer de la confusion. Voici l’opinion du Centre pour la cybersécurité en ce qui a trait à l’acceptabilité des annonces de conformité suivantes à la norme FIPS 140-2 :
- Le module a été conçu pour être compatible avec la norme FIPS 140-2. <Non>
- Le module a été prévalidé et se trouve dans la liste de prévalidation du PVMC. <Non>
- Le module sera soumis aux fins de test. <Non>
- Le module a fait l’objet d’un examen indépendant et a été mis à l’essai pour assurer sa conformité à la norme FIPS 140-2. <Non>
- Le module répond à toutes les exigences de la norme FIPS 140-2. <Non>
- Le module met en œuvre des algorithmes approuvés selon la norme FIPS pour lesquels des certificats ont été délivrés. <Non>
- Le module respecte les lignes directrices stipulées dans la norme FIPS 140-2. <Non>
- Le module a été validé et s’est vu délivrer le certificat no 9999. <Oui!>
Veuillez vous reporter à la façon de sélectionner un produit validé selon le PVMC pour obtenir de plus amples renseignements sur le choix d’un produit validé adapté à votre architecture.
Pour les laboratoires
Les organismes qui veulent devenir un laboratoire d’essais pour le PVMC doivent consulter le site Web du NVLAP (en anglais seulement). Il contient de l’information sur ce qui suit :
- les demandes d’accréditation des laboratoires ;
- les frais exigibles ;
- les guides du National Voluntary Laboratory Accreditation Program (NVLAP) ;
- les bulletins d’information connexes.
Pour en apprendre davantage sur le PVMC
Vous voulez en savoir plus sur le PVMC? Veuillez visiter le site Web principal du Programme de validation des modules cryptographiques (PVMC) (en anglais seulement) hébergé par le NIST.
Vous aimeriez que le Centre pour la cybersécurité vous en dise plus sur le PVMC?
Veuillez communiquer avec nous.