Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Conformité CMMC > FIPS 140-3 pour la conformité CMMC : Sécuriser les informations fédérales avec la cryptographie moderne
FIPS 140-3 pour la conformité CMMC

FIPS 140-3 pour la conformité CMMC : Sécuriser les informations fédérales avec la cryptographie moderne

par Danielle Barbour updated mars 19, 2025 Conformité CMMC
temps de lecture: 15 minutes

FIPS 140-3 est une norme essentielle dans la cryptographie moderne, garantissant la sécurité et l’intégrité des modules cryptographiques. Elle établit des exigences rigoureuses pour le matériel et les logiciels, maintenant des niveaux stricts d’adhésion à la cybersécurité. Cette norme cryptographique est cruciale pour protéger les informations sensibles dans divers secteurs, y compris le gouvernement et la défense.

Pour les entreprises cherchant à être conformes au Cybersecurity Maturity Model Certification (CMMC), FIPS 140-3 est indispensable. Elle s’aligne sur les exigences du CMMC, garantissant que les organisations mettent en œuvre des pratiques de chiffrement robustes pour protéger les informations non classifiées contrôlées (CUI). L’adoption de FIPS 140-3 aide non seulement à atteindre la conformité CMMC, mais améliore également la posture globale de cybersécurité, réduisant les vulnérabilités et renforçant la confiance avec les parties prenantes.

Besoin d’être conforme au CMMC ? Voici votre liste de vérification complète pour la conformité CMMC.

Dans cet article, nous examinerons le cadre FIPS 140-3, son importance pour les sous-traitants de la défense dans la Base industrielle de défense (DIB), et comment mettre en œuvre et maintenir cette norme cryptographique pour protéger le CUI et maintenir la conformité CMMC.

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire maintenant

Qu’est-ce que FIPS 140-3 ?

Les Federal Information Processing Standards (FIPS) sont des normes de sécurité pour la conformité à la cybersécurité fédérale et de défense, se concentrant spécifiquement sur le chiffrement des données. De même, FIPS 140-3 (Federal Information Processing Standards Publication 140-3) est une norme de sécurité développée par le National Institute of Standards and Technology (NIST) qui établit des exigences pour les modules cryptographiques utilisés pour protéger les informations sensibles mais non classifiées. Publiée le 22 mars 2019, FIPS 140-3 remplace la norme précédente FIPS 140-2 et s’aligne sur la norme internationale ISO/IEC 19790:2012(E), avec des modifications permises par le Cryptographic Module Validation Program (CMVP).

Contrairement à son prédécesseur FIPS 140-2, qui contenait directement les exigences pour les modules cryptographiques, FIPS 140-3 fait référence aux normes ISO/IEC 19790:2012 et ISO/IEC 24759:2017. Cela représente un changement significatif dans l’approche de gestion, créant un alignement avec les normes internationales tout en conservant l’autorité de faire des modifications spécifiques pour répondre aux besoins de sécurité du gouvernement américain.

FIPS 140-3 s’applique à toutes les agences fédérales américaines qui utilisent des systèmes de sécurité basés sur la cryptographie pour protéger les informations sensibles dans les systèmes informatiques et de télécommunications, comme défini dans l’Information Technology Management Reform Act de 1996 et le Federal Information Security Management Act de 2002. Tous les départements et agences fédéraux doivent utiliser cette norme lors de la conception et de la mise en œuvre de modules cryptographiques qu’ils exploitent ou qui sont exploités pour eux sous contrat. La norme s’étend également aux organisations privées et commerciales qui choisissent de l’adopter, en particulier celles qui interagissent avec les systèmes fédéraux ou opèrent dans des industries réglementées.

Niveaux de sécurité FIPS 140

Les niveaux de sécurité FIPS 140 définissent un ensemble de critères que les modules cryptographiques doivent respecter pour garantir la protection des données. Ces niveaux vont de 1 à 4, avec une complexité et des normes de sécurité croissantes. Chaque niveau offre un degré différent de sécurité, répondant à divers besoins et applications cryptographiques dans les secteurs gouvernementaux et commerciaux.

