Politique de contrôles cryptographiques

La Politique de contrôles cryptographiques (P18) établit les contrôles obligatoires qui régissent l’utilisation des mécanismes cryptographiques dans l’ensemble de l’organisation afin d’assurer la confidentialité, l’intégrité et l’authenticité de toutes les informations sensibles et des données réglementées. Reconnaissant que la cryptographie est fondamentale pour des communications sécurisées, la conformité réglementaire et la protection des données, cette politique décrit des exigences détaillées alignées sur les principales normes mondiales et sur l’évolution des obligations réglementaires. L’objectif principal est de garantir que des méthodes cryptographiques appropriées sont appliquées de manière cohérente partout où des données sensibles sont transmises, traitées ou stockées, afin de renforcer la confiance organisationnelle et de soutenir des opérations sécurisées dans tous les domaines métier. La politique s’applique à l’échelle de l’organisation, couvrant toutes les fonctions métier, l’ensemble du personnel et les prestataires tiers de services pertinents impliqués dans des opérations cryptographiques. La couverture s’étend aux environnements de production, de développement, de pré-production, aux systèmes de sauvegarde et à l’environnement de reprise après sinistre, avec une référence explicite aux systèmes traitant des données confidentielles, hautement confidentielles ou des données réglementées. Les cas d’usage cryptographiques vont du chiffrement symétrique et asymétrique, des signatures numériques, du hachage sécurisé et du chiffrement au niveau des interfaces de programmation (API) à une génération, une distribution et une destruction robustes des clés, y compris des technologies telles que les modules matériels de sécurité (HSM), les modules de plateforme sécurisée (TPM) et les systèmes de gestion des clés (KMS). Un cadre de gouvernance solide est établi, dirigé par le responsable de la sécurité de l’information ou le responsable de la sécurité des systèmes d’information (RSSI), qui est propriétaire de la politique et garantit sa conformité avec ISO/IEC 27001:2022, annexe A, mesure 8.24, entre autres. Le responsable des opérations cryptographiques maintient la liste des méthodes cryptographiques approuvées (ACML) et le registre de gestion des clés, et pilote la revue et l’intégration de nouvelles technologies. Les responsables hiérarchiques, administrateurs système, propriétaires de l’actif, développeurs et prestataires tiers se voient attribuer des responsabilités claires pour l’approbation, la configuration, la mise en application et la revue des contrôles cryptographiques dans leurs périmètres. Des revues annuelles et des revues de conception cryptographique (CDR) sont imposées pour tous les déploiements nouveaux ou modifiés, afin d’assurer l’alignement avec les menaces actuelles et les exigences réglementaires. Les exigences de mise en œuvre de la politique sont complètes. Seuls des algorithmes et protocoles approuvés par l’organisation, notamment AES-256 pour le chiffrement symétrique, RSA 2048+/ECC pour l’asymétrique, SHA-256/SHA-3 pour le hachage et TLS 1.2+ pour le transport, peuvent être utilisés. Un processus formel de gestion des clés, géré de manière centralisée, est défini, couvrant la génération, le stockage, l’utilisation, la rotation, la révocation, la destruction des clés et le renouvellement des certificats. La séparation des tâches et la double garde pour les opérations sensibles garantissent l’autorité et la responsabilité et réduisent le risque de menaces internes, tandis que la surveillance continue identifie l’expiration des certificats, l’utilisation de chiffrements obsolètes et les accès non autorisés aux clés. Le traitement des risques, des dérogations et de la mise en application est rigoureux. Toute déviation par rapport aux algorithmes standard nécessite un processus d’approbation documenté, incluant une appréciation des risques et des mesures compensatoires. L’audit annuel des contrôles cryptographiques, une escalade stricte en cas de non-conformité ou de compromission de clés, ainsi que des remèdes disciplinaires ou contractuels formels font partie des procédures standard. La politique est régulièrement revue et mise à jour en réponse à de nouvelles vulnérabilités cryptographiques, à des changements réglementaires, à des audits opérationnels ou à des mises à niveau significatives des outils, avec une communication centralisée et un contrôle de version via le registre de contrôle des documents du SMSI.