6 évolutions inévitables de sécurité dans la gestion des certificats numériques pour les DSI

Les certificats numériques prennent une telle part dans la sécurité informatique que la gestion de leur cycle de vie et de leur compliance devient lui-même un enjeu de sécurité.  

Retrouvez dans cet article les 6 grandes problématiques liées à la gestion des certificats électroniques. Nous illustrons ces douleurs du quotidien pour les équipes sécurité avec des exemples et des solutions.  

1. SUPERVISION : 73% des DSI reconnaissent avoir subi une interruption de service liée à une expiration de certificats non maitrisée !  

« Il y 3 mois de cela, notre plateforme de e-commerce est tombée, pendant quelques heures ! Je me suis dit, plus jamais ça ! Tout ça à cause d’un petit certificat numérique expiré. » 

L’interruption de service est certainement l’impact le plus visible et le plus immédiat en conséquence d’une expiration non maitrisée de certificats numériques. Les conséquences sont mesurables. Nous en avons souvent parlé sur le blog de Digitalberry. En voici quelques-unes :  

• Le coût d’une interruption de service s’élève à 300 000$ en moyenne par heure ! Sachant que si l’on ne maîtrise pas ses certificats, alors la remise en route de l’application, peut prendre un certain temps. Un arrêt de service dure en moyenne entre 1h et 4h. De quel certificat s’agit-il ? Sur quelle instance est-il déployé ? Qui est en mesure de résoudre le problème ? Devons-nous appeler notre fournisseur externe s’il s’agit d’un certificat émis par une PKI publique ? etc.  
• Les conséquences sur l’image de marque de la société ne sont pas non plus à sous-estimer. Si la panne concerne un site web ou une application utilisée par le client final, cela devient très vite complexe.  

Prêt de 60% des organisations ont subi une interruption de service par expiration de certificat sur les deux dernières années. Mais comment l’éviter, l’anticiper ? Si on ne connait pas son parc, si la gestion se fait manuellement, si on gère des milliers de certificats, finalement l’erreur est humaine.   

2. INVENTAIRE : 71% des équipes DSI n’ont pas connaissance de leur parc de certificats numériques !  

“À l’heure actuelle, je n’ai une vision claire ni du volume, ni de la qualité, ni des usages de mes certificats numériques ou de toutes les instances sur lesquelles ils sont déployés.”  

Les équipes sécurité se retrouvent avec des angles morts sur leur parc de certificats électroniques. Comment réussir à maîtriser quelque chose que l’on connait de manière incomplète ? 

Prenons un exemple simple et courant au sein des organisations. Il arrive régulièrement que des exploitants applicatifs émettent à la volée des certificats numériques pour des besoins métier liés aux applications qu’ils gèrent. Ces certificats sont souvent non répertoriés correctement. Les équipes sécurité n’étant pas averties, elles ne peuvent contrôler leur évolution (conformité et date d’expiration).  

Vous vous reconnaissez dans cet exemple ? Mais alors quelle solution ? Avoir la possibilité de scanner l’ensemble de son réseau, de ses machines et applications. Ainsi, obtenir un inventaire complet de l’ensemble de ses certificats numériques. Le tout, associé à une synchronisation de vos PKI privées et AC publiques, pour être sûr d’identifier l’ensemble des certificats numériques en usage dans votre organisation.  

 Il s’agit de services rendus par une solution CLM (Certificate Lifecycle Management) ! Cartographier et centraliser vos certificats dans un inventaire. 

3. AUTOMATISATION : Sans outil, maintenir un parc de certificats électroniques demande trop de temps et de ressources humaines.  

« Mes équipes sont sous l’eau, maintenir un doc à jour avec tous nos certificats externes et internes devient une usine à gaz. Ce sont des tâches chronophages que personne ne souhaite vraiment faire ». 

Chaque mois, un nouvel enjeu cyber apparait. Nous le savons la cyber sécurité va vite, très vite. De nombreux projets, tous plus urgents que les autres arrivent sur le bureau des DSI.  Le quotidien des équipes devient complexe, ajouter des opérations manuelles chronophages amènent à des erreurs humaines. Bref, maintenir un parc de certificats en conformité requiert du temps. Saviez-vous que 33% des DSI utilisent encore Excel pour gérer le cycle de vie des certificats électroniques ?  

Il faut développer la crypto Agilité pour répondre à des besoins de remédiation sur la révocation de certificats, la compromission d’AC, le décommissionnement d’algorithmes, la migration de PKI. 

