HSM (Hardware Security Module)

Un HSM (Hardware Security Module) est un dispositif matériel physique dédié à la génération, au stockage et à l'utilisation de clés cryptographiques de manière sécurisée. Les clés ne quittent jamais le HSM en clair — toutes les opérations cryptographiques (chiffrement, signature, vérification, dérivation de clés) s'effectuent à l'intérieur du module, qui est durci contre les attaques physiques (anti-tampering, zeroization automatique en cas d'intrusion).

Certifications de sécurité : FIPS 140-2 (US standard) avec Level 1 à 4 (Level 3 = tamper-evident + role-based auth, Level 4 = tamper-active + envelope environnemental). FIPS 140-3 (successeur depuis 2019, transition progressive). Common Criteria EAL4+/EAL5+. PCI HSM. Critères de souveraineté France/EU : SecNumCloud, Référentiel ANSSI.

Cas d'usage : (1) PKI — racines de CA et CAs intermédiaires (les private keys de root CA doivent être en HSM offline ou online dans HSM connecté) ; (2) Code signing — signature de logiciels (Authenticode, Apple signing) ; (3) SSL/TLS termination keys ; (4) Database TDE master keys ; (5) Cryptocurrency cold wallets ; (6) Banking — EFTPOS, ATM, HSM payment (Thales payShield, Atalla) pour PIN encryption, EMV ; (7) Document signing legal (qualified electronic signatures eIDAS).

Formats HSM : (1) Network-attached HSM (NAS-like) — Thales Luna Network, Utimaco SecurityServer, Atos Trustway ; (2) PCIe HSM — interne au serveur (Thales Luna PCIe, YubiHSM 2) ; (3) USB HSM — portable (YubiHSM 2, Nitrokey HSM) ; (4) Cloud HSM — AWS CloudHSM (Cavium/Marvell Liquid Security FIPS 140-2 L3 mono-tenant, ~1.45\$/h), Azure Dedicated HSM (Thales Luna, ~5/h), Azure Managed HSM (multi-tenant FIPS L3, plus simple), Google Cloud HSM (Thales Luna, intégré Cloud KMS).

Différences HSM vs Key Vault/KMS standard : Cloud KMS multi-tenant uses HSM under hood mais clés sharded en multi-tenant ; HSM dédié = single-tenant complet, exclusive control, ideal compliance stricte (banking, government, healthcare niveau 4). Cloud HSM offers higher level de garantie au prix de l'opération et coût.

Accès : interfaces standards PKCS#11 (cross-vendor, le plus universel), Microsoft CryptoAPI/CNG (Windows), JCE/JCA (Java), KMIP. Driver vendor-specific pour features avancées. Compétences pour CISSP, CISM, certifications cloud security (AWS Security Specialty, AZ-500).