La PKI Microsoft ADCS est conçue pour être utilisée par des services Windows et non pour des demandes externes ou d’autre nature. Voyons le moyen d’étendre l’efficacité et l’agilité de votre PKI Microsoft ADCS avec BerryCert, un moteur intelligent de gestion des certificats.
Avec son composant Active Directory Certificate Services (ADCS), Microsoft apporte une solution d’infrastructure à clés publiques (PKI) totalement intégrée à l’écosystème Windows. Microsoft ADCS permet de créer et de gérer les certificats numériques utilisés par vos utilisateurs, serveurs ou équipements réseaux.
Renouveler l’expérience utilisateur
Interface utilisateur et supervision
Votre PKI Microsoft ADCS propose une interface uniquement compatible avec Internet Explorer jusqu’à la version 11, de plus, ses fonctionnalités sont limitées et elle manque d’ergonomie.
- La solution BerryCert propose une interface graphique intuitive centrée sur l’expérience utilisateur : des tableaux de bord pour la supervision, des fonctions de tri et de sélection, des exports ainsi que des rapports d’audit.
- La gestion des rôles permet de proposer des interfaces contextualisées à chaque utilisateur, de paramétrer des usages, de faciliter les demandes et les révocations de certificats numériques vers la PKI Microsoft ADCS.
Simplification des demandes de certificats par des politiques d’émission
La demande de nouveaux certificats via les outils Microsoft est complexe. L’utilisateur choisit des gabarits de certificats, des tailles de clés, par l’intermédiaire d’outils dont la technicité n’est pas simple pour les utilisateurs.
- BerryCert masque cette complexité en proposant des options métiers aux utilisateurs permettant de faire des choix éclairés en toute autonomie. Ces choix sont paramétrés via des politiques d’émission qui font le lien entre la PKI (AC, gabarit de certificat) et une politique de conformité BerryCert.
Développer les usages
Registration Authority (RA) déportée
Vous souhaitez mettre en place des workflows d’approbation des demandes de certificats dans la PKI Microsoft ADCS ?
Cela nécessite un accès au serveur hébergeant l’AC (autorité de certification) car l’approbation se fait sur une interface locale.
Il est recommandé de n’exposer son AC qu’au plus petit nombre de personnes possible, or, la fonction RA se confond avec la fonction d’AC dans la PKI Microsoft ADCS. Il faut donner un accès au serveur de PKI pour gérer les approbations des demandes, ce qui est déconseillé.
- Avec BerryCert, les administrateurs peuvent configurer des parcours utilisateurs en gérant les droits d’approbation en dehors du serveur d’AC. La solution se positionne en tant que RA déportée de la PKI Microsoft afin de gérer la validation des identités des demandeurs.
Rôles et Organisation
- BerryCert offre la possibilité de définir des profils utilisateurs en leur attribuant des droits unitaires sur les ressources. Cela permet de respecter le principe du moindre privilège. Cette définition des rôles est conforme aux normes en vigueur : eIDAS, RGS et CC.
- Il est possible de configurer des périmètres fonctionnels pour cloisonner les données métiers de chaque groupe d’utilisateurs, ce qui n’est pas faisable avec la PKI Microsoft ADCS seule. En fonction des droits et des habilitations, chaque utilisateur peut ainsi demander un certificat en se basant sur une politique d’émission prédéfinie.
Mettez en place des workflows d’approbation sur mesure
- Grâce à son moteur de workflow, BerryCert propose une interface personnalisable qui permet ainsi aux organisations de configurer les processus liés à la gestion de leurs certificats numériques.
- BerryCert apporte des possibilités de personnalisation plus grandes sur les approbations (gestion des organisations, notifications, approbations en masse par exemple).
Renforcer l’exploitabilité
Autorité de séquestre
Dans la PKI Microsoft ADCS, le système de séquestre des clés est difficile à maintenir dans la durée sans risque. En effet, les clients sont exposés à une perte des clés séquestrées en cas de départ d’un utilisateur ayant le rôle d’agent de recouvrement car le système de séquestre utilise des moyens cryptographiques liés à des utilisateurs plutôt que des moyens cryptographiques centralisés pour le chiffrement et le recouvrement des clés.
- BerryCert à l’opposé, propose une gestion centralisée du chiffrement des clés et lie sa gestion à un rôle, ce qui permet une administration plus simple des clés. La solution permet d’utiliser une clé de chiffrement centralisée dans un HSM garantissant un plus haut niveau de sécurité.
Paramétrage des notifications des administrateurs
Dans votre PKI Microsoft ADCS les possibilités de notifications sont assez limitées, avec un canal unique par email et des destinataires fixes (souvent une boîte aux lettres partagée). Il existe peu de possibilités de customisation au niveau de l’email en question.
- Avec BerryCert, les notifications proposées sont multicanales : email, notification interne, outil de ticketing, etc. Elles permettent une définition des destinataires et de la fréquence d’envoi. Vous pouvez ainsi veiller à la transmission des bonnes informations relatives aux statuts des certificats aux personnes concernées et ce, sans surcharger pour autant leurs boîtes emails avec des communications inutiles.
Centralisez et automatisez la configuration des AC
Une autorité de certification dans la PKI Microsoft ADCS équivaut à une configuration sur un serveur donné.
En cas de gestion de multiples AC, il est donc nécessaire de répliquer les mêmes configurations sur les autres serveurs.
Il y a un risque d’écart entre les configurations de chaque serveur, ce qui complexifie au final leur gestion.
- BerryCert permet de gérer plusieurs AC Microsoft, en appliquant simplement les mêmes configurations.
En plus d’AC Microsoft, BerryCert peut gérer vos autres PKI à travers une interface unifiée. Les utilisateurs ont ainsi la possibilité de simplifier leurs demandes de certificats via des usages métier.
Rapprochez vos équipes de sécurité de vos équipes d’exploitation
Avec votre PKI Microsoft ADCS, vous serez en mesure de contrôler qui effectue des demandes de certificats. Cependant elle ne permettra pas de vérifier, à postériori, qu’un certificat n’est déployé que sur une seule application et ainsi réduire les risques de sécurité en cas de compromission de la clé.
- BerryCert, grâce à son système de supervision continue des certificats déployés dans vos applications, permet à vos équipes de sécurité de détecter de multiples installations d’un certificat et ainsi de lever des alertes auprès des équipes d’exploitation.
En résumé
- La PKI Microsoft ADCS a été conçue pour des services Windows et non pour des demandes externes ou d’autre nature.
- Il est possible de libérer la performance, la sécurité et l’exploitabilité de votre PKI Microsoft ADCS grâce à un moteur de workflow.
- Celui-ci complètera parfaitement les limitations de votre PKI, en centralisant et en automatisant la gestion de vos certificats.
- De plus vous pourrez adresser avec une même solution vos autres PKI ou effectuer vos opérations de migration de PKI.
Réduction de la durée de vie des certificats numériques et RGS : nouveau casse-tête ?
Face à des certificats numériques à la durée de vie de plus en plus courte, le secteur public et certaines entreprises soumises au référentiel général de sécurité (RGS) sont confrontées au double...
Authentification des utilisateurs : vers un monde sans mot de passe
Sécuriser les systèmes d’informations des organisations sans dégrader l’expérience utilisateurs est un véritable défi dans un contexte d’augmentation des menaces. L’authentification multifactorielle...
NIS 2 et DORA : les solutions CLM au service de la conformité
L’Union européenne étoffe progressivement le cadre juridique visant à protéger les organisations, publiques comme privées, et les rendre plus résilientes face aux risques de cyberattaque. La...