FIPS 140-3 : Comprendre la nouvelle norme de sécurité

7novembre, 2025
Kaseya
FIPS, Conformité réglementaire

La norme FIPS 140-3 est une norme de sécurité utilisée par les gouvernements américain et canadien pour garantir que le chiffrement des produits informatiques a été correctement testé et approuvé. Lorsqu'un produit passe la validation, il reçoit un certificat indiquant son nom, sa version et son niveau de sécurité, qui va du niveau 1 au niveau 4.

La certification FIPS 140-3 est souvent exigée des agences fédérales américaines et des prestataires traitant des données gouvernementales. Elle est également largement adoptée dans d'autres secteurs où la protection des données est essentielle, tels que la santé, la finance et la défense, afin de répondre aux exigences réglementaires ou aux attentes des clients en matière de sécurité.

Respecter la conformité grâce à des produits certifiés FIPS 140-3

Pour les organisations qui acquièrent des technologies devant répondre aux exigences de la norme FIPS 140-3, le certificat FIPS constitue la preuve que le système de chiffrement d'un produit a été testé et approuvé. Demandez toujours ce certificat au fournisseur afin de vous assurer que le produit a bien été validé officiellement.

Pour les responsables informatiques, la conformité repose sur l'utilisation des versions et des paramètres exacts qui ont été testés. Même un changement mineur, comme la mise à jour vers une version logicielle non validée, peut entraîner une non-conformité.

Points clés à retenir

  • Les entités qui doivent souvent se conformer à ces exigences : les organismes publics, les sous-traitants, les prestataires de soins de santé, les institutions financières et les fournisseurs du secteur de la défense.
  • Comment vérifier : demandez le numéro du certificat FIPS et vérifiez-le dans la liste de validation CMVP du NIST.
  • Principale mise à jour par rapport à la norme FIPS 140-2 : cette nouvelle version s'aligne sur les normes internationales ISO/IEC 19790 et sur des méthodes de test améliorées.
  • Que faire maintenant : assurez-vous que les versions logicielles utilisées sont validées, utilisez des configurations approuvées et planifiez soigneusement les mises à jour afin de rester en conformité.

Pourquoi la norme FIPS 140-3 est-elle importante ?

La norme FIPS 140-3 renforce la confiance entre les fournisseurs et les clients en garantissant que le chiffrement d'un produit répond aux normes de sécurité gouvernementales, ce qui permet aux vendeurs de démontrer leur fiabilité et aux acheteurs de réduire les risques liés à la conformité.

Elle définit qui est habilité à vendre et à acheter sur les marchés réglementés

Les appels d'offres du secteur public, les projets liés à la chaîne d'approvisionnement de la défense et de nombreux marchés publics dans les domaines de la santé ou de la finance exigent souvent une certification FIPS pour tout produit destiné au traitement de données sensibles. Si vous êtes acheteur, la certification FIPS vous permet de filtrer votre liste de fournisseurs et vous protège lors des audits. Si vous êtes vendeur, la certification FIPS est une condition indispensable pour pouvoir soumissionner à ces marchés.

Cela réduit les difficultés liées à l'audit et au renouvellement

De nombreuses équipes chargées de la sécurité et de la conformité n'évaluent pas le chiffrement en partant de zéro. Elles recherchent un numéro de certificat FIPS, le nom du module, la version et le niveau d'assurance. Lorsque ces informations correspondent à la version et aux paramètres que vous avez déployés, les vérifications s'accélèrent et les problèmes diminuent.

Cela permet de préciser ce qu'est un « bon » résultat

La norme FIPS 140-3 fournit un résultat clair, fondé sur des tests. Elle n'affirme pas que « ce produit est globalement sûr », mais indique que « ce module cryptographique, dans cette version, a réussi ces tests ». Cette précision aide les acheteurs à vérifier les allégations et permet aux opérateurs de s'assurer que leurs systèmes restent conformes aux exigences.

Cela garantit le respect de la gestion des versions

La validation est spécifique à une version. Si votre environnement s'écarte de la version validée ou si vous modifiez des paramètres qui enfreignent les limites de la validation, vous affaiblissez la validité de vos résultats. En restant conforme, vous évitez les anomalies et les retours en arrière d'urgence.

Cela permet de prendre des décisions plus rapidement

Lorsque le service des achats constate que le produit est certifié FIPS 140-3 (certificat n° XXXX, module Y, version Z), les procédures d'examen sont plus rapides. En revanche, lorsqu'il est simplement indiqué « compatible FIPS » sans certificat, les équipes chargées des achats doivent souvent se mettre en quête de preuves.

Ce que signifie réellement la norme FIPS 140-3

La norme FIPS 140-3 certifie que les fonctions cryptographiques d'un produit — telles que le chiffrement et la gestion des clés — ont été testées de manière indépendante dans un laboratoire accrédité. L'objectif est de garantir la sécurité des données sensibles, telles que les informations gouvernementales ou celles relatives aux clients, pendant leur transmission et leur stockage.

Un certificat FIPS est spécifique à un produit et à une version. Chaque certificat indique le nom du module, le numéro de version et le niveau d'assurance, qui va de 1 (basique) à 4 (le plus élevé). La validation ne s'applique qu'à la configuration testée. La modification des paramètres ou la mise à jour des composants peut faire sortir le produit du champ d'application validé.

Le terme « validé » signifie que le produit a satisfait à un processus officiel approuvé par les autorités. Les mentions « conforme » ou « compatible FIPS » indiquent que le fournisseur affirme respecter la norme, mais que le produit n'a pas fait l'objet d'une validation. Dans les environnements réglementés, c'est la validation qui prime.

FIPS 140-3 par rapport à 140-2

Le passage à la norme 140-3 est important car il harmonise les pratiques de test à l'échelle mondiale. Il facilite la vérification et la comparaison des résultats de certification, ce qui aide les acheteurs et les équipes chargées de la conformité à évaluer plus rapidement la sécurité des fournisseurs.

SujetFIPS 140-2FIPS 140-3Ce que vous devriez faire
ReconnaissanceAnciennes normes américaines et canadiennesVersion actuelle conforme à la norme ISO/IEC 19790Privilégiez les certificats 140-3 lorsque cela est nécessaire
PreuvesCela varie selon le laboratoire et le produitDes informations plus précises sur le certificat (nom, version, niveau)Notez le numéro de certificat, le nom du produit et la version
OpérationsMoins contraignant en matière de configurationPlus de précisions sur la documentation et le fonctionnementAligner les configurations et les mises à jour sur les paramètres certifiés

Comment vérifier une déclaration de conformité à la norme FIPS 140-3

Vérifier une déclaration de conformité à la norme FIPS 140-3 est simple dès lors que l'on sait ce qu'il faut rechercher et où le trouver.

  1. Demandez des justificatifs : demandez le numéro de certificat FIPS, le nom du produit ou du module, la version, le niveau de garantie et la plateforme prise en charge.
  2. Vérifiez la base de données : consultez la liste de validation du CMVP du NIST et assurez-vous que les informations correspondent exactement.
  3. Vérifiez l'environnement : assurez-vous que votre déploiement utilise la même version et la même configuration que celles indiquées sur le certificat.
  4. Utilisez un langage clair : dans les questionnaires, employez des formulations telles que « Certifié FIPS 140-3 (certificat n° XXXX), fonctionnant sous la version [X.X] telle qu'indiquée sur le CMVP. »

Cette démarche permet de protéger à la fois les acheteurs et les vendeurs contre les constatations d'audit résultant d'un décalage entre les versions ou d'allégations invérifiables.

Fonctionner conformément aux normes FIPS

Pour rester en conformité après la validation :

  • Tenir à jour un inventaire de tous les logiciels et matériels concernés, en précisant leurs versions certifiées.
  • Standardisez les configurations afin qu'elles correspondent à la configuration validée et évitez toute modification non approuvée.
  • Appliquez les mises à jour avec précaution et vérifiez si elles ont une incidence sur le module certifié, puis procédez à une nouvelle certification si nécessaire.
  • Conservez les fichiers PDF des certificats FIPS avec vos rapports de conformité afin de pouvoir réagir rapidement en cas d'audits ou d'appels d'offres.

La cohérence entre ce qui est certifié et ce qui est déployé est essentielle pour garantir la conformité.

Le rôle de RMM

Les plateformes de surveillance et de gestion à distance (RMM) sont indispensables pour maintenir des environnements conformes à la norme FIPS, car elles offrent aux équipes informatiques une visibilité, un contrôle et des preuves documentées de conformité sur l'ensemble des systèmes distribués. Kaseya VSA 10 et Datto RMM automatisent une grande partie des tâches manuelles liées au suivi des logiciels validés, à l'application de paramètres de sécurité et à l'enregistrement des preuves en vue des audits.

Inventaire des ressources et des versions

Identifiez les versions des logiciels et des micrologiciels utilisés dans votre environnement et notez celles qui correspondent aux modules validés.

Références en matière de politique

Appliquez les paramètres de sécurité approuvés sur tous les appareils et empêchez toute modification non autorisée susceptible d'affecter la validation.

Gestion des correctifs et des modifications

Enregistrez les mises à jour des étapes et des documents afin de ne pas compromettre la conformité avec les configurations certifiées.

Données factuelles et rapports

Générez des rapports prêts à être transmis au client qui répertorient les appareils concernés, leurs versions et leur niveau de conformité, ainsi que toutes les exceptions enregistrées.

Remarque : à compter de novembre 2025, la version SaaS de VSA 10 intégrera un système de cryptographie certifié FIPS 140-3, la norme gouvernementale la plus stricte en matière de sécurité du chiffrement aux États-Unis et au Canada. La version sur site de VSA 10 suivra en janvier 2026, et Datto RMM prévoit d'adopter le même cadre certifié FIPS 140-3 plus tard dans l'année 2026. 

