Sur les installations KNX Secure très sensibles (sites stratégiques, bâtiments de défense), les clés du keyring peuvent être stockées dans un Hardware Security Module (HSM) côté ETS, garantissant qu'elles ne quittent jamais le matériel sécurisé même pendant les opérations de download.

Un HSM est un boîtier matériel certifié (typiquement FIPS 140-2 niveau 3 ou plus) qui stocke les clés cryptographiques et offre : génération de clé aléatoire vraie (TRNG), opérations cryptographiques exécutées en mémoire protégée — la clé n'apparaît jamais en clair dans la RAM d'ETS —, audit log inviolable et détection d'intrusion physique (tamper détection). Le coût va de 500 à 5000 € pour un HSM au format USB et son usage est réservé aux sites haute sécurité : banque, défense, infrastructures critiques.

La grande majorité des installations KNX Secure n'a PAS besoin d'HSM — le keyring chiffré ETS suffit dans 99 % des cas. Si vous en déployez un, planifiez la procédure de PIN/récupération avant la mise en service : un accès HSM perdu sous FIPS 140-2 niveau 3 est définitivement irrécupérable et vous perdrez l'accès au keyring de manière permanente.