Comme il est manifestement difficile de mettre en œuvre la cryptographie correctement et de façon sûre, le Centre pour la cybersécurité a recours au Programme de validation des modules cryptographiques (PVMC) pour certifier les produits de TI qu’il est possible d’acheter. Le PVMC s’adresse particulièrement aux organismes qui se procurent des produits de TI.
Le PVMC valide les modules cryptographiques (les parties des systèmes mettant en œuvre la cryptographie) qui font partie des produits de cybersécurité par rapport à la norme FIPS 140, Federal Information Processing Standard (FIPS) 140-2 (en anglais seulement), et à d’autres normes cryptographiques. Se procurer et déployer un produit homologué FIPS permet de s’assurer que le fournisseur a mis en œuvre le produit correctement et qu’il respecte les pratiques exemplaires recommandées par le Centre pour la cybersécurité en matière de cryptographie. Il importe de souligner que le PVMC procède actuellement à l’adoption de la nouvelle norme FIPS 140-3. Les essais réalisés en fonction de cette norme ont commencé en septembre 2020.
La FIPS 140-3 est une norme basée sur ISO (ISO/IEC 19790:2012) qui introduit de nouvelles exigences dans des domaines comme l’authentification de modules, les définitions et indicateurs de services, et la gestion des clés.
À propos du PVMC
Le Centre pour la cybersécurité assure une gestion conjointe du Programme de validation des modules cryptographiques (PVMC) avec le National Institute of Standards and Technology (NIST) (en anglais seulement) américain, une agence fédérale non réglementaire qui relève de l’Administration technologique du département du Commerce des États-Unis (en anglais seulement). Le Centre pour la cybersécurité est l’autorité de certification canadienne.
Les organismes fédéraux du Canada et des États-Unis acceptent les produits validés selon la norme FIPS 140-2 ou FIPS 140-3 pour la protection de l’information sensible aux États-Unis et de l’information protégée au Canada.
Pour les fournisseurs
Les fournisseurs qui veulent faire valider leurs produits en vertu du PVMC doivent s’adresser à un laboratoire d’essais agréé (en anglais seulement).
Les termes ci-dessous permettront de limiter la recherche aux laboratoires agréés en vertu du PVMC :
- Programme du CTSTI : Mise à l’essai et sécurité cryptographique
- Domaine d’accréditation : Mise à l’essai et sécurité cryptographique de base
Pour les architectes de systèmes
Le Centre pour la cybersécurité recommande de limiter l’utilisation des produits validés en vertu du PVMC (en anglais seulement) aux architectures de systèmes qui font appel à la cryptographie. L’utilisation de tels produits permet de garantir le chiffrement continu de l’information, que ce soit au moyen d’un algorithme approuvé, de clés générées ou dérivées selon une méthode approuvée, ou d’une robustesse approuvée tant pour sa longueur que pour son caractère aléatoire. Le Centre pour la cybersécurité estime que le recours à une cryptographie non validée ne protège aucunement l’information, ce qui équivaut, en d’autres mots, à du texte en clair.
Veuillez vous reporter à la façon de de sélectionner un produit validé selon le PVMC pour obtenir de plus amples renseignements sur le choix d’un produit validé adapté à votre architecture.
Pour les acheteuses et acheteurs
Avant d’utiliser un produit qui met en œuvre la cryptographie, le Centre pour la cybersécurité recommande que les organismes obtiennent copie du certificat de validation à la norme FIPS 140-2 ou FIPS 140-3 du fournisseur ou le numéro de certificat du produit, et qu’ils valident ces certificats en vérifiant la liste de validation du PVMC (en anglais seulement). La norme prescrit quatre niveaux de sécurité croissants et qualitatifs, soit les niveaux 1 à 4. Ces niveaux couvrent un vaste éventail d’applications et d’environnements potentiels pour lesquels vous pourriez faire appel à la cryptographie. Les exigences de sécurité abordent onze domaines liés à la conception et à la mise en œuvre sécurisées d’un module cryptographique. Le Centre pour la cybersécurité recommande que la cote générale attribuée à un module cryptographique ne soit pas nécessairement la plus importante.
Les fournisseurs ajoutent souvent un éventail de termes pour les annonces de conformité dans le matériel de marketing, ce qui peut créer de la confusion. Voici l’opinion du Centre pour la cybersécurité en ce qui a trait à l’acceptabilité des annonces de conformité suivantes par rapport à la norme FIPS 140 :
- Le module a été conçu pour être compatible avec la norme FIPS 140. <Non>
- Le module a été prévalidé et se trouve dans la liste de prévalidation du PVMC. <Non>
- Le module sera soumis aux fins de test. <Non>
- Le module a fait l’objet d’un examen indépendant et a été mis à l’essai pour assurer sa conformité à la norme FIPS 140. <Non>
- Le module répond à toutes les exigences de la norme FIPS 140. <Non>
- Le module met en œuvre des algorithmes approuvés selon la norme FIPS pour lesquels des certificats ont été délivrés. <Non>
- Le module respecte les lignes directrices stipulées dans la norme FIPS 140. <Non>
- Le module a été validé et s’est vu délivrer le certificat no 9999. <Oui>
Veuillez vous reporter à la façon de sélectionner un produit validé selon le PVMC pour obtenir de plus amples renseignements sur le choix d’un produit validé adapté à votre architecture.
Pour les laboratoires
Les organismes qui veulent devenir un laboratoire d’essais pour le PVMC doivent consulter le site Web du NVLAP (en anglais seulement). Il contient de l’information sur ce qui suit :
- les demandes d’accréditation des laboratoires ;
- les frais exigibles ;
- les guides du National Voluntary Laboratory Accreditation Program (NVLAP) ;
- les bulletins d’information connexes.
Pour en apprendre davantage sur le PVMC
Vous voulez en savoir plus sur le PVMC? Veuillez visiter le site Web principal du Programme de validation des modules cryptographiques (PVMC) (en anglais seulement) hébergé par le NIST.
Vous aimeriez que le Centre pour la cybersécurité vous en dise plus sur le PVMC?
Veuillez communiquer avec nous.