Des scénarios que vous pouvez mettre en œuvre dès aujourd'hui

Kaseya VSA 10 et Datto RMM permettent de créer des flux de travail reproductibles qui aident les équipes à maintenir au quotidien des opérations conformes aux normes FIPS. Ces guides opérationnels transforment des exigences de conformité complexes en tâches automatisées et faciles à gérer, améliorant ainsi la visibilité, la cohérence et la préparation aux audits.

  • Vérification de l'état de préparation: effectuez des analyses de découverte pour identifier tous les terminaux et toutes les applications traitant des données réglementées. Associez-leur des balises dans votre solution RMM afin de déterminer quels systèmes sont soumis aux exigences FIPS.
  • Combler les lacunes: utilisez la gestion des politiques pour uniformiser les configurations et appliquer des paramètres de chiffrement validés. Configurez des alertes automatiques en cas de versions ou de configurations non approuvées.
  • Exécution : assurez une surveillance continue à l'aide de tableaux de bord et d'outils de correction. Testez les mises à jour avant leur déploiement afin de vous assurer que les modules validés ne sont pas affectés. Les modifications enregistrées permettent de maintenir votre dossier de conformité.
  • Renouveler: lorsque des audits ou des appels d'offres sont prévus, exportez les rapports de conformité de votre solution de gestion des risques (RMM) comprenant les listes de versions, l'historique des correctifs et les certificats FIPS pour une vérification rapide.

Pièges courants et solutions simples

Même les équipes informatiques expérimentées peuvent se retrouver en situation de non-conformité à cause de petits oublis. Voici les erreurs les plus courantes à surveiller et comment y remédier rapidement.

  • Si vous partez du principe que les allégations marketing valent certification : vérifiez toujours les numéros de certificat.
  • Sans tenir compte des spécificités de version : la validation FIPS est liée à des versions et à des environnements précis.
  • Autoriser les dérives de configuration : modifier les paramètres sans les consigner rompt la chaîne de preuves.
  • Mélange de composants approuvés et non approuvés : veillez à séparer les modules non conformes à la norme FIPS ou à documenter clairement les exceptions.

Foire aux questions

Voici les questions que se posent la plupart des responsables informatiques et des prestataires de services lorsqu'ils évaluent les exigences FIPS et adaptent leurs opérations à cette norme.

  • La norme FIPS 140-3 est-elle nécessaire si nous ne sommes pas un organisme public ?

Si vos clients ou partenaires traitent des données gouvernementales ou soumises à une réglementation, cela pourrait vous concerner. De nombreux contrats étendent désormais les exigences FIPS à l'ensemble de la chaîne d'approvisionnement.

  • « Conforme à la norme FIPS » revient-il au même que « validé selon la norme FIPS » ?

Non. Le terme « validé » signifie que le produit a été officiellement testé et homologué. Le terme « conforme » désigne une auto-déclaration non vérifiée.

  • Comment puis-je valider rapidement la demande d'un fournisseur ?

Consultez la liste de validation CMVP et vérifiez que le nom du produit, la version et le numéro de certificat correspondent.

  • Quels changements apportés par la version 140-2 ont une incidence sur les achats et les opérations ?

La norme FIPS 140-3 s'aligne sur les normes internationales, instaure des règles de documentation plus claires et simplifie la vérification.

  • En quoi mon RMM m'aide-t-il ?

Les outils RMM permettent de maintenir la visibilité, d'appliquer les paramètres et de conserver des preuves documentées, mais ils ne remplacent pas la certification. Vous avez toujours besoin de modules cryptographiques validés.

Intégrer la conformité à la norme FIPS 140-3 dans les opérations quotidiennes

La norme FIPS 140-3 n'est pas seulement une spécification technique : c'est une exigence commerciale qui définit qui peut vendre ses produits ou services à des clients soumis à une réglementation, leur fournir des prestations ou établir des partenariats avec eux. Savoir comment vérifier et maintenir la conformité permet de réduire les frictions liées aux audits, de renforcer la confiance des fournisseurs et de garantir que votre organisation reste éligible pour des contrats à forte valeur ajoutée.

Avec la mise à jour de Kaseya prévue en novembre 2025, qui intègre une cryptographie certifiée FIPS 140-3 à la version SaaS de VSA 10, les clients disposent désormais d’outils conformes aux dernières normes gouvernementales, ce qui leur permet d’opérer en toute sécurité et plus efficacement dans des environnements réglementés. La certification FIPS pour la version sur site de VSA 10 suivra en janvier 2026, et Datto RMM prévoit d'adopter le même cadre certifié FIPS 140-3 plus tard en 2026. 

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Conformité à l'ITAR : de quoi s'agit-il, à qui s'applique-t-elle et quelles sont les obligations des équipes informatiques ?

Selon le rapport Kaseya 2026 sur la situation des MSP, la conformité réglementaire et le reporting figurent parmi les dix principaux services

Lire l'article de blog
Contexte de DSGVO Hero

Le RGPD pour les équipes informatiques et les MSP : ce qu'il faut savoir et faire

L'application du RGPD n'est plus un risque théorique. Les autorités européennes chargées de la protection des données ont infligé plus de 1,2 milliard d'euros d'amendes en

Lire l'article de blog