Au-delà d’une solution, l’automatisation devient même un prérequis de sécurité, au maintien de votre parc de certificats numériques. Superviser la date d’expiration, la révocation ou le déploiement d’un certificat c’est possible !  Un outil CLM (Certificate Lifecycle Management) permet aux équipes DSI de gagner 50% de productivité sur leurs activités.   

4. RATIONALISATION : Créer et uniformiser les processus autour du renouvellement, de la demande et du déploiement des certificats numériques.   

« Aujourd’hui nous n’avons aucun process clairement définit pour la gestion de nos certificats électroniques, nous avons plusieurs sources d’information, rien n’est centralisé et chacun fait un peu comme il veut et peut ».  

Les DSI ainsi que les équipes opérationnelles ont un besoin de contrôle et de processus simplifiés. Par exemple, que les mécanismes de demande, de renouvellement et de déploiement soient les mêmes pour des certificats de PKI publiques ou internes.  

Bénéficier d’une solution unique avec une interface simplifiée qui permet la mise en place de workflows. Ainsi, les équipes métier peuvent faire simplement leurs demandes, en sélectionnant l’usage du certificat, avec des paramètres techniques déjà prédéfinis. Tout cela, sous le contrôle et l’approbation des équipes sécurité.  

C’est une des promesses tenues par les solutions CLM, la tour de contrôle des certificats numériques. 

5. EXPERTISE : Faire face au manque d’expertise autour des certificats numériques et plus largement sur les sujets PKI.  

 « Notre ingénieur sécurité qui gérait nos PKI internes et leurs certificats numériques a quitté l’entreprise et avec lui ses connaissances. » 

Dire que le sujet PKI – Certificats numériques est un sujet d’expert, est une réalité. La gestion des certificats électroniques et des PKI est souvent dispatchée au sein des organisations : certificats internes et externes, certificats destinés au web ou aux applications etc …  

Cette prise de conscience a souvent lieu à l’occasion d’interruptions de service. Comme expliqué ci-dessus, c’est à ce moment clef où l’on a besoin d’informations claires : comment retrouver le certificat en question, sur quelle instance est-il déployé, comment le révoquer ou le renouveler ? 

Comment centraliser l’information et la maintenir à jour ? Avec un outil simple d’utilisation et servant de bases de connaissances en temps réel … le rôle d’une solution CLM.  

6. COMPLIANCE : Comment s’assurer de la conformité de ses certificats face aux nouvelles exigences des régulateurs et à l’état de l’art ?  

 “Aujourd’hui nos collaborateurs reçoivent régulièrement des alertes de sécurité concernant des certificats auto-signés, ces pratiques mettent en péril la sécurité de l’organisation”.  

Les navigateurs imposent de nouvelles exigences, comme la diminution de la durée de vie des certificats SSL. En plus d’un volume en forte progression, les opérations de gestion des certificats deviennent plus fréquentes. La durée de vie recommandée par le CA/Browser Forum est passée de 2 ans à 13 mois depuis Septembre 2020, recommandation rapidement prise en compte dans les différents navigateurs. Cela a démultiplié les opérations de renouvellement nécessaires. 

La conformité concerne aussi les attributs du certificat comme les DNS dans le SAN (Subject Alternative Name) et leur nombre à limiter. S’ajoute à cela la taille des clés cryptographiques et les algorithmes de hachage. Enfin les pratiques de sécurité intègrent aujourd’hui la limitation de l’usage de certificats wildcard, le bannissement des certificats auto-signés, etc. Au-delà de la conformité de vos certificats, la possibilité de transfert, copie, et réutilisation de clé cryptographique fragilise aussi la sécurité informatique de l’organisation.  

De nouvelles initiatives comme le Certificate Transparency et l’usage des TPM (Trusted Platform Module) visent également à sécuriser le processus d’émission de certificat. 

Une solution CLM permet de centraliser une politique de conformité et de garantir la conformité des certificats. Cela offre une agilité dans la remédiation en cas de compromission. 

Garder le contrôle de vos certificats numériques avec une solution CLM ! 

Inutile de vous l’expliquer à nouveau : une solution CLM (Certificate Lifecycle Management) devient votre meilleur allié face à la gestion de vos certificats numériques. Si vous deviez retenir deux chiffres concernant les outils CLM :  

• +50% de productivité  
• -90% de risque d’interruption de service  

Chez Digitalberry, nous proposons un outil « Made in France » complet pour automatiser la gestion des certificats numériques :  

• Découverte et cartographie de votre parc de certificats numériques  
• Centralisation des processus  
• Système d’alerting  
• Automatisation du cycle de vie du certificat