• À propos
  • Newsroom
  • Carrières
  • Devenir partenaire
  • Rechercher
Calcul
Des ressources de calcul performantes et évolutives pour vos charges de travail critiques. Orchestrez vos applications cloud-native avec nos solutions conteneurs modernes.
Découvrez l'offre Calcul
Dedicated servers
VM Instances
Une solution de machines virtuelles à la demande, flexible et sécurisée, sur une infrastructure mutualisée.
IaaS OpenSource
Infrastructure virtualisée open source dans un environnement cloud de confiance qualifié SecNumCloud pour une souveraineté technologique complète.
IaaS VMWare
Vos machines virtuelles VMware dans un environnement cloud de confiance qualifié SecNumCloud et certifié HDS.
Containers
PaaS Openshift
La plateforme unifiée pour créer, moderniser et déployer vos applications à grande échelle dans un cloud souverain.
Managed Kubernetes
Solution d’orchestration de conteneurs managée offrant sécurité, résilience et automatisation avancée sur infrastructure souveraine.
Bare Metal
Bare Metal
Des serveurs dédiés et entièrement personnalisables pour une autonomie totale sur votre infrastructure souveraine.
Stockage
Des solutions de stockage adaptables et performantes pour tous vos besoins. Optimisez vos données avec nos solutions bloc et objet hautement disponibles.
Découvrez l'offre Stockage
Stockage
Stockage bloc
La solution de stockage en bloc adaptable pour des performances de stockage optimales dans un cloud souverain.
Stockage objet
La solution de stockage évolutive et économique pour vos données non structurées dans un cloud souverain.
Sauvegarde
Solutions de sauvegarde
Des solutions de sauvegarde différenciées, adaptées à vos enjeux et à vos environnements
Réseau
Des solutions réseau avancées pour connecter et sécuriser vos infrastructures. Déployez vos réseaux privés de manière automatisée et sécurisée.
Découvrez l'offre Réseau
Réseau
Virtual Private Cloud
Déployez et gérez vos réseaux privés de manière 100% automatisée et sécurisée.
Private Backbone
Prenez le contrôle total de votre réseau avec une connectivité de niveau 2 étendue, conçue pour les architectures hybrides et les configurations sur mesure.
Managed Firewall
Managed Firewall
Des solutions de sécurité avancées, pour une isolation complète et une protection renforcée
Hébergement Sec
Housing – Espace Dédié
Un hébergement sécurisé pour vos équipements dans un environnement dédié ou partagé, selon vos besoins.
Sécurité
Des solutions de sécurité avancées pour protéger vos infrastructures critiques. Contrôlez l'accès et défendez-vous contre les menaces en ligne.
Découvrez l'offre Sécurité
Sécurité
Anti DDoS
Le bouclier contre les attaques en ligne
Bastion
Le contrôle d’accès centralisé et transparent pour une protection robuste de vos infrastructures
Managed KMS
La gestion des clés cryptographiques souveraine, avec racine de confiance matérielle HSM, pour protéger vos données les plus sensibles sur infrastructure SecNumCloud.
Managed SIEM
Une plateforme centralisée de collecte et de corrélation de logs de sécurité, alliant l'automatisation par IA et des règles de détection avancées (MITRE ATT&CK).
IA
Des solutions d'intelligence artificielle pour transformer vos données en insights et accélérer vos processus métier.
Découvrez l'offre IA
IA
LLMaaS
Accédez à des modèles de langage de pointe sur une infrastructure souveraine, qualifiée SecNumCloud et certifiée HDS, pour des applications d’IA performantes et sécurisées.
GPU
Instances GPU NVIDIA pour accélérer vos calculs d’intelligence artificielle et de calcul haute performance dans un cloud souverain.
Data
Des solutions de données pour gérer, analyser et exploiter vos données critiques.
Découvrez l'offre Data
Bases de données
Managed MariaDB
Une base de données relationnelle MariaDB entièrement managée et sauvegarde PITR sur infrastructure souveraine SecNumCloud.
Managed PostGreSQL
La solution de base de données relationnelle entièrement managée sur infrastructure souveraine SecNumCloud
Big Data
Managed Kafka
La plateforme distribuée open-source pour la diffusion de données en continu et en temps réel
Managed File System
Un système de fichiers distribué managé, souverain et haute disponibilité, accessible en NFS et SMB sur infrastructure SecNumCloud.
Management & Gouvernance
Des services d'accompagnement et de support pour vous aider dans votre transformation cloud.
Découvrez l'offre d'accompagnement
Accompagnement
Niveaux de support
Découvrez les 3 niveaux de support pour vous accompagner au mieux selon vos enjeux.
Nos professional services
De la conception à l’optimisation, Cloud Temple vous accompagne à chaque étape de votre projet.
Gouvernance
Console – API – Provider Terraform
Une interface unique pour visualiser et gérer vos produits et services
Observability
Les métriques de votre infrastructure disponibles dans les standards du marché
À propos
L'entreprise
Qui sommes-nous ?
Équipe dirigeante
Implantations
Engagements RSE
Secteurs
Secteur public
Santé
Secteur financier
Industrie
Nos approches
Nos démarches de conformité
Notre approche SecNumCloud
IA de confiance
Interopérabilité & hybridité
Transparence sur le traitement des données de santé
Newsroom
Le magazine
Evènements & Webinaires
Communiqués de presse
Dans les médias
Base documentaire
Carrières
Travailler chez Cloud Temple
Nous rejoindre
Devenir partenaire
Éditeurs
Managed Services Providers
FR EN DE IT
Contact
Produits > Managed KMS
Sécurité

Managed KMS

La gestion des clés cryptographiques souveraine, avec racine de confiance matérielle HSM, pour protéger vos données les plus sensibles sur infrastructure SecNumCloud.

Les fondamentaux de l’offre Managed KMS

Le service Managed KMS (Key Management Service) est une plateforme de gestion du cycle de vie des clés cryptographiques, entièrement managée et déployée sur l’infrastructure souveraine SecNumCloud de Cloud Temple. Basé sur Cosmian KMS — solution française open-source de référence — et ancré sur une racine de confiance matérielle Thales Luna HSM (FIPS 140-3 Level 3), ce service offre le plus haut niveau de protection pour vos clés cryptographiques.

Le Managed KMS répond au défi fondamental de la souveraineté des données : chiffrer est nécessaire, mais la sécurité du chiffrement dépend entièrement de la protection des clés. Ce service assure que vos clés maîtresses ne quittent jamais le HSM en clair, que leur cycle de vie est audité, et que l’accès est gouverné par des politiques granulaires — le tout sur une infrastructure 100% française, qualifiée SecNumCloud.

Compatible avec les standards industriels (KMIP 2.1PKCS#11REST API), il s’intègre nativement avec l’ensemble de l’écosystème applicatif Cloud Temple et tiers, sans verrouillage propriétaire.

Nos démarches de conformité

Notre offre Managed KMS est certifiée HDS et ISO 27 001

Les bénéfices de l’offre Managed KMS de Cloud Temple

Souveraineté totale

Double contrôle technologique et géographique
Garantir que vos clés et données restent sous contrôle français, avec Cosmian KMS et Cloud Temple (SecNumCloud), sans dépendance à des fournisseurs étrangers.

Sécurité matérielle renforcée

Racine de confiance inviolable
Protéger les clés maîtresses dans un HSM certifié FIPS 140-3 Level 3, assurant que la matière cryptographique ne quitte jamais le HSM en clair, même pour les administrateurs.

Interopérabilité et flexibilité

Standards ouverts et modèles de clés variés
Supporter KMIP 2.1 pour une intégration aisée avec vos applications et permettre BYOK, HYOK ou génération interne, selon vos besoins de contrôle et de gouvernance.

Opération simplifiée

Zéro Ops avec intégration Cloud Temple
Bénéficier d’un déploiement, HA, mises à jour et supervision entièrement gérés, avec une intégration native à Object Storage, Managed Kubernetes, Managed SIEM et réseau privé isolé.

Les fonctionnalités clé de notre Managed KMS

Gestion du cycle de vie des clés
Création, activation, désactivation, révocation et destruction sécurisée des clés selon le standard KMIP 2.1. Statuts : Pre-Active → Active → Deactivated → Compromised → Destroyed.