Pour s’aligner sur la conformité CMMC, comprendre les nuances de FIPS 140-3 est essentiel, car il offre un cadre pour les organisations afin de mettre en œuvre des mesures cryptographiques robustes. Le niveau 1 peut suffire pour des applications de base, mais les opérations plus sensibles nécessitent souvent les protections avancées des niveaux 3 ou 4. S’assurer que vos modules cryptographiques respectent ces normes soutient non seulement l’intégrité des données, mais s’aligne également sur les exigences rigoureuses de FIPS 140-3 pour la conformité CMMC, ce qui est crucial dans le paysage de cybersécurité en constante évolution d’aujourd’hui.

Pourquoi FIPS 140-3 est important

FIPS 140-3 crée un cadre standardisé pour évaluer la sécurité des implémentations cryptographiques et établit des exigences de sécurité minimales qui garantissent la protection des informations sensibles. Il offre une référence commune que les fournisseurs peuvent utiliser et que les agences gouvernementales peuvent exiger, assurant la cohérence entre différents produits et systèmes. En alignant les normes américaines avec les spécifications de sécurité internationales, FIPS 140-3 aide également les organisations opérant à l’échelle mondiale à répondre aux exigences de différentes juridictions.

Selon le NIST et le Centre canadien pour la cybersécurité, la cryptographie non validée est considérée comme ne fournissant aucune protection aux informations, équivalente à du texte en clair. Cette évaluation sévère souligne pourquoi l’utilisation de modules cryptographiques validés est cruciale pour les systèmes traitant des informations sensibles. Lorsqu’une agence spécifie que les informations doivent être protégées cryptographiquement, la validation FIPS 140-2 ou FIPS 140-3 est requise pour garantir que les implémentations cryptographiques respectent les normes de sécurité établies.

Résumé des points clés

  1. FIPS 140-3 est essentiel pour la conformité à la sécurité fédérale

    FIPS 140-3 établit des exigences de sécurité critiques pour les modules cryptographiques qui protègent les informations sensibles, la cryptographie non validée étant officiellement considérée comme équivalente à du texte en clair par le NIST.

  2. CMMC 2.0 et FIPS 140-3 sont interconnectés

    Les sous-traitants de la défense traitant des informations non classifiées contrôlées (CUI) doivent atteindre la conformité CMMC Niveau 2 d’ici 2028, ce qui inclut des exigences de cryptographie validée FIPS avec des impacts de notation spécifiques si elles ne sont pas mises en œuvre.

  3. Quatre niveaux de sécurité offrent une mise en œuvre flexible

    Les organisations peuvent choisir parmi quatre niveaux de sécurité de plus en plus rigoureux en fonction de leurs profils de risque spécifiques et de la sensibilité des informations qu’elles protègent, équilibrant les besoins de sécurité avec les exigences opérationnelles.

  4. Le calendrier de transition est critique

    Avec les modules validés FIPS 140-2 acceptés uniquement jusqu’au 21 septembre 2026, les organisations doivent planifier leur transition vers des modules validés FIPS 140-3 pour maintenir la conformité et éviter les lacunes de sécurité.

  5. Des solutions validées comme Kiteworks simplifient la conformité

    La validation FIPS 140-3 de Kiteworks (Certificat #4724) démontre comment la mise en œuvre de modules cryptographiques validés avec des fonctionnalités comme le double chiffrement peut aider les organisations à respecter les normes de sécurité fédérales tout en protégeant les informations sensibles.

Principales caractéristiques et composants de FIPS 140-3

FIPS 140-3 définit quatre niveaux de sécurité croissants et qualitatifs (Niveau 1 à Niveau 4) qui couvrent un large éventail d’applications et d’environnements potentiels. Le Niveau 1 fournit des exigences de sécurité de base pour un module cryptographique, tandis que le Niveau 4 offre le plus haut niveau de sécurité avec une protection physique renforcée et une résistance aux attaques environnementales. Ces niveaux gradués permettent aux organisations de sélectionner le niveau de sécurité approprié en fonction de leur profil de risque spécifique et de la sensibilité des informations protégées.

