Terme du glossaire · H
HSM (Hardware Security Module)
Définition
Un HSM (Hardware Security Module, Module de Sécurité Matériel en français) est un équipement matériel inviolable dédié à la génération, au stockage et à l'utilisation sécurisés de clés cryptographiques. Le HSM exécute les opérations cryptographiques (signature, déchiffrement, génération de clés) sans jamais exposer la clé privée — elle reste à l'intérieur du périmètre matériel, protégée par des contre-mesures physiques (capteurs anti-intrusion, effacement automatique à toute tentative d'ouverture).
Certifications HSM : pour être qualifié au sens du règlement eIDAS, un HSM doit répondre à des normes strictes — FIPS 140-2 niveau 3 ou FIPS 140-3 niveau 3+ (standard américain du NIST), et/ou Common Criteria EAL4+ (standard européen). Les HSM certifiés Common Criteria sont éligibles pour héberger des clés de signature qualifiée (QES) et des clés d'horodatage qualifié. La liste de confiance européenne (EU Trusted List) référence les HSM autorisés pour chaque prestataire qualifié.
HSM cloud vs HSM physique : historiquement les HSM étaient des appliances dédiées installées en datacenter privé. Les fournisseurs cloud proposent désormais des HSM mutualisés ou dédiés en SaaS — AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM, mais aussi les HSM nationaux opérés par des QTSP européens. Le règlement eIDAS 2.0 reconnaît explicitement les HSM cloud pour la signature qualifiée à distance.
HSM et chiffrement (« HSM encryption ») : au-delà de la signature, les HSM protègent les clés de chiffrement de bases de données, les clés de chiffrement de disque (BitLocker, FileVault, LUKS), les clés racines de PKI internes, et les secrets applicatifs. La rotation, la sauvegarde et la révocation des clés sont gérées via PKCS#11 ou des interfaces propriétaires.
Mise en œuvre Certyneo : les clés cryptographiques de signature à distance sont hébergées dans des HSM Common Criteria EAL4+ opérés par notre prestataire de services de confiance qualifié (QTSP). Aucune clé privée n'est jamais accessible à Certyneo ni à son hébergeur — chaque opération de signature passe par une authentification forte du signataire et un appel API au HSM, qui retourne la signature sans exposer la clé. Voir aussi QSCD et signature cloud.
Certifications HSM : pour être qualifié au sens du règlement eIDAS, un HSM doit répondre à des normes strictes — FIPS 140-2 niveau 3 ou FIPS 140-3 niveau 3+ (standard américain du NIST), et/ou Common Criteria EAL4+ (standard européen). Les HSM certifiés Common Criteria sont éligibles pour héberger des clés de signature qualifiée (QES) et des clés d'horodatage qualifié. La liste de confiance européenne (EU Trusted List) référence les HSM autorisés pour chaque prestataire qualifié.
HSM cloud vs HSM physique : historiquement les HSM étaient des appliances dédiées installées en datacenter privé. Les fournisseurs cloud proposent désormais des HSM mutualisés ou dédiés en SaaS — AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM, mais aussi les HSM nationaux opérés par des QTSP européens. Le règlement eIDAS 2.0 reconnaît explicitement les HSM cloud pour la signature qualifiée à distance.
HSM et chiffrement (« HSM encryption ») : au-delà de la signature, les HSM protègent les clés de chiffrement de bases de données, les clés de chiffrement de disque (BitLocker, FileVault, LUKS), les clés racines de PKI internes, et les secrets applicatifs. La rotation, la sauvegarde et la révocation des clés sont gérées via PKCS#11 ou des interfaces propriétaires.
Mise en œuvre Certyneo : les clés cryptographiques de signature à distance sont hébergées dans des HSM Common Criteria EAL4+ opérés par notre prestataire de services de confiance qualifié (QTSP). Aucune clé privée n'est jamais accessible à Certyneo ni à son hébergeur — chaque opération de signature passe par une authentification forte du signataire et un appel API au HSM, qui retourne la signature sans exposer la clé. Voir aussi QSCD et signature cloud.
Guides associés
Termes associés
Prêt à mettre en pratique ces concepts ?
Certyneo vous permet de créer des enveloppes de signature conformes eIDAS en quelques clics, sans installation.