Et pourquoi les certificats d’attestation « maison » ne sont pas la solution

Face à l’arrivée imminente de Matter, les fabricants doivent préparer leurs appareils à recevoir le fameux logo aux trois flèches qui certifiera leur conformité à ce nouveau standard très attendu. En ce sens, les infrastructures à clés publiques (PKI) joueront un rôle prépondérant dans l’obtention de cette certification. Matter proposera dans son magasin de certificats une sélection de certificats racines délivrés par des autorités d’attestation de produit, plus connues sous le nom d’autorités de certification (AC). Ces tiers de confiance émettront des certificats d’attestation garants de l’interopérabilité et de la confiance des appareils certifiés Matter. À noter que l’attestation des appareils est indispensable à l’obtention de la certification Matter. Elle garantit en effet l’interopérabilité des équipements en attestant que :

1. L’appareil provient d’un fabricant de confiance
2. L’appareil est associé à une identité formelle qui facilite son suivi et son identification
3. Les appareils certifiés peuvent communiquer entre eux via des connexions authentifiées et validées

Pour obtenir la certification Matter, les fabricants doivent donc dans un premier temps se voir attribuer un certificat d’attestation pour chacun de leurs appareils.

Comment obtenir un certificat d’attestation

Il existe deux manières d’obtenir un certificat d’attestation : le fabricant peut soit établir sa propre racine de confiance pour émettre ses propres certificats, soit acheter un certificat émis par une racine de confiance du magasin Matter. La Connectivity Standards Alliance (CSA) est actuellement en train de définir les processus qui régiront la soumission et l’acceptation des racines dans le magasin Matter. Le processus d’acceptation s’annonce d’ores et déjà extrêmement difficile. Les candidats devront en effet répondre à un cahier des charges complet et rigoureux pour pouvoir prétendre à une intégration au magasin. En tant que leader de la confiance numérique, DigiCert a participé à l’élaboration de Matter dès les premières phases du projet, avec pour mission de garantir la sécurité du nouveau standard. Nous envisageons ainsi de faire partie des premières AC à établir une racine conforme aux exigences de Matter. Nous sommes d’ailleurs prêts à soumettre notre dossier dès que le processus d’acceptation sera ouvert. Vous vous demandez donc sûrement quelle est la meilleure solution pour l’attestation de vos appareils ? Émettre des certificats maison, ou faire appel à une racine de confiance déjà établie ? La réponse dans cet article.

Option 1 : établir sa propre racine de confiance

Devenir une AC certifiée Matter n’est pas une mince affaire. Vous devez répondre à un certain nombre de critères spécifiques et vous soumettre à des audits réguliers visant à vérifier votre conformité à toutes les exigences de confiance. À l’instar des transactions par carte de paiement sur Internet, le standard Matter impose en effet des audits, des autorisations et des processus rigoureux pour garantir la fiabilité du fabricant et la confiance numérique de ses appareils au sein de l’écosystème. Vous avez fait valider votre AC ? Votre travail est loin d’être terminé. Vous devez assurer son suivi, la mettre à jour et la gérer dans les règles de l’art. Car une racine compromise peut conduire à la compromission de tout l’écosystème PKI. D’où l’importance de mettre en place un monitoring permanent visant à prémunir votre AC contre les menaces et à garantir votre conformité aux standards au gré de leur évolution. Sur ce dernier point, le standard Matter n’en est aujourd’hui qu’à sa version 1.0. Il sera bien évidemment amené à évoluer au fil du temps. Pour éviter tout problème de conformité, les AC devront faire preuve de suffisamment d’agilité et de vigilance pour rester en règle. Enfin, passé un certain degré de complexité, gérer soi-même son infrastructure PKI devient incroyablement difficile. De fait, le modèle PKI « maison » revient à gérer manuellement le cycle de vie complet de vos certificats. Vous devez donc être attentif au moindre changement dans votre environnement. Une tâche d’autant plus difficile que les réseaux d’entreprise ne cessent de se complexifier et que les standards évoluent constamment. En d’autres termes, vous devez devenir un véritable expert de la PKI. Ce n’est pas tout : la gestion manuelle apporte son lot d’erreurs qui peuvent vous coûter cher sur les plans financier et réputationnel. Une PKI « maison » peut sembler à première vue la solution la plus économique. Mais si l’on tient compte du temps et des ressources nécessaires pour gérer ce modèle complexe, et des éventuelles conséquences d’une gestion lacunaire, la facture finale est souvent beaucoup plus élevée. Il existe heureusement une autre solution : l’option 2, qui consiste à faire appel à une AC déjà présente dans le magasin de certificats racines Matter.

Option 2 : employer une racine de confiance existante

Cette méthode vous permet d’obtenir beaucoup plus facilement les certificats dont vous avez besoin pour vos appareils. Les services PKI managés vous apportent de nombreux avantages : TTM (time-to-market) réduit, évolutivité simplifiée, conseil d’experts en PKI, etc. Ainsi, les fabricants qui choisissent de faire appel à une AC externe pourront bénéficier de toute l’évolutivité et l’automatisation nécessaires à leur conformité Matter. Selon une étude IDC, en misant sur des services PKI entièrement managés, les entreprises peuvent économiser près d’un million de dollars sur 5 ans. Pour résumer, un service PKI managé se révèlera plus économique sur le long terme, sans compter qu’il est beaucoup plus simple à déployer et à gérer. Les fournisseurs faisant appel à une AC de confiance Matter pour l’attestation de leurs appareils gagneront du temps, baisseront leurs coûts, s’épargneront du stress et accéléreront le lancement de leurs équipements certifiés.

Échangez avec nos experts de la confiance connectée

DigiCert aide les fabricants à se conformer au standard Matter plus rapidement, plus simplement et à plus grande échelle. Cloud, batch ou sur site : nous proposons des méthodes de provisionnement flexibles pour l’émission de vos certificats d’attestation d’appareil. Notre racine test vous permet également de mettre vos workflows à l’épreuve en préproduction. En outre, DigiCert sera l’une des toutes premières AC à établir une racine de confiance dans le magasin Matter. Plus besoin de créer une AC pour l’émission de certificats. DigiCert s’occupe de tout pour permettre aux fabricants d’accélérer leur TTM. DigiCert maîtrise tous les savoir-faire nécessaires pour gérer les programmes PKI les plus complexes. