Qu’est-ce que les FIPS ? Ce que vous devez savoir sur ces directives

FIPS peut sembler intimidant, dense ou incompréhensible. En tant que MSP, selon votre clientèle, maintenir la conformité aux FIPS pourrait être une partie essentielle de votre rôle.

Pour cette raison, une compréhension solide de ce que sont les FIPS, de ce qu’ils couvrent et de ce qu’ils signifient pour vous et vos clients est indispensable.

Dans ce guide, nous vous présentons les éléments essentiels à connaître et examinons pourquoi les FIPS pourraient avoir un impact sur vos flux de travail. Commençons.

Qu’est-ce que les FIPS ?

FIPS signifie Federal Information Processing Standards (Normes fédérales de traitement de l’information). Ce terme fait référence à une série de normes de sécurité informatique développées par le gouvernement fédéral des États-Unis conformément au Federal Information Security Management Act (FISMA) et approuvées par le Secrétaire au Commerce. Plus précisément, les FIPS constituent un cadre de normes de sécurité élaboré par le National Institute of Standards and Technology (NIST).

Les FIPS dictent certaines exigences dans divers domaines de la cybersécurité, notamment les schémas de chiffrement informatique, les méthodes de génération de clés, la sécurité des systèmes informatiques et l’interopérabilité, entre autres, et précisent ce qui est considéré comme acceptable.

Ils sont généralement développés uniquement dans des domaines où il n’existe pas encore de directives standard de l’industrie pour répondre à un besoin spécifique du gouvernement. Assurer la conformité aux normes FIPS permet aux entreprises et aux MSP de répondre aux exigences gouvernementales tout en garantissant une sécurité informatique robuste.

Qui utilise les FIPS ?

La conformité aux FIPS est généralement obligatoire uniquement pour les agences fédérales non militaires, leurs sous-traitants et fournisseurs. Ces normes s’appliquent spécifiquement aux départements qui traitent, stockent, partagent ou diffusent des informations sensibles mais non classifiées (SBU) et des données.

Toutes les agences responsables de programmes fédéraux déployés à grande échelle, comme l’assurance chômage, les prêts étudiants, Medicare et Medicaid, doivent se conformer au FISMA (qui exige la conformité aux FIPS). Cela concerne également les acteurs du secteur privé ayant obtenu des contrats gouvernementaux.

Note : elles ne s’appliquent pas aux systèmes de sécurité nationale.

Cependant, comme les FIPS sont publiquement disponibles, ils peuvent être — et sont souvent — adoptés volontairement par des acteurs du secteur privé. De manière générale, étant donné qu’il s’agit d’un cadre mandaté par le gouvernement américain, il est également largement reconnu à l’international comme une norme de sécurité robuste et fiable.

Pourquoi les FIPS sont-ils nécessaires ?

Les FIPS prennent en compte le fait que, bien qu’il existe de nombreuses manières de chiffrer des informations, toutes ne sont pas également sécurisées ou efficaces. Pour cette raison, le gouvernement fédéral valide et approuve certains schémas répondant à ses exigences et les établit comme norme pour ses agences.

Les FIPS les plus récents sont disponibles sur la page actuelle du NIST consacrée aux FIPS.

Quelles sont les différentes séries FIPS ?

Le terme « FIPS » est en réalité un terme générique regroupant un certain nombre de standards différents, chacun lié à des problématiques spécifiques de sécurité. Voici quelques exemples :

• FIPS-140-2 et 140-3 : concernent les modules de cryptographie
• FIPS-201-2 : Vérification d’identité personnelle (PIV) pour les employés fédéraux et les sous-traitants
• FIPS-186-4 : Standard pour les signatures numériques
• FIPS-197 : Standards de chiffrement avancé (AES)
• FIPS-199 : Normes pour la catégorisation de la sécurité des informations et systèmes fédéraux

Que sont FIPS 140-2 et FIPS 140-3 ?

Ces deux séries de standards sont fréquemment mentionnées dans un contexte de cybersécurité. FIPS-140-2 et 140-3 concernent les exigences de sécurité standard pour les modules cryptographiques. FIPS-140-2 sera progressivement remplacé par FIPS-140-3, et cette transition est actuellement en cours.

• Niveau 1 : Le niveau de sécurité le plus bas, imposant des exigences minimales et nécessitant que tous les composants soient « production grade ».
• Niveau 2 : Ajout d’exigences pour la détection des altérations physiques et l’authentification basée sur les rôles.
• Niveau 3 : Obligation supplémentaire de renforcer la sécurité contre les attaques, utilisation de l’authentification basée sur l’identité et séparation physique entre les interfaces.
• Niveau 4 : Le niveau le plus strict, nécessitant des mesures de sécurité physique robustes contre les attaques environnementales.

Comment les FIPS sont-ils développés ?

