Logo de conformité avec la norme FIPS 140
Monde | Administration et secteur public

Exigences de la norme FIPS 140

Développée par le National Institute of Standards and Technology (NIST), la norme FIPS (Federal Information Processing Standard) 140 permet de coordonner les exigences et les normes relatives aux modules de chiffrement, qui incluent des composants matériels et logiciels utilisés par les services et les organismes des gouvernements canadien et américain pour protéger les informations sensibles.

Conformité avec la norme FIPS 140

Les fournisseurs de services cloud, ainsi que leurs sous-traitants et fournisseurs, sont tenus d'implémenter le contrôle de sécurité FIPS pour répondre aux exigences liées au cloud computing des gouvernements canadien et américain. La norme FIPS 140 stipule que si le chiffrement est utilisé comme mécanisme pour répondre à une exigence de sécurité, il doit être validé par FIPS dans le cadre du programme de validation des modules de chiffrement (CMVP, Cryptographic Module Validation Program).

La dernière version de la série FIPS 140, publiée en 2020, est la troisième révision, communément appelée FIPS 140-3. Le NIST est en train d'implémenter une feuille de route de transition pour passer de la norme FIPS 140-2 à la norme 140-3, et Google s'est engagé à effectuer cette transition. Depuis septembre 2022, toutes les demandes FIPS 140 de Google pour de nouveaux modules sont conformes à la norme 140-3. Le module logiciel principal de Google, BoringCrypto, a reçu un certificat FIPS 140-3 (nº 5104). Les certifications délivrées conformément à la norme FIPS 140-2 restent valides et acceptées pour les programmes de conformité fédéraux jusqu'à leur date d'expiration.

Conformité de Google Cloud avec la norme FIPS 140

Les données au repos dans Google Cloud sont protégées par des modules certifiés FIPS 140. Google chiffre automatiquement le trafic entre VM qui transite par ses centres de données avec le chiffrement certifié FIPS.

Les données en transit dans Google Cloud sont traitées par des modules certifiés FIPS 140. Cela inclut, par exemple, les connexions SSH, le trafic des centres de données, les connexions de service à service et les interfaces externes (à l'aide de TLS 1.2 ou version ultérieure). Pour garantir une connexion certifiée FIPS 140, les clients doivent s'assurer que les machines qui se connectent à Google Cloud sont configurées pour utiliser des modules de chiffrement certifiés. Nous conseillons aux clients d'utiliser TLS 1.2 ou une version ultérieure pour garantir une connexion certifiée FIPS 140.

Conformément au règlement FedRAMP concernant la sélection et l'utilisation de modules de chiffrement, Google utilise le flux de mise à jour contenant les derniers correctifs et mises à jour à appliquer aux logiciels, quel que soit l'état de validation FIPS du logiciel mis à jour. Google conserve les artefacts démontrant que les versions majeures mises à jour sont soumises au programme de validation des modules cryptographiques (CMVP) dans les six mois suivant leur publication et fournit une visibilité sur l'utilisation des modules cryptographiques (y compris les versions) dans le cadre de son programme de surveillance continue, conformément à la norme SI- (2). Pour en savoir plus sur les implémentations de contrôle des modules cryptographiques de Google Cloud, veuillez contacter notre équipe commerciale ou votre représentant Google Cloud, qui pourront vous aider à accéder à notre documentation sur le FedRAMP. Les administrations peuvent également demander le package FedRAMP de Google via le bureau de gestion du programme FedRAMP à l'aide de son formulaire de demande.

Google applique systématiquement cette règle en appliquant le modèle de flux de mise à jour à d'autres directives qui nécessitent une certification cryptographique FIPS, par exemple : CJIS, ITAR, DoD IL4 et IL5, IRS 1075, JISF et Protected B.

Remarque : Les applications des clients qui sont créées et exécutées sur Google Cloud peuvent inclure leurs propres implémentations de chiffrement. Si les clients souhaitent sécuriser les données qu'elles traitent à l'aide d'un module de chiffrement certifié FIPS, ils doivent intégrer eux-mêmes cette implémentation.

Passez à l'étape suivante

Commencez à créer sur Google Cloud avec 300 $ de crédits inclus et plus de 20 produits toujours sans frais.

Google Cloud
DocumentationAssistance
Console
Se connecter
Security
Infos sur les menacesSecOpsConseilRessources concernant la sécurité
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre tarification transparente
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud