Rotation de clés
Qu'est-ce que Rotation de clés ?
Rotation de clésRemplacement périodique des clés cryptographiques par de nouvelles afin de limiter le volume de données protégées par une seule clé et de contenir l'impact d'une compromission.
La rotation de clés est la pratique opérationnelle consistant à générer régulièrement de nouvelles clés cryptographiques et à retirer les anciennes, en conservant suffisamment de chevauchement pour déchiffrer les données protégées antérieurement. Elle limite la quantité de chiffré ou de signatures qu'un attaquant peut compromettre avec une seule clé volée, soutient les politiques de cryptopériode (NIST SP 800-57), permet la migration vers des algorithmes plus robustes et est exigée par des standards tels que PCI DSS, FIPS 140-3 et SOC 2. Les schémas courants incluent le versionnage de clé (v1, v2…), le chiffrement par enveloppe avec une DEK rotative sous une KEK stable, et la rotation automatisée via des KMS (AWS KMS, Azure Key Vault, Google Cloud KMS). Elle doit s'accompagner de supervision, de destruction sécurisée et d'un plan de retour arrière en cas d'échec.
● Exemples
- 01
AWS KMS effectue une rotation du matériel de clé sous-jacent d'une CMK chaque année tout en conservant le même Key ID.
- 02
Rotation tous les 90 jours d'une clé HMAC de signature d'API avec une période de grâce de 7 jours.
● Questions fréquentes
Qu'est-ce que Rotation de clés ?
Remplacement périodique des clés cryptographiques par de nouvelles afin de limiter le volume de données protégées par une seule clé et de contenir l'impact d'une compromission. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie Rotation de clés ?
Remplacement périodique des clés cryptographiques par de nouvelles afin de limiter le volume de données protégées par une seule clé et de contenir l'impact d'une compromission.
Comment se défendre contre Rotation de clés ?
Les défenses contre Rotation de clés combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Rotation de clés ?
Noms alternatifs courants : Rotation de cryptopériode, Renouvellement de clé.