Exploiter les clés: rotation, KMS, HSM et secrets

Décrire le cycle de vie complet des clés en production, des coffres de secrets aux HSM, en passant par la rotation, l’envelope encryption et les incidents.

Chapitre 24 Intermédiaire · Expert 25 pages

Objectif du chapitre

Décrire le cycle de vie complet des clés en production, des coffres de secrets aux HSM, en passant par la rotation, l’envelope encryption et les incidents.

Notions à couvrir

Génération, transfert, vérification, usage, mise à jour, duplication, compromission, longévité et destruction
Stockage de clés, coffres de secrets, KMS cloud et HSM
Envelope encryption, master key, data key et séparation des privilèges
Rotation, versionnement, double lecture, rechiffrement progressif
Sauvegarde de clé, escrow, dépôt de clé et risques
Cartes à puce, secure elements, enclaves et matériel cryptographique

Sous-sections

Cycle de vie détaillé [Intermédiaire]

Créer
Stocker
Distribuer
Utiliser
Tourner
Révoquer
Détruire

Où mettre les clés [Intermédiaire]

Fichier local
KMS
HSM
Secret manager
Smart card
TPM
Secure enclave

Enveloppe de chiffrement [Intermédiaire]

Clé de données
Clé maîtresse
Chiffrement par objet
Rotation de KEK
Rechiffrement

Compromission et récupération [Expert]

Détection
Révocation
Rotation
Rechiffrement
Audit
Communication
Escrow et risques

Exemples et ateliers

Concevoir une enveloppe pour objets cloud
Écrire un runbook de rotation de clé
Simuler une clé KMS compromise
Comparer HSM, KMS et secret manager

Pièges classiques

Stocker la clé à côté des données
Ne jamais tester la restauration
Utiliser le dépôt de clés comme contrôle d’accès
Confondre suppression de clé et purge des sauvegardes

À ne pas confondre

KMS et HSM
Secret manager et base de données
Rotation et révocation
Escrow et sauvegarde

Points à vérifier

à vérifier : fonctionnalités exactes des KMS/HSM selon fournisseurs documentés.