ENCRYPTION-AT-REST
Le chiffrement des données stockées — AES-256-GCM avec rotation de clés.
Définition
Standard recommandé : AES-256-GCM (FIPS 140-3 approved) ou XChaCha20-Poly1305. Clés gérées par AWS KMS / GCP KMS / Azure Key Vault / HashiCorp Vault Transit / HSM. Rotation annuelle minimum. Pour bases de données : Transparent Data Encryption (TDE) ou chiffrement applicatif (column-level). Pour stockage objet : S3 SSE-KMS / GCS CMEK.
Origine
Pratique généralisée depuis 2010 avec FIPS 197 (AES) et la pression réglementaire (HIPAA, PCI DSS, GDPR).
Exemple en contexte
Un bucket S3 avec SSE-KMS qui chiffre tous les fichiers EDIFACT déposés avec une clé CMK rotée tous les 12 mois.
Termes liés
- Encryption in transit — pendant transmission.