Racine de confiance HSM (Thales Luna)
Les KEK (Key Encryption Keys) maîtresses sont générées et stockées dans le HSM Thales Luna (FIPS 140-3 Level 3). Les clés applicatives sont “enveloppées” (wrapped) par la KEK HSM.

Types de clés supportés
AES-128/192/256, RSA-2048/3072/4096, EC (P-256, P-384, P-521), Ed25519, Ed448, X25519, ChaCha20.

Opérations cryptographiques
Chiffrement/déchiffrement (AES-GCM, AES-CBC, RSA-OAEP, ECIES), signature/vérification (ECDSA, EdDSA, RSA-PSS), enveloppement/désenveloppement (Key Wrapping RFC 3394).

API REST & KMIP 2.1
Interface REST JSON native + support du protocole KMIP 2.1 (standard OASIS) pour l’interopérabilité avec les applications KMIP-compatibles.

PKCS#11 Interface
Interface PKCS#11 pour les applications utilisant ce standard industriel (HSM logiciel, intégrations OpenSSL, Java JCA/JCE).

BYOK (Bring Your Own Key)
Import de matière clé externe dans le KMS avec wrapping par la KEK HSM. Contrôle total de la provenance des clés.

HYOK (Hold Your Own Key)
Les clés restent sous contrôle exclusif du client (dans son propre HSM ou périmètre) ; le KMS n’agit qu’en proxy pour les opérations cryptographiques.

Rotation automatique des clés
Politiques de rotation configurables par clé (durée de vie, rotation à date fixe). Rekeying transparent sans interruption des applications.

Contrôle d’accès (ABAC)
Contrôle d’accès basé sur les attributs (Attribute-Based Access Control) : politiques granulaires par client, application, opération et périmètre.

Authentification forte
OIDC/JWT (intégration avec les fournisseurs d’identité existants) et authentification par certificat TLS client (mTLS).

Audit trail immuable
Journalisation de toutes les opérations cryptographiques (qui, quoi, quand, sur quelle clé) avec horodatage signé. Export vers les puits de logs centralisés.

Spécifications techniques

Managed KMS
Racine de confiance matérielle Thales Luna HSM — FIPS 140-3 Level 3
Double souveraineté KMS français (Cosmian) + Infrastructure française (Cloud Temple)
Standard ouvert KMIP 2.1 (OASIS) — interopérabilité garantie
Haute disponibilité Cluster actif/actif multi-AZ
Traçabilité Audit trail exhaustif de toutes les opérations clés
Modes de clés BYOK, HYOK, génération interne

Un projet de chiffrement souverain ou de mise en conformité cryptographique ? Échangeons ensemble.

Vous souhaitez centraliser la gouvernance de vos clés (BYOK/HYOK), protéger vos secrets Kubernetes (etcd) ou vous conformer aux exigences réglementaires strictes (LPM, NIS2, DORA, PCI-DSS) avec une racine de confiance matérielle inviolable ? Nos architectes sécurité vous accompagnent pour dimensionner votre cluster Cosmian KMS et votre infrastructure HSM Thales Luna sur notre cloud qualifié SecNumCloud.

Partagez-nous les enjeux de votre projet via ce formulaire : nous reviendrons vers vous rapidement pour concevoir le socle cryptographique adapté à vos applications.

Merci de confirmer que vous n’êtes pas un robot
Je consens à ce que Cloud Temple stocke et traite les informations personnelles soumises ci-dessus afin de répondre précisément à ma demande. * champs obligatoires

Cas d’usages

Produit MAnaged KMS souverain de Cloud Temple pour le chiffrement applicatif

Chiffrement applicatif souverain (Envelope Encryption)

Contexte : Une application SaaS stocke des données clients sensibles dans l’Object Storage Cloud Temple et doit garantir leur protection même en cas de compromission de la base de données.

Solution : Chaque client dispose d’une DEK unique, protégée par une KEK dans le Managed KMS/HSM, appliquant le chiffrement par enveloppe.

Bénéfice : Les données restent inaccessibles sans les clés KMS, assurant un niveau de sécurité élevé et souverain.

