Normes de chiffrement

Les normes sont dérivées de votre politique. Ils ont une portée plus étroite et aident à définir le cadre et l'architecture de mise en œuvre. Par exemple, si la politique de votre entreprise consiste à chiffrer vos données au repos, une norme définira le type de chiffrement requis et fournira des directives générales sur la manière de respecter cette politique.

Les normes de chiffrement spécifient généralement les éléments suivants :

• Les types de chiffrement à utiliser

• Spécifications minimales pour les clés de chiffrement

• Qui a accès aux clés de chiffrement

• Où les clés de chiffrement doivent être stockées

• Critères de sélection d'une force de clé appropriée lors du choix des techniques de chiffrement ou de hachage

• Fréquence de rotation des touches

Bien qu'il soit rarement nécessaire de mettre à jour une politique de chiffrement, les normes de chiffrement sont susceptibles de changer. Le secteur de la cybersécurité évolue constamment pour répondre au paysage des menaces en constante évolution. Par conséquent, vos normes devraient changer pour adopter les dernières technologies et les meilleures pratiques afin de fournir la meilleure protection possible aux données de votre entreprise.

Dans une entreprise, les vice-présidents, les directeurs ou les responsables des données définissent généralement les normes de chiffrement, et un responsable de la conformité les examine et les approuve généralement.

Tenez compte des catégories de facteurs suivantes lors de la définition et de la mise à jour des normes de chiffrement dans votre organisation :

• Considérations relatives aux coûts et aux performances

• Contrôle d'accès par clé

• Types de chiffrement

• Spécifications des clés de chiffrement

• Emplacement de stockage des clés

Considérations relatives aux coûts et aux performances

Tenez compte des facteurs opérationnels suivants lors de la détermination des normes de chiffrement pour les données au repos :

• Les ressources matérielles disponibles doivent être en mesure de prendre en charge vos normes à grande échelle.

• Le coût du chiffrement varie en fonction de la longueur de la clé, de la quantité de données et du temps nécessaire pour effectuer le chiffrement. Par exemple, comparé au chiffrement symétrique, le chiffrement asymétrique utilise des clés plus longues et prend plus de temps.

• Tenez compte des exigences de performance de vos applications d'entreprise. Si votre application nécessite une faible latence et un débit élevé, vous pouvez utiliser le chiffrement symétrique.

Contrôle d'accès par clé

Identifiez les politiques de contrôle d'accès pour vos clés de chiffrement en fonction du principe du moindre privilège. Le moindre privilège est la bonne pratique en matière de sécurité qui consiste à accorder aux utilisateurs l'accès minimum dont ils ont besoin pour exécuter leurs tâches. Dans vos normes, définissez une politique de contrôle d'accès qui :

• Identifie les rôles qui gèrent les clés de chiffrement des clés et les clés de données.

• Définit et associe les autorisations clés aux rôles. Par exemple, il définit qui possède les principaux privilèges d'administrateur et qui possède les principaux privilèges d'utilisateur. Les administrateurs de clés peuvent créer ou modifier des clés de chiffrement des clés, et les utilisateurs clés peuvent chiffrer et déchiffrer les données et générer des clés de données.

Types de chiffrement

Dans vos normes, définissez les types et fonctionnalités de chiffrement adaptés à votre organisation :

• Documentez quand utiliser des algorithmes de chiffrement symétriques et asymétriques. Pour plus d'informations, consultez Quand ai-je besoin d'un chiffrement symétrique ? et Quand ai-je besoin d'un chiffrement asymétrique ? consultez la section FAQ.

• Décidez si vous devez utiliser le chiffrement des enveloppes et définissez les circonstances. Pour plus d'informations, consultez Quand ai-je besoin du chiffrement des enveloppes ? la section FAQ.

• Définissez les critères d'utilisation des alternatives de chiffrement, telles que la tokenisation et le hachage.

Spécifications des clés de chiffrement

Définissez les spécifications requises pour vos clés de chiffrement, telles que la puissance des clés et les algorithmes. Ces spécifications doivent être conformes aux régimes réglementaires et de conformité définis dans la politique. Pensez à définir les spécifications suivantes :

• Définissez la puissance de clé minimale et les algorithmes pour les types de chiffrement symétriques et asymétriques. Les principaux facteurs de force incluent la longueur, le caractère aléatoire et le caractère unique.

• Définissez à quel moment vous souhaitez implémenter les nouvelles versions des algorithmes de chiffrement. Par exemple, vos normes peuvent indiquer « Implémenter la dernière version de l'algorithme dans les 30 jours suivant sa publication » ou « Toujours utiliser une version antérieure à la dernière version ».

• Définissez l'intervalle de rotation de vos clés de chiffrement.

Emplacement de stockage des clés

Dans vos normes, tenez compte des points suivants lorsque vous décidez où stocker vos clés de chiffrement :

• Les exigences réglementaires et de conformité peuvent dicter l'endroit où vos clés de chiffrement peuvent être stockées.

• Décidez si vous souhaitez stocker les clés dans un emplacement centralisé ou avec les données correspondantes. Pour plus d'informations, consultez Pourquoi devrais-je gérer les clés de chiffrement de manière centralisée ? la section FAQ.

• Si vous optez pour le stockage centralisé, décidez si vous souhaitez stocker les clés dans une infrastructure gérée par l'entreprise, telle qu'un module de sécurité matériel (HSM), ou dans un fournisseur de services gérés, tel que. AWS Key Management Service Pour plus d'informations, consultez Quand dois-je utiliser un module de sécurité matériel (HSM) ? la section FAQ.