La norme aborde onze domaines clés de sécurité : spécification du module cryptographique ; interfaces du module cryptographique ; rôles, services et authentification ; sécurité des logiciels/firmwares ; environnement d’exploitation ; sécurité physique ; sécurité non invasive ; gestion des paramètres de sécurité sensibles ; auto-tests ; assurance du cycle de vie ; et atténuation d’autres attaques. Une addition notable dans FIPS 140-3 par rapport à FIPS 140-2 est l’introduction d’exigences de sécurité physique non invasive, qui traitent des menaces telles que les attaques par canal auxiliaire qui tentent d’extraire des informations sensibles en analysant des caractéristiques physiques comme la consommation d’énergie ou les émissions électromagnétiques.

Le cadre FIPS 140-3 se compose de plusieurs documents clés qui travaillent ensemble pour définir l’ensemble complet des exigences. FIPS 140-3 est lui-même la norme de niveau supérieur qui fait référence aux normes ISO/IEC. ISO/IEC 19790:2012 spécifie les exigences de sécurité pour les modules cryptographiques, tandis qu’ISO/IEC 24759:2017 fournit les exigences de test. Le NIST a également publié la série de publications spéciales SP 800-140 qui modifient ou ajoutent aux exigences ISO/IEC pour répondre aux besoins du gouvernement américain. Des documents supplémentaires incluent des directives de mise en œuvre qui fournissent des interprétations et des clarifications, et le manuel de gestion du CMVP qui décrit les procédures du programme.

Qu’est-ce que le Cryptographic Module Validation Program (CMVP)

Le CMVP est un effort conjoint entre le NIST et le Centre canadien pour la cybersécurité qui valide les modules cryptographiques selon les exigences de FIPS 140-3. Ce processus de validation garantit que les modules implémentent correctement les fonctions de sécurité approuvées et répondent à toutes les exigences de sécurité. Les modules qui réussissent le processus de validation reçoivent un certificat et sont répertoriés sur le site Web du CMVP.

Le CMVP a commencé à valider les modules cryptographiques selon FIPS 140-3 le 22 septembre 2020. Il y a une période de transition pendant laquelle les modules validés FIPS 140-2 continueront d’être acceptés jusqu’au 21 septembre 2026. Après cette date, les modules validés FIPS 140-2 seront déplacés vers la liste historique et ne pourront être utilisés que dans les systèmes existants.

Le processus de validation implique des tests par des laboratoires accrédités qui détiennent les accréditations appropriées du National Voluntary Laboratory Accreditation Program (NVLAP). Ces laboratoires effectuent des tests selon les exigences et créent des dossiers de soumission que le CMVP examine. Ces tests et validations indépendants fournissent crédibilité et assurance que les modules répondent aux normes de sécurité requises.

Le CMMC exige-t-il FIPS ?

Le cadre Cybersecurity Maturity Model Certification (CMMC) met l’accent sur la protection des informations sensibles au sein de la Base industrielle de défense. Une question se pose souvent : le CMMC exige-t-il les Federal Information Processing Standards (FIPS) ? Bien que le CMMC privilégie des protocoles de sécurité robustes, il s’aligne sur les FIPS là où cela est applicable, garantissant la conformité aux directives fédérales pour protéger efficacement les informations fédérales non classifiées.

Pour atteindre la conformité CMMC avec un accent sur la sécurité cryptographique, les organisations devraient envisager d’adopter la norme FIPS 140-3. Cette norme joue un rôle crucial dans la certification que les modules cryptographiques ont subi des tests rigoureux et répondent à des exigences de sécurité spécifiques. En intégrant FIPS 140-3 dans leurs stratégies de cybersécurité, les entreprises peuvent améliorer l’intégrité des mécanismes de protection des données. Cela s’aligne non seulement sur les attentes fédérales, mais renforce également la posture globale de cybersécurité essentielle pour la conformité CMMC. L’alignement avec FIPS 140-3 démontre un engagement à respecter les plus hauts niveaux de protocoles de sécurité.

