Chiffrement de champ Enterprise

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Chiffrement de champ Enterprise utilise le Key Management Framework (KMF) pour vous permettre de personnaliser et de gérer la façon dont les champs et les pièces jointes sont chiffrés et déchiffrés sur votre instance. Un abonnement est requis pour utiliser Chiffrement de champ Enterprise.

    Important :
    Cette rubrique couvre la version d’entreprise de Chiffrement de champ. Pour plus d’informations sur la version standard de Chiffrement de champ ou pour connaître les différences entre les deux versions, reportez-vous à la section Explorer Chiffrement de champ.

    Chiffrement de champ Enterprise est basé avec Chiffrement de champ et utilise le et sa prise en charge complète des fonctions de gestion des clés. Chiffrement de champ Enterprise assure la protection des clés et la gestion du cycle de vie des clés pour le Key Management Framework chiffrement des champs au niveau de l’application. Toutes les clés sont protégées par une hiérarchie d’encapsulation de clés ancrée dans les modules de sécurité matériels (HSM) FIPS (Federal Information Processing Standards) 140-2-L3.

    Chiffrement de champ Enterprise vous donne la possibilité de gérer la façon dont les champs pris en charge sont chiffrés et déchiffrés conformément aux pratiques de la norme NIST 800-57 . Il utilise également la version la plus récente du chiffrement au niveau des champs, y compris l’intégration pour une protection et une gestion appropriées des clés.

    Plus précisément, Chiffrement de champ Enterprise utilise les modules de chiffrement, ce qui vous accorde plus de contrôle sur le chiffrement côté serveur. KMF Vérifie la protection appropriée des clés de chiffrement des données à l’aide de la KMF hiérarchie de clés et du chiffrement d’enveloppe. Votre instance chiffre les données via des modules de chiffrement que vous configurez. Vous pouvez créer une politique d’accès pour chaque module, puis configurer des spécifications cryptographiques et des politiques d’accès, et contrôler le contrôle de gestion du cycle de vie des clés.

    Chiffrement de champ Enterprise prend en charge les politiques d’accès au module basées sur :

    • Périmètre
    • Rôle
    • Script
    • Échange de ressources
    • Utilisateur système
    Consultez Créer une politique d’accès au module pour plus d'informations.
    Remarque :
    Pour plus de détails sur les fonctionnalités prises en charge et Chiffrement de champ sur la façon de mettre à niveau et de s’abonner à l’autorisationChiffrement de champ Enterprise, reportez-vous à .Abonnement groupé à chiffrement et gestion des clés

    Termes de chiffrement

    Terme Description
    Figure 1. Gestion des clés
    Gestion des clés
    		Prise en charge de la gestion des clés

    Le cadre de gestion des clés (KMF) est fondamental Chiffrement de champ Enterprise .

    Bénéficiez des options suivantes :
    • Gestion du cycle de vie des clés.
    • Rotation de clés. Consultez Faire pivoter les touches pour en savoir plus.
    • Protection et génération de clés avec les modules de sécurité matériels (HSM) FIPS 140-2-L3.
    • Séparation des rôles et des tâches.
    • Le transfert sécurisé des clés de chiffrement des données entre les instances, telles que les instances de production et de non-production.
    • Clés fournies par le client (CSK) avec emballage de clés.
    • Chiffrement non déterministe.
    • Chiffrement/déchiffrement en masse.
    • Audit de l’accès/de l’utilisation des clés.

    Consultez Référence du cadre de travail de gestion des clés pour en savoir plus.
    Figure 2. Clé fournie par le client
    Clé fournie par le client
    		Prise en charge des clés fournies par le client

    L’un des plus grands avantages Chiffrement de champ Enterprise est que vous pouvez utiliser vos propres clés pour le cryptage. Les administrateurs ont le choix d’utiliser ServiceNow les clés fournies ou vos propres clés fournies par le client (CSK) pour le chiffrement sur le ServiceNow AI Platform®.

