Pour le technicien qui intervient.
Aucune opération sensible (clé maitre, export, redémarrage) ne doit pouvoir etre realisee par une seule personne. Configurer un quorum M-of-N (par exemple 3 sur 5) sur les cartes d'administration. Distribuer les cartes a des personnes de services differents. Cette segregation evite qu'un administrateur seul puisse compromettre tout le système.
Stocker toutes les cartes d'administration au meme endroit ruine la sécurité du quorum : un voleur ou un sinistre prend tout d'un coup. Repartir les cartes dans des coffres ignifuges de bâtiments differents (siège, agence, domicile sécurisé du RSSI). Maintenir un registre des détenteurs.
Pour les usages PCI-DSS, le RGS, eIDAS qualifies, et la plupart des certifications financieres, le HSM doit etre certifie FIPS 140-2 niveau 3 ou superieur (FIPS 140-3 maintenant disponible). Un HSM non certifie n'a pas la valeur juridique attendue. Conserver le certificat de certification dans le dossier de conformite.
Un HSM en panne sans HSM de secours configuré et teste arrete instantanément tous les services qui en dependent (signature electronique, paiement, chiffrement de données). Maintenir un HSM secondaire synchronisé, et tester la bascule au moins une fois par an. Documenter le RTO mesure.
Les clés cryptographiques ont une durée de vie limitée par leur politique : 1 an pour les clés de signature courte durée, jusqu'a 5 ou 10 ans pour les clés de chiffrement de données au repos. Documenter la politique, suivre la date de derniere rotation, et alerter 90 jours avant echeance. Une clé non rotee est un risque de conformite.
Pour le responsable / gestionnaire.
Aucune opération sensible (clé maitre, export, redémarrage) ne doit pouvoir etre realisee par une seule personne. Configurer un quorum M-of-N (par exemple 3 sur 5) sur les cartes d'administration. Distribuer les cartes a des personnes de services differents. Cette segregation evite qu'un administrateur seul puisse compromettre tout le système.
Pour les usages PCI-DSS, le RGS, eIDAS qualifies, et la plupart des certifications financieres, le HSM doit etre certifie FIPS 140-2 niveau 3 ou superieur (FIPS 140-3 maintenant disponible). Un HSM non certifie n'a pas la valeur juridique attendue. Conserver le certificat de certification dans le dossier de conformite.
Chaque generation, sauvegarde ou destruction de clé maitre HSM doit faire l'objet d'une cérémonie tracée : participants, date, heure, etapes realisees, signatures. Le proces-verbal est conserve dans le coffre des documents sensibles. Cette pratique est exigée par PCI-DSS, le RGS et la plupart des audits eIDAS.
Pour l'auditeur et le contrôle de conformité.
Pour les usages PCI-DSS, le RGS, eIDAS qualifies, et la plupart des certifications financieres, le HSM doit etre certifie FIPS 140-2 niveau 3 ou superieur (FIPS 140-3 maintenant disponible). Un HSM non certifie n'a pas la valeur juridique attendue. Conserver le certificat de certification dans le dossier de conformite.
Chaque generation, sauvegarde ou destruction de clé maitre HSM doit faire l'objet d'une cérémonie tracée : participants, date, heure, etapes realisees, signatures. Le proces-verbal est conserve dans le coffre des documents sensibles. Cette pratique est exigée par PCI-DSS, le RGS et la plupart des audits eIDAS.