Chiffrement certifié FIPS 140 pour l’alignement CMMC 2.0

Atteindre la conformité CMMC 2.0 nécessite que les organisations utilisent des méthodologies de chiffrement certifiées FIPS 140 pour garantir la protection des données et la résilience en cybersécurité. Ces normes cryptographiques favorisent des mesures de sécurité robustes, protégeant les informations sensibles contre les menaces potentielles. S’aligner sur ces normes ne remplit pas seulement les obligations de conformité, mais améliore également la posture globale de sécurité des données.

L’adoption de FIPS 140-3 pour la conformité CMMC est cruciale, car elle fournit une base vérifiée pour les pratiques de chiffrement, garantissant que tous les composants cryptographiques respectent des normes de sécurité rigoureuses. Cet alignement est indispensable pour les sous-traitants et les organisations travaillant avec le Département de la Défense, car il garantit que leurs mesures de sécurité sont à la fois efficaces et à jour. En intégrant des solutions certifiées FIPS 140-3, les organisations non seulement respectent les exigences de conformité, mais gagnent également un avantage concurrentiel grâce à des défenses de cybersécurité renforcées.

CMMC 2.0 et FIPS 140-3 : La connexion critique

Le Cybersecurity Maturity Model Certification (CMMC) est le cadre du Département de la Défense conçu pour appliquer des normes de cybersécurité aux sous-traitants de la défense traitant des données sensibles. La validation FIPS 140-3 joue un rôle crucial dans ce cadre, en particulier pour les organisations qui doivent atteindre la conformité CMMC.

Le CMMC 2.0 a simplifié le modèle précédent en trois niveaux de certification distincts :

  1. Niveau 1 (Fondamental) : CMMC Niveau 1 exige 15 pratiques de sauvegarde de base pour les informations de contrat fédéral (FCI) et permet une auto-évaluation annuelle.
  2. Niveau 2 (Avancé) : CMMC Niveau 2 impose les 110 exigences de sécurité du NIST SP 800-171 Rev. 2 pour protéger les informations non classifiées contrôlées (CUI). Ce niveau nécessite des évaluations triennales par des organisations d’évaluation tierces certifiées (C3PAOs) et une auto-attestation annuelle.
  3. Niveau 3 (Expert) : CMMC Niveau 3 s’appuie sur le Niveau 2 en incorporant 24 exigences supplémentaires du NIST SP 800-172 pour une protection renforcée des programmes prioritaires et implique des évaluations menées par le gouvernement.

La validation FIPS 140-3 est un composant critique de la conformité CMMC Niveau 2, qui est requise pour les organisations traitant des CUI. Selon les directives du DoD, les organisations doivent atteindre la conformité Niveau 2 d’ici 2028, avec une application progressive commençant en 2025.

L’intégration de FIPS 140-3 dans le CMMC devient évidente dans la méthodologie de notation. Comme indiqué dans la méthodologie d’évaluation du DoD, le CMMC Niveau 2 utilise un système de notation basé sur les 110 exigences de sécurité du NIST SP 800-171 Rev. 2. Chaque exigence est évaluée à 1, 3 ou 5 points, avec un score maximum de 110 et un score minimum de passage de 88.

Découvrez la différence entre CMMC 1.0 et 2.0.

Spécifiquement pour les exigences de cryptographie, les lignes directrices de notation indiquent :

  • 5 points sont déduits si aucune cryptographie n’est employée
  • 3 points sont déduits si la cryptographie est employée mais non validée FIPS

Cette approche de notation souligne l’importance de la validation FIPS dans le cadre CMMC, bien qu’elle reconnaisse également les défis de mise en œuvre en permettant un crédit partiel pour les organisations qui ont mis en œuvre une cryptographie non validée comme étape intermédiaire.

Contrairement aux exigences fédérales précédentes qui affectaient principalement les agences gouvernementales et leurs sous-traitants directs, le CMMC étend les exigences FIPS 140 à environ 250 000 entreprises de la Base industrielle de défense (DIB). Cette expansion significative de la portée crée à la fois des défis et des opportunités pour les organisations de la supply chain de défense.

Pour de nombreux petits sous-traitants de la défense avec des ressources limitées en cybersécurité, la mise en œuvre de la cryptographie validée FIPS 140-3 représente un obstacle important. La certification FIPS 140 traditionnelle peut prendre jusqu’à deux ans, nécessitant une collaboration avec des laboratoires accrédités et le NIST, ce qui peut peser sur les ressources des petites organisations.

Comment FIPS 140-3 améliore la sécurité et la conformité

FIPS 140-3 améliore la sécurité organisationnelle en garantissant l’utilisation d’algorithmes cryptographiques forts et validés et en standardisant les contrôles de sécurité à travers différents produits et fournisseurs. Il impose une gestion appropriée des clés de chiffrement et d’autres paramètres de sécurité sensibles, exige une vérification de l’intégrité par des auto-tests, et fournit des exigences de protection physique basées sur le niveau de sécurité choisi.

D’un point de vue conformité, FIPS 140-3 aide les organisations à respecter diverses réglementations qui exigent la protection des données sensibles. Il est directement requis pour les agences fédérales sous le Federal Information Security Management Act (FISMA). Les organisations dans des secteurs réglementés comme la santé, la finance et le gouvernement qui traitent des informations sensibles ou interagissent avec des systèmes fédéraux doivent souvent se conformer aux normes FIPS pour répondre à leurs obligations réglementaires.

L’utilisation de modules validés FIPS 140-3 fournit la preuve de la diligence raisonnable dans la mise en œuvre de contrôles de sécurité appropriés, ce qui peut aider les organisations à démontrer leur conformité aux exigences de sécurité plus larges et aux réglementations de protection des données. Cette validation offre une référence reconnue que les auditeurs et les régulateurs acceptent comme preuve d’une implémentation cryptographique appropriée.

Risques de ne pas utiliser la cryptographie validée FIPS 140-3

Les organisations qui n’utilisent pas la cryptographie validée FIPS 140-3 font face à plusieurs risques significatifs. D’un point de vue réglementaire, les agences fédérales et leurs sous-traitants sont tenus d’utiliser une cryptographie validée. La non-conformité peut entraîner des audits échoués, des pénalités potentielles et la perte de la capacité à faire des affaires avec des entités gouvernementales.

Les risques de sécurité sont tout aussi importants. La cryptographie non validée peut contenir des défauts d’implémentation ou des vulnérabilités qui pourraient conduire à des violations de données ou à la compromission d’informations sensibles. Comme le déclare explicitement le NIST, la cryptographie non validée est considérée comme ne fournissant aucune protection, équivalente à du texte en clair. Cela signifie que les organisations s’appuyant sur une cryptographie non validée peuvent croire qu’elles protègent les données alors que, d’un point de vue conformité, elles ne le font pas.

Les risques financiers incluent les coûts associés aux violations de données, aux amendes réglementaires et aux efforts de remédiation si des incidents de sécurité se produisent en raison de faiblesses cryptographiques. Il existe également des risques de réputation, car les échecs de sécurité peuvent nuire à la confiance du public et à la confiance des clients. Pour les organisations qui travaillent avec des clients gouvernementaux ou dans des industries réglementées, la perte d’opportunités commerciales due à la non-conformité peut avoir des impacts financiers significatifs.

Les risques juridiques augmentent lorsque les organisations ne parviennent pas à mettre en œuvre les normes de sécurité requises. En cas de violation de données, ne pas utiliser une cryptographie validée pourrait être considéré comme un échec à mettre en œuvre des mesures de sécurité raisonnables, augmentant potentiellement la responsabilité dans les procédures judiciaires. Cela devient particulièrement problématique lorsque les organisations ont prétendu protéger les données mais ont utilisé des implémentations cryptographiques non validées.

Rapport 2024 de Kiteworks sur la sécurité et la conformité des communications de contenu sensible

Meilleures pratiques pour la mise en œuvre et le maintien de FIPS 140-3

FIPS 140-3 est un point de référence critique pour la sécurité cryptographique dans les industries gouvernementales et réglementées. Mettre en œuvre ces normes correctement garantit la protection des informations sensibles tout en maintenant la conformité aux exigences fédérales, en particulier pour les organisations traitant des informations non classifiées contrôlées (CUI) dans le cadre des CMMC.

Les meilleures pratiques suivantes guident les organisations à travers le processus complexe de mise en œuvre, de vérification et de maintien des modules cryptographiques validés FIPS 140-3 à travers les systèmes, aidant à sécuriser les données sensibles tout en respectant des exigences réglementaires strictes.

    1. Faire l’inventaire des modules cryptographiques

    Lors de la mise en œuvre de FIPS 140-3, les organisations devraient commencer par effectuer un inventaire complet des modules cryptographiques utilisés à travers leurs systèmes et identifier ceux qui doivent être validés FIPS 140-3 en fonction des données qu’ils protègent. Cette évaluation devrait inclure à la fois les composants matériels et logiciels qui implémentent des fonctions cryptographiques. Pour la conformité CMMC spécifiquement, les organisations devraient :

    • Effectuer une analyse des limites du CUI : Identifier les flux de données impliquant le CUI et les séparer des systèmes non-CUI pour définir la portée de la mise en œuvre de la cryptographie validée FIPS de manière appropriée.
    • Effectuer une évaluation des écarts : Comparer les pratiques cryptographiques actuelles aux exigences du NIST SP 800-171 et identifier les lacunes, en se concentrant particulièrement sur les protocoles de chiffrement obsolètes qui pourraient nécessiter un remplacement.
    • Mettre en œuvre la cryptographie validée FIPS 140 : Remplacer les outils de chiffrement non conformes par des solutions certifiées FIPS 140-3. Cela peut impliquer l’achat de produits validés ou le travail avec des fournisseurs pour s’assurer que leurs solutions répondent aux exigences FIPS.
    • Se préparer à l’évaluation : Développer des plans de sécurité du système (SSP) qui documentent clairement comment les exigences cryptographiques sont satisfaites, effectuer des audits simulés pour tester la préparation, et être prêt à démontrer une mise en œuvre appropriée lors des évaluations C3PAO.
    • Gérer les sous-traitants : S’assurer que tous les fournisseurs tiers traitant le CUI respectent des normes FIPS équivalentes, car le contractant principal est finalement responsable de garantir la conformité tout au long de la supply chain.

    2. Vérifier le statut de validation des produits cryptographiques

    Les organisations devraient vérifier le statut de validation des produits cryptographiques en consultant directement les listes de validation du CMVP plutôt que de se fier uniquement aux affirmations des fournisseurs. Le CMVP maintient une liste à jour des modules validés avec leurs numéros de certificat et détails de validation. Recherchez les numéros de certificat réels, car le NIST met en garde contre les affirmations marketing trompeuses concernant la conformité FIPS.

    3. Sélectionner le niveau de sécurité approprié

    Le niveau de sécurité approprié est basé sur l’évaluation des risques et la sensibilité des informations protégées. Tous les systèmes ne nécessitent pas les niveaux de sécurité les plus élevés, et il peut y avoir des implications de performance ou de coût pour les implémentations de niveau supérieur. Choisissez le niveau qui équilibre de manière appropriée les besoins de sécurité avec les exigences opérationnelles.

    4. Maintenir une configuration appropriée des modules validés

    S’assurer que les modules validés fonctionnent en modes approuvés FIPS. De nombreux modules cryptographiques ont à la fois des modes opérationnels approuvés et non approuvés, et les utiliser en modes non approuvés annule les avantages de la validation. Cela inclut de s’assurer que seuls les algorithmes et longueurs de clé approuvés sont utilisés.