    Vous pouvez également gérer le cycle de vie des clés et décider quand révoquer, faire pivoter et désactiver les clés. Une fois que vous avez activé les clés fournies par le client et créé un module cryptographique, vous téléchargez un jeton et une clé éphémère publique. Vous utilisez le jeton et la clé publique pour envelopper votre clé, puis la charger dans l’instance. Pour utiliser les clés fournies par le client, reportez-vous aux sections Configurer les paramètres de chiffrement de champ pour sélectionner le type de clé et Utilisation de clés fournies par le client avec Chiffrement de champ Enterprise.
    Figure 3. Chiffrement de champ
    		 Prise en charge du chiffrement de champ et du chiffrement des pièces jointes

    Le chiffrement de champ et le chiffrement de pièce jointe utilisent tous deux des modules cryptographiques et des stratégies d’accès via des configurations de champs chiffrés. Le formulaire Configuration des champs chiffrés est utilisé pour choisir un type de chiffrement de colonne ou de pièce jointe . Consultez pour Définir des configurations de champs chiffrés plus d’informations et les types de champs pris en charge.
    Figure 4. Chiffrement non déterministe
    Chiffrement non déterministe
    		Prise en charge du chiffrement non déterministe

    Chiffrement de champ Enterprise prend en charge le chiffrement non déterministe pour une sécurité renforcée. Si le système crypte les mêmes données plus d’une fois, les textes chiffrés sont différents à chaque fois. Le chiffrement non déterministe est disponible avec le chiffrement AES (Advanced Encryption Standard) avec le chaînage de blocs de chiffrement (CBC).

    Vous pouvez activer cette fonctionnalité via l’option Préservation de l’égalité à l’étape Définition de l’algorithme de la spécification cryptographique. Créez une spécification cryptographique pour un module de chiffrement, définissez un algorithme de chiffrement et générez la clé.

    Consultez Créer un module cryptographique pour définir les mécanismes utilisés pour les opérations de chiffrement et pour plus d’informations sur l’activation du chiffrement non déterministe.
    Figure 5. Resource Exchange

    Resource Exchange Chiffrement de champ Enterprise clés d’instance à instance de manière sécurisée à l’aide d’API cryptographiques pour assurer la confidentialité, l’intégrité KMF , l’authentification et la non-répudiation. Resource Exchange est une KMF fonctionnalité qui vous permet d’échanger des ressources entre les instances de manière sécurisée. Consultez Échange de ressources du cadre de travail de gestion des clés pour en savoir plus.
    Remarque :
    Si vous choisissez de ne pas activer Chiffrement de champ Enterprise, vous pouvez toujours utiliser Chiffrement de champ. Consultez la section Explorer Chiffrement de champ pour plus d’informations.

    Chiffrement de champ Enterprise prend en charge les clients sur site. Séparation en domaines n’est pas prise en charge.

    Prise en charge de champs chiffrés supplémentaires

    La version standard de Chiffrement de champ est limitée à cinq colonnes chiffrées. Chiffrement de champ Enterprise prend en charge un nombre illimité de colonnes chiffrées.

    Informations sur les champs pris en charge

    Les types de champs suivants peuvent être chiffrés :
    • Pièces jointes
    • Date
    • Date/Heure
    • E-mail
    • HTML
    • Journal
    • Entrée de journal
    • Liste de journaux
    • Téléphone
    • Texte de chaîne
    • Champ traduit
    • HTML traduit
    • Texte traduit
    • URL

    Chiffrement de pièce jointe

    Chiffrement de la pièce jointe par défaut

    Les clients utilisant Chiffrement de champ des pièces jointes sont chiffrées par défaut dans des tables dont le type de configuration de champ chiffré (EFC) actif est Attachment.

    Ce chiffrement par défaut défini par la configuration EFC signifie que les administrateurs n’ont pas besoin de déclarer manuellement qu’une pièce jointe doit être chiffrée lors du chargement pour ces tables.

    Les administrateurs peuvent interdire aux utilisateurs de joindre des fichiers non chiffrés
    Pour plus de détails, voir Empêcher les utilisateurs de joindre des fichiers non chiffrés.
    Désactiver le chiffrement par défaut

    Si vous ne souhaitez pas que les pièces jointes soient chiffrées par défaut en fonction de la configuration EFC, vous pouvez désactiver cette option en contactant ServiceNow l’assistance.

    Pour vous désabonner de cette fonctionnalité, créez un ticket de support avec ServiceNow le support, et incluez cette déclaration dans un commentaire sur l’enregistrement du ticket :

    « Je [nom du client] comprends que je demande ServiceNow à désactiver une bonne pratique de sécurité recommandée pour les pièces jointes et que [la société cliente] assume tout risque supplémentaire lié à sa configuration et à son utilisation de pièces jointes non chiffrées dans l’application ServiceNow . »

    Prise en charge de l’API

    Chiffrement de champ Enterprise active les API suivantes.

    Remarque :
    Le comportement d’API décrit dans le tableau suivant représente la configuration par défaut du dernier package système de base. Si vous utilisez des versions de package plus anciennes, vous risquez de rencontrer des fonctionnalités différentes.
    Tableau 1. API de chiffrement de champ
    API Description Paramètres Type de retour
    changeEncryptionContext() Met à jour un contexte de chiffrement (EC) actif utilisé pour chiffrer une pièce jointe.

    Lorsque CLE est activé avec le module d’extension CLE Starter à l’aide du module de chiffrement KMF (CM), l’API localise le CM pour l’EC et l’utilise pour chiffrer la pièce jointe.

    Remarque :
    Cette API n’est disponible que dans le champ d’application global.
    • sourceTable : nom de la table qui contient la pièce jointe.
    • sourceID : ID système de l’enregistrement de la table.
    • attachmentID : ID système de l’enregistrement sys_attachment.
    • newEncryptionContextID : ID système du nouveau contexte.
    		 Booléen
    changeCryptoModule() Met à jour un module de chiffrement actif utilisé pour chiffrer une pièce jointe.
    Remarque :
    Cette API n’est disponible que dans le champ d’application global.
    • sourceTable : nom de la table qui contient la pièce jointe.
    • sourceID : ID système de l’enregistrement de la table.
    • attachmentID : ID système de l’enregistrement sys_attachment.
    • newCryptoModuleId : ID système du nouveau module de chiffrement pour chiffrer la pièce jointe.
    		 Booléen
    disableEncryption() Désactivez le chiffrement actif sur une pièce jointe.
    • sourceTable : nom de la table qui contient la pièce jointe.
    • sourceID : ID système de l’enregistrement de la table.
    • attachmentID : ID système de l’enregistrement sys_attachment.
    		 Booléen
    getDisplayValue() Renvoie la valeur d’affichage en texte clair d’un champ chiffré. Chaîne
    getValue() Renvoie la valeur en texte clair d’un champ chiffré lorsque glide_encryption.set_value_support_cle.disabled est faux (nécessite la politique d’accès au module (MAP)).

    Renvoie la valeur chiffrée d’un champ chiffré lorsque glide_encryption.set_value_support_cle.disabled est vrai.

    		 Chaîne
    setDisplayValue() Insère les données chiffrées dans un champ chiffré à des fins d’affichage.
    • name : nom du champ.
    • value : valeur du champ.
    		 Booléen
    setValue() Insère les données chiffrées dans un champ chiffré, contrôlé par une propriété système.

    Chiffre les données lorsque glide_encryption.set_value_support_cle.disabled est faux (nécessite MAP) ; écrit les données non chiffrées lorsque la valeur est définie sur vrai (aucune MAP requise), lorsque glide_encryption.set_value_support_cle.disabled est vrai.

    • name : nom du champ.
    • value : valeur du champ.
    		 Booléen

    Le script suivant illustre les changements d’API lorsque la brève description de l’incident est chiffrée :

    
var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

    Lorsque le module d’extension Chiffrement de champ est installé, glide_encryption.set_value_support_cle.disabled est défini sur false par défaut.

    Lorsque vous appelez getValue() sur un champ de texte chiffré, il renvoie le texte brut si vous avez accès au module cryptographique ; sinon, il renvoie soit le texte chiffré, soit null.