Les clés cryptographiques sont gérées exclusivement dans AWS KMS et sont séparées physiquement et logiquement des données protégées. AWS KMS repose sur un backend HSM renforcé avec une certification FIPS 140-2 niveau 3.

Aucun collaborateur n’a un accès direct aux clés — seules les composantes de service AWS autorisées peuvent les utiliser. Dans des cas exceptionnels justifiés, un accès peut être demandé avec l’approbation explicite de la direction technique.

Toutes les utilisations des clés sont enregistrées via CloudTrail. La rotation automatique annuelle est activée pour toutes les clés KMS. Les identifiants d’accès AWS sont renouvelés tous les 90 jours, les jetons de base de données IAM expirent après 15 minutes.