Description de la mission :

Le domaine IOS du SPF BOSA a acquis 5 modules de sécurité matériels nShield General Purpose (numéro de modèle NH2075-B) d’Entrust.

Afin d’utiliser ces HSMs dans un contexte PKI plus large, IOS recherche un spécialiste certifié Entrust nShield qui peut aider avec les tâches suivantes :

• Automatisation de la création de la Security World et des ensembles de cartes Administrator Card Set et Operator Card Sets associés (cela doit être effectué selon les meilleures pratiques du secteur sur 3 environnements différents répartis sur 2 centres de données, sur base des exigences décrites ci-dessous) ;

• Le fournisseur peut proposer de meilleures solutions que celles des exigences si elles correspondent mieux aux meilleures pratiques du secteur. Il appartient au fournisseur de l’indiquer clairement dans la proposition, par exemple pour l’initialisation, la mise en place d’une key ceremony avec la documentation associée.

• Documenter et élaborer une démonstration concernant l’intégration PKCS 11. Ceci dans le but de favoriser la réutilisation avec différents logiciels utilisés au sein du SPF BOSA DG VD tels que Axway API Gateway, AppViewX, Forgerock AM, HashiCorp Vault.

Exigences pour l’automatisation :

• Créer un “cluster” RFS Active-Passive
• Réinitialiser la Security World existante (si présente)

• Créer une nouvelle Security World conforme FIPS 140-2 Niveau 3

• Définir AES comme cipher suite préférée

• En parallèle, utiliser ECC dans la mesure du possible étant donné l’efficacité qui en découle
• Définir un quorum de 3/6 pour toutes les opérations (réinitialisation du PIN, accès NVRAM, accès RTC, etc.)
• Configurer la connexion réseau active-backup
• Configurer 3 serveurs NTP différents
  Serveurs NTP Stratum 0 : ntp-a.fediap.be, ntp-b.fediap.be, et ntp-c.fediap.be
• Mettre en place l’audit logging
• Configurer la gestion à distance
• Configurer le redémarrage à distance
• Configurer l’auto-push de la configuration

• Rendre le module 1 une cible valide pour les remote shares

• Lorsqu’un cluster existe déjà : rejoindre la Security World existante

025/BOSA/90533/DEF/V1.0/MISSION DE SUPPORT HSM 06/02/2025 7 INFRASTRUCTURE SPECIALIST

• Créer 3 OCS persistants avec quorum 2/5

• Définir un timeout de 300 secondes

• Mettre en place le remplacement de passphrase/récupération de PIN
• Imposer la complexité de la passphrase pour ACS et OCS

Toutes les étapes doivent être enregistrées pour fournir la preuve de la bonne exécution ! Idéalement, les étapes d’automatisation devraient être réutilisables, par exemple, pour permettre la réinitialisation automatisée d’un HSM dans une Security World après une mise à jour du firmware.

Le candidat doit également avoir de l’expérience avec Linux RHEL8 et supérieur ;

En plus de la certification, également 5 ans (ou plus) d’expérience avec les produits Entrust ;

La connaissance du néerlandais et/ou du français est un atout.