    5. Développer et mettre en œuvre des pratiques de gestion des clés cryptographiques qui s’alignent sur les exigences FIPS et les directives NIST

    La gestion appropriée des clés cryptographiques tout au long de leur cycle de vie est essentielle pour maintenir la sécurité des systèmes cryptographiques. Cela inclut la génération, le stockage, la distribution, l’utilisation et la destruction sécurisés des clés.

    6. Planifier la transition de FIPS 140-2 à FIPS 140-3

    Avec les modules validés FIPS 140-2 acceptés uniquement jusqu’au 21 septembre 2026, les organisations devraient développer un plan de transition pour s’assurer que tous les systèmes utilisent des modules validés FIPS 140-3 d’ici cette date limite.

Kiteworks et la conformité FIPS 140-3

Kiteworks a atteint la conformité FIPS 140-3 grâce à la mise en œuvre du KeyPair FIPS Provider pour OpenSSL 3, qui a été validé au niveau FIPS 140-3 Niveau 1 dans la plupart des sections de sécurité, avec une conformité notable au Niveau 3 dans l’assurance du cycle de vie (Certificat #4724). Ce module cryptographique validé améliore le cadre de protection multicouche de Kiteworks, qui inclut le double chiffrement où les fichiers sont chiffrés à la fois au niveau du fichier et au niveau du disque en utilisant des clés de chiffrement distinctes.

Kiteworks chiffre les données au repos avec le chiffrement AES-256 par défaut (avec AES-128 en option) et utilise les protocoles TLS 1.3 pour le chiffrement en transit.

La passerelle de protection des e-mails (EPG) de la plateforme étend cette protection avec le chiffrement S/MIME et OpenPGP pour les messages et pièces jointes. Le module cryptographique KeyPair fonctionne exclusivement en mode approuvé, prenant en charge une suite complète d’algorithmes, y compris AES (CBC, GCM, CCM, KW), SHA (1, 2, 3), HMAC, RSA, DSA, ECDSA, EDDSA, et diverses fonctions de dérivation de clés, tous certifiés CAVP.

Cette validation FIPS 140-3 fournit l’assurance que l’implémentation cryptographique de Kiteworks respecte les normes fédérales requises pour protéger les informations sensibles dans les agences fédérales américaines et les Informations désignées au Canada, la rendant adaptée aux organisations dans des secteurs réglementés comme la santé, la finance et le gouvernement qui traitent des informations sensibles ou interagissent avec des systèmes fédéraux.

Kiteworks soutient la conformité CMMC 2.0

Le Réseau de contenu privé de Kiteworks, une plateforme de partage sécurisé de fichiers et de transfert sécurisé de fichiers validée FIPS 140-2 Niveau, consolide la messagerie électronique, le partage de fichiers, les formulaires web, le SFTP, le transfert sécurisé de fichiers, et la gestion des droits numériques de nouvelle génération pour que les organisations contrôlent, protègent, et suivent chaque fichier entrant et sortant de l’organisation.

Kiteworks soutient près de 90 % des contrôles de conformité CMMC 2.0 Niveau 2 prêts à l’emploi. En conséquence, les entrepreneurs et sous-traitants du DoD peuvent accélérer leur processus d’accréditation CMMC 2.0 Niveau 2 en s’assurant qu’ils disposent de la bonne plateforme de communications de contenu sensible.

Kiteworks permet une conformité rapide au CMMC 2.0 avec des fonctions et caractéristiques clés, notamment :

  • Certification avec les normes et exigences de conformité du gouvernement américain, y compris SSAE-16/SOC 2, NIST SP 800-171, et NIST SP 800-172
  • Validation FIPS 140-2 Niveau 1
  • Autorisé FedRAMP pour le niveau d’impact modéré CUI
  • Chiffrement AES 256 bits pour les données au repos, TLS 1.2 pour les données en transit, et propriété exclusive de la clé de chiffrement

Pour en savoir plus sur Kiteworks, réservez une démo personnalisée dès aujourd’hui.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks