Les certificats électroniques sont le moyen le plus sûr pour établir des canaux de confiance entre les différents nœuds et réseaux d’une organisation.
Une mauvaise configuration de certificat ou un certificat non conforme peut exposer le système d’information à deux risques :
- Un accès non autorisé à des ressources sensibles.
- Un arrêt de services de production (machine, site web, plateforme e-commerce, applications, etc.).
Un audit de certificats est nécessaire pour construire un inventaire de certificats, avoir une vision claire de l’ensemble de son parc de certificats, garantir la sécurité des communications et assurer la disponibilité des services.
À quoi sert un audit de certificats numériques ?
L’objectif principal d’un audit de certificats électroniques est de fournir un aperçu détaillé sur les actifs d’une infrastructure.
L’audit de certificat permet aussi de déterminer tous les émetteurs de certificats au sein d’une infrastructure afin de s’assurer qu’aucun certificat numérique frauduleux ne soit émis.
Un scan de certificats numériques est un balayage de différents services d’une infrastructure pour découvrir tous les certificats utilisés et les répertorier. Il est généralement composé de plusieurs scans de certificats sur le réseau, les serveurs et les postes d’utilisateurs.
Le résultat d’un scan de certificats numériques doit contenir plusieurs informations sur ces derniers :
- L’emplacement du certificat électronique sur le système de fichier
- L’application utilisant le certificat
- Le type de certificat numérique
- La date d’expiration
- La chaine de confiance
Quel type d’audit de certificats numériques effectuer et pour quel résultat ?
L’audit de certificats implique l’exécution de plusieurs types de scan de certificats électroniques. De plus, il est aussi nécessaire de vérifier leur conformité selon les politiques de sécurité de l’entreprise.
Type de scan de certificats numériques :
- Scan réseau
- Scanner des adresses IP, URL sur un ou plusieurs ports pour récupérer les certificats
- Scan filesystem
- Scanner les systèmes de fichiers des serveurs pour récupérer les certificats
- Scan d’applications
- Parser le(s) fichier(s) de configuration d’une application (serveurs web, serveurs d’application …) pour récupérer les certificats
La cartographie du parc de certificats numériques est la première étape du processus de gestion du cycle de vie des certificats numériques.
Garder une trace des certificats manuellement est possible, mais cela pose plusieurs problèmes. Tout d’abord c’est couteux en termes d’argent, de temps et de ressources humaines. De plus, suivre les certificats sur un tableur peut exposer des risques de sécurité et de pannes liées à l’erreur humaine. Enfin, le suivi manuel du cycle de vie des certificats réduit fortement la scalabilité de l’infrastructure.
De plus, maintenir une gestion manuelle devient de plus en plus compliqué. Dans chaque organisation, nous observons une hausse significative du volume de certificats. En 2020 en France, le nombre de certificats émis a bondi de 73% ! Sans oublier, que la durée de validité d’un certificat numérique tend à se réduire de plus en plus. En prenant en compte la hausse du volume et la baisse de la durée de vie du certificat, une gestion manuelle devient un véritable casse-tête et une source d’erreurs.
Les scans de certificats permettent de balayer l’ensemble du réseau de l’entreprise pour identifier et répertorier les certificats numériques utilisés par les nœuds du réseau et ainsi construire un inventaire de certificats.
Les certificats permettent d’identifier et authentifier les machines ou les personnes d’une organisation. Ils permettent aussi d’établir des canaux sécurisés de communication entre les réseaux interconnectés au sein d’une organisation ou entre plusieurs organisations.
L’interconnexion des réseaux d’une organisation implique que la sécurité et la disponibilité de l’ensemble du réseau repose sur la sécurité et la disponibilité de chaque nœud, d’où la nécessité de scanner régulièrement l’infrastructure pour assurer le suivi des certificats et la gestion de leurs cycles de vie.
Pour résumer, un scan de certificats permet :
- La construction d’un inventaire de certificats.
- L’identification des serveurs et applications proposant des services sur le réseau.
- D’assurer la sécurité des communications entre les différents nœuds du réseau.
- De garantir la disponibilité du réseau et des services.
La construction d’un inventaire de certificats permet la vérification de la conformité du certificat selon les politiques de sécurité de l’entreprise.
Audit de certificats numériques : que faut-il scanner exactement ?
Scan réseau : pour scanner les certificats électroniques de serveurs web ou applications
Un scan réseau a pour but de récupérer le(s) certificat(s) exposé(s) par un ou plusieurs serveurs web ou applications. Le scan réseau peut balayer un ou plusieurs ports de services. Le scan réseau repose sur les TLS Handshake pour récupérer les certificats.
Les serveurs web peuvent être utilisés en deux modes lors d’un scan de certificats
- Serveur web pour proposer des services ou applications web.
- Proxy inversé devant une ou plusieurs applications ou services.
Les serveurs web les plus connus sont : NGINX et APACHE. Les serveurs d’applications exposent la logique métier aux applications client via divers protocoles, y compris éventuellement HTTPS.
Les serveurs d’application les plus connus sont : JBoss/Wildfly ou Apache Tomcat.
Un scan de serveur web ou d’application est en réalité un scan des fichiers de configuration pour récupérer les certificats utilises par le serveur web ou d’application.
Ne pas oublier le scan du répartiteur de charges…
Un répartiteur de charge est généralement installé au sein d’une infrastructure dédiée, physique ou virtuelle. Comme le scan de serveur web, un scan de répartiteur de charges est un scan de configuration pour récupérer les certificats utilisés par le répartiteur de charges.
Penser à scanner vos magasins de confiance pour auditer votre parc de certificats numériques
Un magasin de confiance est un bundle de plusieurs certificats d’AC racine en générale (mais peut conteneur des certificats d’AC intermédiaire).
Un magasin de confiance contient des certificats des d’autorités de certification qui ont singé les certificats des autres parties avec lesquelles les systèmes prévoient de communiquer. Ces autorités de certifications permettent d’identifier et authentifier les autres parties des communications.
Plusieurs systèmes utilisent les magasins de confiances :
- Système d’exploitation
- Serveurs web/applications
- Répartiteurs de charges
- Librairies cryptographiques
- Bios
- Navigateurs web
- Etc.
Faire l’inventaire de vos certificats numériques avec un scan de système de fichiers
Un scan de système de fichier parcourt le système de fichier d’un système d’exploitation pour récupérer et répertorier les certificats.
Les certificats émis par les autorités de certifications : scanner les répertoires publics des AC
Les autorités de certifications publient les certificats émis sur une base de données ou un répertoire public. Il est nécessaire de récupérer ces certificats pour avoir une vue globale sur les certificats émis et leur utilisation dans l’infrastructure.
Fédérateurs d’identité et serveur d’authentification
Les fédérateurs d’identité et serveur d’authentification peuvent contenir des certificats des utilisateurs pour les authentifier.
Comment réaliser un audit de certificats numériques ? Quels sont les outils indispensables ?
Un scan de certificats réussi nécessite de balayer le réseau de l’organisation et de scanner les différents objets de l’infrastructure : système d’exploitation, serveurs web, les magasins de confiances, les AC, etc.
Le résultat de ces scans permet de :
- Construire automatiquement un inventaire de certificats.
- Avoir une vue globale sur l’utilisation des certificats par les différents services et utilisateurs de l’infrastructure.
- Assurer la sécurité et la disponibilité des services.
Il existe plusieurs outils pour faire un scan de certificats, mais malheureusement tous les outils ne permettent pas d’organiser les résultats d’une manière lisible au décideurs (administrateurs, officier de sécurité, RSSI, DSI…). De plus, le scan ou découverte de certificats ne représente que la première étape de gestion de cycle de vie des certificats.
Chez Digitalberry, nous avons développé un outil CLM (Certificate Lifecycle Management). BerryCert permet, entre autres, de cartographier le parc de certificats électroniques. Il scanne, découvre, répertorie et analyse les certificats numériques. De ce scan en ressort un inventaire de certificats que l’on peut piloter simplement via un dashboard offrant une vue globale du parc et des actions à mener.
BerryCert ne s’arrête pas uniquement à la cartographie, il alerte, pour vous éviter les fameuses interruptions de services liées à un certificat numérique en cours d’expiration. Il simplifie leur gestion : demandes, renouvellements, révocations de certificats électroniques.
De plus, BerryCert calcule le score de conformité de chaque certificat selon les recommandations des agences de cybersécurité (ANSSI, NSA, NIST …), les différents standards de sécurité (ETSI et eIDAS, ISO 27001 …) et les politiques internes de sécurité.
Réduction de la durée de vie des certificats numériques et RGS : nouveau casse-tête ?
Face à des certificats numériques à la durée de vie de plus en plus courte, le secteur public et certaines entreprises soumises au référentiel général de sécurité (RGS) sont confrontées au double...
Authentification des utilisateurs : vers un monde sans mot de passe
Sécuriser les systèmes d’informations des organisations sans dégrader l’expérience utilisateurs est un véritable défi dans un contexte d’augmentation des menaces. L’authentification multifactorielle...
NIS 2 et DORA : les solutions CLM au service de la conformité
L’Union européenne étoffe progressivement le cadre juridique visant à protéger les organisations, publiques comme privées, et les rendre plus résilientes face aux risques de cyberattaque. La...
