Le français Secure-IC, fournisseur de solutions de cybersécurité pour les systèmes embarqués et les objets connectés, devient, selon la société, le premier fournisseur mondial de propriété intellectuelle et de logiciels de sécurité à recevoir la certification matérielle CAVP (Cryptographic Algorithm Validation Program) pour ses algorithmes de cryptographie post-quantique (PQC, Post Quantic Cryptography).
Cette certification a été réalisée par le truchement de la société Serma Safety & Security, un fournisseur de services de conseil, d'expertise et de test dans les domaines de la sécurité électronique et des systèmes (*).
Dans le détail, ce sont les solutions PQC de Secure-IC, déjà intégrées dans sa gamme de produits logiciels Securyzr neo, qui ont passé avec succès les tests et les évaluations fondées sur les nouvelles normes établies l'été dernier par le National Institute of Standards and Technology (NIST). Cette certification couvre les algorithmes critiques ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism, connu à l'origine sous le nom de CRYSTALS-Kyber), ML-DSA (Module-Lattice-Based Digital Signature Standard, initialement CRYSTALS-Dilithium) et d'autres à venir, garantissant que ces technologies sont conçues en ligne avec les normes NIST (à savoir FIPS 203, FIPS 204), développées pour résister aux menaces informatiques quantiques du futur.
Les implantations PQC de Secure-IC ont été testées dans le cadre du produit Securyzr neo de la gamme Crypto Solutions/Crypto-coprocessors de la société et le certificat officiel (A6046) est disponible sur le site Web du NIST.
Pour rappel, le 13 août dernier, le NIST, agence gouvernementale américaine dans le domaine de la gestion des risques de cybersécurité, a publié les versions finales de trois normes relatives à des algorithmes de cryptographie post-quantique aptes à résister aux futures attaques des ordinateurs quantiques : les normes FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) et FIPS 205 (SLH-DSA).
Parallèlement, le NIST a activé l’ACVTS (Automated Cryptographic Validation Test System) pour ces algorithmes et le laboratoire indépendant de test et de validation allemand spécialisé dans la sécurité de l’information atsec a réalisé avec succès les premiers tests des algorithmes ML-KEM et ML-DSA à l’aide du système ACVTS, obtenant ainsi les premiers certificats CAVP (Cryptographic Algorithm Validation Program) associés.
Secure-IC suit donc cette voie en devenant la première entreprise à proposer une solution certifiée CAVP et compatible FIPS 140-3 pour la protection du matériel, permettant aux organisations de passer au chiffrement post-quantique.
« Notre certification CAVP marque l'aboutissement d'années de recherche et de développement de produits fondés sur le PQC, commente Sylvain Guilley, cofondateur et directeur technique de Secure-IC. La collaboration avec Serma Safety & Security garantit désormais que nos algorithmes PQC répondent aux normes les plus élevées, offrant une protection de pointe contre les menaces quantiques afin que les utilisateurs soient préparés aux défis de l'ère post-quantique. Cette approche permet notamment d'accélérer les temps de certification FIPS 140-3 (CMVP) pour les utilisateurs, et d'adopter des solutions déjà éprouvées intégrées aux flux logiciels existants, y compris les services requis imposés par CMVP, à savoir les tests CAVP in situ, la vérification de la cohérence des paires de clés et les autotests de démarrage/périodiques. »
Quant à la certification CAVP Hardware, réalisée par Serma Safety & Security, elle implique une évaluation complète de la propriété intellectuelle PQC de Secure-IC, en mettant l'accent sur le développement des algorithmes de base - ML-KEM et ML-DSA - normalisés dans le cadre de la récente annonce PQC du NIST.
La certification a été menée conformément aux normes FIPS 203 et 204. Serma Safety & Security a ainsi validé que le développement de ces algorithmes respectait strictement les normes PQC du NIST. Une opération qui garantit l'absence d'exploitation possible par des cyberattaquants.
Au-delà, Serma fournit également la preuve d'une couverture fonctionnelle élevée, ce qui profite aux certifications de sécurité fonctionnelle. Par exemple, le niveau Asil-D selon la norme ISO 26262 exige une telle réduction du taux de “défaillances systématiques”, une preuve importante pour le marché automobile qui est l'un des premiers à adopter les technologies PQC, selon Serma.
Les solutions PQC certifiées de Secure-IC seront présentées lors de la prochaine European Cyber Week (ECW), qui se tiendra à Rennes, en France, du 18 au 21 novembre 2024.
(*) Présent sur huit sites en France, Serma Safety and Security compte plus de 200 collaborateurs et réalise un chiffre d’affaires de plus de 35 millions d’euros. L'entreprise est une filiale du groupe d’ingénierie Serma qui intervient dans la conception, la sécurisation et la fiabilisation de systèmes électroniques embarqués dans des secteurs à fortes contraintes d’environnement, de fiabilité et de sécurité. Le groupe compte 1 300 collaborateurs, est implanté sur douze sites en France, en Allemagne et en Tunisie, et a réalisé un chiffre d’affaires de plus de 170 millions d’euros en 2022.
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC