Glossaire MAFATE

18+ définitions
cybersécurité & conformité

Définitions courtes, sources officielles (CNIL, ANSSI, NIST, EUR-LEX, ENISA), termes liés. Le glossaire de référence pour comprendre NIS2, DORA, RGPD, CLOUD Act et le chiffrement souverain.

AES-256-GCM: AES-256-GCM (Advanced Encryption Standard, clé 256 bits, mode Galois/Counter Mode) est l'algorithme de chiffrement symétrique authentifié de référence en 2026. Standardisé par le NIST (FIPS 197) et recommandé par l'ANSSI au niveau "Renforcé", il combine confidentialité (chiffrement par blocs) et intégrité (tag d'authentification GCM). Accéléré par les instructions matérielles AES-NI des CPU modernes (overhead < 2%). Utilisé par MAFATE pour le chiffrement des données au repos et en transit.
Argon2: Argon2 est la fonction de hachage de mots de passe lauréate de la Password Hashing Competition (2015), standardisée par l'IETF dans la RFC 9106. Elle décline trois variantes : Argon2d (résistance GPU), Argon2i (résistance side-channel), Argon2id (compromis recommandé), paramétrables en mémoire, temps CPU et parallélisme. L'OWASP la recommande comme algorithme par défaut pour le stockage de mots de passe (paramètres minimaux : 19 MiB / 2 itérations / 1 thread). À privilégier sur bcrypt et PBKDF2 pour tout nouveau projet.
BYOK (Bring Your Own Key): BYOK (Bring Your Own Key) est le modèle où le client génère ses propres clés cryptographiques et les importe chez son fournisseur cloud, plutôt que d'utiliser les clés générées par le fournisseur. Apporte un contrôle accru sur l'origine et la chaîne de confiance des clés, mais le fournisseur conserve l'accès opérationnel pour le déchiffrement à la demande. À distinguer de HYOK (Hold Your Own Key) où le client reste l'unique détenteur des clés. MAFATE supporte BYOK avec import via HSM.
ChaCha20-Poly1305: ChaCha20-Poly1305 est un algorithme de chiffrement symétrique authentifié standardisé par l'IETF (RFC 8439) et le NIST (SP 800-38D-rev1 draft). Alternative à AES-256-GCM, il combine le stream cipher ChaCha20 (Daniel J. Bernstein, 2008) et le MAC Poly1305. Plus performant qu'AES sur les CPU sans accélération hardware (mobile ARM, IoT). Utilisé par TLS 1.3, WireGuard, et le chiffrement disque de Linux/Android.
Confidential Computing: Le confidential computing désigne le chiffrement des données pendant leur utilisation par le CPU, en plus de leur chiffrement au repos et en transit. Il s'appuie sur des Trusted Execution Environments (TEE) matériels : Intel SGX/TDX, AMD SEV-SNP, ARM CCA, AWS Nitro Enclaves. Promu par la Confidential Computing Consortium (Linux Foundation), il garantit qu'un attaquant disposant d'un accès root sur l'hyperviseur ou de privilèges cloud ne puisse pas inspecter la mémoire de l'application. Critique pour les workloads multi-tenant et les services tiers traitant des données réglementées.
DEK (Data Encryption Key): Une DEK (Data Encryption Key) est la clé symétrique utilisée pour chiffrer directement les données utilisateur (typiquement AES-256-GCM). Dans le modèle d'envelope encryption recommandé par le NIST, chaque blob de données reçoit sa propre DEK, elle-même chiffrée par une KEK (Key Encryption Key) de niveau supérieur. Cette séparation limite le rayon d'exposition : une DEK compromise n'expose qu'un seul fichier, sans risquer la confidentialité de l'ensemble du système. La rotation des DEK devient indépendante des KEK.
ECC (Elliptic Curve Cryptography): ECC (Cryptographie sur courbes elliptiques) regroupe les schémas asymétriques opérant sur la structure mathématique des courbes elliptiques. Standardisée par le NIST SP 800-186 (2023), elle offre une sécurité équivalente à RSA pour des clés bien plus courtes (256 bits ≈ RSA 3072 bits). Les courbes recommandées en 2026 incluent P-256, P-384, P-521 (NIST) et Curve25519 (RFC 7748). Utilisée pour TLS (ECDHE), signatures (ECDSA, Ed25519) et le chiffrement (ECIES). Comme RSA, vulnérable au quantique.
Enveloppe cryptographique (envelope encryption): L'envelope encryption est un pattern d'architecture où chaque blob de données est chiffré par une clé unique (DEK), elle-même protégée par une clé maîtresse (KEK) gérée par un HSM ou un KMS. Recommandé par NIST SP 800-57 et l'ANSSI, ce modèle découple le cycle de vie des données et celui des clés, permet une rotation des KEK sans re-chiffrer toutes les données, et limite le rayon de compromission. Mis en œuvre par AWS KMS, Google Cloud KMS, Azure Key Vault, HashiCorp Vault et MAFATE.
FPE (Format Preserving Encryption): Le chiffrement préservant le format (FPE) est une technique cryptographique standardisée par le NIST SP 800-38G qui chiffre une donnée tout en conservant son format d'origine, par exemple un numéro de carte bancaire de 16 chiffres reste un nombre de 16 chiffres. Particulièrement utile pour intégrer du chiffrement dans des systèmes legacy où la longueur ou le type des champs est rigide (cobol, ERP). Le standard définit deux modes : FF1 et FF3-1 (révisé après cryptanalyse). Recommandé pour PAN PCI-DSS, IBAN, SIREN.
HSM (Hardware Security Module): Un HSM (Hardware Security Module) est un appareil physique dédié à la génération, au stockage et à l'utilisation de clés cryptographiques dans un environnement matériel inviolable (tamper-resistant). Certifié FIPS 140-2 niveau 3 ou Common Criteria EAL4+, il assure que les clés ne quittent jamais l'enclave hardware en clair. MAFATE utilise des HSM Scaleway hébergés en France pour garantir la souveraineté cryptographique et la conformité ANSSI / SecNumCloud.
HYOK (Hold Your Own Key): HYOK (Hold Your Own Key) désigne le modèle dans lequel le client conserve physiquement la clé de chiffrement, jamais transmise au prestataire cloud. Contrairement à BYOK où la clé est importée chez le prestataire (qui peut techniquement y accéder), HYOK garantit que l'opérateur cloud ne puisse jamais déchiffrer les données, y compris sous injonction CLOUD Act. Implémenté typiquement via un HSM on-premises ou un service de gestion de clés tiers indépendant. Réservé aux cas usage les plus sensibles (données santé, secrets d'État, données stratégiques).
KEK (Key Encryption Key): Une KEK (Key Encryption Key) est la clé symétrique servant à chiffrer d'autres clés, typiquement des DEK (Data Encryption Keys) dans le modèle d'envelope encryption. Stockée dans un HSM ou un KMS, elle est par construction beaucoup moins exposée que les DEK : elle ne touche jamais directement les données et reste rarement exfiltrable. Le NIST SP 800-57 recommande KEK ≥ 256 bits, rotation tous les 1-5 ans, et stockage dans un module FIPS 140-3. La hiérarchie multi-niveaux (KEK → DEK) est le standard de fait du chiffrement at-rest moderne.
KMS (Key Management Service): Un KMS (Key Management Service) centralise la création, le stockage, la rotation, l'audit et la destruction des clés cryptographiques. Il sépare les clés des données chiffrées (envelope encryption, modèle DEK/KEK) pour minimiser le rayon d'exposition en cas de compromission. Les KMS managés (AWS KMS, Azure Key Vault, Google Cloud KMS) sont souvent soumis au CLOUD Act. MAFATE est un KMS souverain français basé sur HSM certifié, non soumis aux lois extraterritoriales US.
PKI (Public Key Infrastructure): Une PKI (infrastructure à clés publiques) est l'ensemble organisationnel et technique qui émet, distribue et révoque des certificats numériques X.509 (RFC 5280) attestant la correspondance entre une identité et une clé publique. Composée d'autorités de certification (CA), d'autorités d'enregistrement (RA), de listes de révocation (CRL/OCSP) et de magasins de confiance. Socle de TLS, S/MIME, code signing, IPsec, eIDAS. Les CAs publiques (Let's Encrypt, DigiCert) opèrent sous CA/Browser Forum ; les PKI privées suivent ETSI EN 319 411.
RSA: RSA (Rivest-Shamir-Adleman, 1977) est le système cryptographique asymétrique le plus déployé, fondé sur la difficulté de factoriser de grands entiers. Standardisé par le NIST SP 800-56B Rev. 2 pour l'établissement de clés et par FIPS 186-5 pour la signature, il requiert des modules d'au moins 3072 bits depuis 2030 selon NIST/ANSSI. Vulnérable aux ordinateurs quantiques (algorithme de Shor), il est appelé à être remplacé par les standards post-quantiques ML-KEM (chiffrement) et ML-DSA (signature).
SHA-3: SHA-3 (Secure Hash Algorithm 3) est la famille de fonctions de hachage cryptographique standardisée par le NIST dans FIPS 202 (2015), fondée sur l'algorithme Keccak. Elle inclut SHA3-224, SHA3-256, SHA3-384 et SHA3-512 ainsi que les XOF (Extendable Output Functions) SHAKE128/SHAKE256. Conçue comme alternative structurelle à SHA-2 (résistant si SHA-2 venait à être cassé), elle utilise une construction sponge offrant des marges de sécurité supérieures. Recommandée par l'ANSSI pour les nouveaux protocoles.
Signature numérique: Une signature numérique authentifie l'origine et l'intégrité d'un message via cryptographie asymétrique : l'auteur signe avec sa clé privée, n'importe qui peut vérifier avec sa clé publique. Les schémas standardisés en 2026 incluent RSA-PSS et ECDSA (FIPS 186-5), Ed25519 (RFC 8032), ML-DSA (FIPS 204, post-quantique). Distincte de la signature électronique au sens juridique eIDAS, qui ajoute des exigences de processus et d'identification. Composant fondateur de la PKI, TLS, code signing, signatures de documents.
Tokenisation: La tokenisation remplace une donnée sensible (numéro de carte bancaire, IBAN, identifiant) par un substitut aléatoire sans valeur exploitable (le "token"), la correspondance étant stockée dans un coffre-fort cryptographique séparé. Contrairement au chiffrement, le token n'est pas mathématiquement réversible : la seule façon de retrouver la donnée originale est d'interroger le coffre. Mandatée par PCI-DSS pour le PAN, recommandée par le NISTIR 8053 pour réduire la surface d'attaque des bases. Souvent combinée à FPE pour respecter les formats des systèmes legacy.

Besoin d'aide pour appliquer ces concepts ?

MAFATE livre les attestations de chiffrement réglementaires en 1 clic. NIS2, DORA, RGPD, HDS — tout est couvert.

Demander une démo Voir la conformité

18+ définitionscybersécurité & conformité

Besoin d'aide pour appliquer ces concepts ?

18+ définitions
cybersécurité & conformité