Produit Managed KMS souverain de Cloud Temple pour la conformité RGPD

Conformité RGPD — Droit à l’oubli cryptographique

Contexte : L’entreprise doit pouvoir effacer définitivement les données d’un utilisateur sans altérer la base de données.

Solution : Destruction de la DEK correspondante dans le Managed KMS, rendant toutes les données chiffrées par cette clé irrémédiablement inaccessibles.

Bénéfice : Une conformité RGPD simplifiée, avec un droit à l’oubli effectif et sécurisé.

Produit MAnaged KMS souverain de Cloud Temple pour la protection des secrets kubernetes

Protection des secrets Kubernetes (etcd encryption)

Contexte : Les secrets Kubernetes contiennent des informations sensibles (mots de passe, tokens, certificats) qui ne doivent jamais être stockées en clair.

Solution : Le Managed Kubernetes chiffre les secrets via le KMS provider v2, avec des DEK Kubernetes wrappées par une KEK dans le Managed KMS.

Bénéfice : Une protection robuste des secrets, garantissant qu’aucune information sensible n’est exposée dans etcd.

Questions fréquentes

Non, la séparation des responsabilités est stricte. 

L’architecture garantit que Cloud Temple n’a accès qu’au plan de contrôle (l’infrastructure). La matière cryptographique de vos clés maîtresses (KEK) ne quitte jamais le HSM Thales Luna en clair, même pour nos administrateurs ou lors des sauvegardes. Vos clés applicatives (DEK) sont “enveloppées” (chiffrées) par le HSM. Vous gardez un contrôle exclusif sur le plan de données.

Non, l’isolation réseau est totale. 

Les endpoints de l’API REST, du protocole KMIP 2.1 et de l’interface PKCS#11 sont exclusivement accessibles depuis votre réseau privé Cloud Temple. Aucune exposition publique n’est possible, ce qui réduit drastiquement la surface d’attaque.

 La racine de confiance matérielle et le SLA. 

En environnement de Production (multi-AZ), le service s’appuie sur une véritable racine de confiance matérielle : un HSM Thales Luna Network dédié et certifié FIPS 140-3 Level 3, avec un SLA de 99,90%. En environnement de Dev/Test (mono-AZ), pour optimiser les coûts, le backend cryptographique repose sur un HSM logiciel (SoftHSM2) ou un accès partagé, et n’est soumis à aucun engagement de disponibilité (SLA).

La destruction d’une clé est définitive et irréversible. 

Pour éviter tout drame industriel, une opération de destruction nécessite un processus de “double validation” (double approval). C’est crucial car si vous détruisez une clé maîtresse (KEK) dans le HSM, toutes les données chiffrées par les clés applicatives (DEK) protégées par cette KEK deviendront définitivement inaccessibles.

Oui, le mode “Hold Your Own Key” est supporté. 

Le Managed KMS vous permet de laisser vos clés sous votre contrôle exclusif, par exemple dans votre propre HSM hébergé on-premise. Dans ce cas, le KMS Cloud Temple n’agit qu’en tant que proxy pour les opérations cryptographiques. Attention toutefois : ce mode nécessite que votre HSM soit accessible depuis le réseau Cloud Temple (via VPN IPsec ou interconnexion dédiée).

Une réversibilité continue, sans verrouillage propriétaire. 

Parce que le service s’appuie sur le standard ouvert KMIP 2.1 (OASIS), vos clés restent votre propriété et sont exportables à tout moment, en self-service, au format KMIP/JSON. Vous pouvez ainsi les réimporter dans n’importe quel autre KMS compatible du marché. À la résiliation, nous procédons à une destruction cryptographique sécurisée (zero-fill HSM et base de données) sous 7 jours, avec remise d’un certificat de destruction.

Vous ne trouvez pas la réponse à votre question ?
Contactez nos équipes
Contactez-nous
Pour aller plus loin
Documentation technique Contactez-nous

Politique en matière de cookies

Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site mais nous ne prélevons aucune donnée à caractère personnel.

Les services de mesure d’audience, nécessaires au fonctionnement et à l’amélioration de notre site, ne permettent pas de vous identifier personnellement. Vous avez cependant la possibilité de vous opposer à leur usage.

Pour plus d’informations, consultez notre politique de confidentialité.

Autoriser Refuser