Les FIPS sont élaborés uniquement lorsqu’il n’existe pas de standards industriels acceptables et qu’un besoin gouvernemental explicite est identifié dans un domaine particulier.

Tout d’abord, le FIPS proposé est annoncé dans le Federal Register, sur les pages électroniques du NIST, ainsi que sur la page du Chief Information Officers Council. Les commentaires et retours sont recueillis pendant une période pouvant aller jusqu’à 90 jours.

Ensuite, les amendements et modifications pertinents sont appliqués au projet proposé. Une fois cette étape terminée, un document de justification est préparé pour contextualiser les mises à jour, modifications ou le choix de maintenir certains aspects inchangés.

Une fois que le Secrétaire au Commerce a approuvé le FIPS proposé, une annonce officielle est publiée sur le site web du NIST.

Note : Les entreprises et les MSP qui travaillent avec des données fédérales ou sensibles peuvent tirer parti de la conformité aux normes FIPS pour démontrer leur rigueur en matière de sécurité et renforcer la confiance de leurs clients.

Quand les FIPS sont-ils retirés ?

Lorsqu’un standard industriel est développé, les FIPS relatifs à ce domaine spécifique deviennent obsolètes et sont retirés. Cela peut également se produire lorsqu’un produit commercial établissant le standard devient largement disponible.

La raison est que, en pratique, les départements et agences gouvernementales sont tenus, selon le National Technology Transfer and Advancement Act (1995), d’utiliser les standards techniques de l’industrie développés par des organismes volontaires, plutôt que d’investir dans le développement de leurs propres standards.

Pour les entreprises et les MSP, maintenir la conformité aux normes FIPS reste essentiel tant que ces standards sont actifs, car ils garantissent que les pratiques de sécurité sont alignées avec les exigences fédérales et reconnues comme fiables.

Que signifie être conforme aux normes FIPS ?

L’accréditation FIPS indique qu’une solution particulière respecte les exigences définies par la réglementation gouvernementale. Si un produit ou une solution IT est accrédité de cette manière, cela signifie que les agences fédérales américaines et leurs sous-traitants peuvent utiliser le produit immédiatement. Pour être conforme aux normes FIPS, tous les composants d’une solution de sécurité (matériel et logiciel) doivent être testés et approuvés par un laboratoire indépendant accrédité par le NIST.

Pourquoi les FIPS sont-ils importants ?

Étant donné la rigueur des tests que les FIPS imposent, ces normes sont considérées comme un standard de sécurité fiable. De plus, elles servent de référence utile pour toutes les entités qui doivent mettre en place des standards de sécurité au sein de leur infrastructure. La conformité aux normes FIPS constitue donc un gage de sécurité et de confiance.

Quand les FIPS sont-ils utiles pour les MSP ?

Vous pouvez rencontrer des clients qui opèrent sous certains cadres FIPS. Cela signifie qu’en tant que MSP, vous devez être conscient des standards requis et comprendre ce que signifie la conformité aux normes FIPS.

En particulier du point de vue des mises à jour et du patching, il est crucial de connaître les FIPS. En effet, si vous appliquez des patchs sans discernement ou laissez l’automatisation gérer le patching, vous risquez d’appliquer des patchs non conformes à votre réseau, ce qui compromettrait la sécurité et la conformité.

L’équivalent des FIPS en France

En France, il n’existe pas de norme intitulée “FIPS” à proprement parler, mais plusieurs référentiels et certifications remplissent un rôle comparable en matière de sécurité des systèmes d’information. L’ANSSI définit notamment des exigences à travers le Référentiel Général de Sécurité (RGS), qui encadre la protection des échanges électroniques, la cryptographie, l’identification et les habilitations, ou l’homologation de systèmes d’information.

Pour les services cloud, l’équivalent le plus proche est le SecNumCloud : ce référentiel fixe des exigences de sécurité élevées pour les prestataires cloud (SaaS, PaaS, IaaS…), en combinant des critères techniques, organisationnels et juridiques. Il garantit une protection robuste des données et permet de démontrer une confiance forte — comparable à la conformité FIPS dans un contexte US.

Certaines entreprises complètent ces cadres avec des normes internationales, comme ISO/IEC 27001, pour structurer leur gestion de la sécurité de l’information de façon plus générique. Bien qu’ISO 27001 ne cible pas exactement les mêmes domaines que les FIPS, elle participe globalement à une posture de cybersécurité mature et solide.

Ainsi, même sans FIPS, un acteur français peut — via RGS, SecNumCloud, ISO — atteindre un niveau équivalent de conformité aux normes de sécurité, adapté aux exigences nationales et européennes, tout en garantissant la confiance auprès des partenaires et clients.

Conclusion

Une fois décomposées, les FIPS ne sont pas si intimidantes. L’essentiel est de rester informé des dernières évolutions des réglementations et des standards pour assurer la conformité aux normes FIPS au sein de votre infrastructure et pour vos clients.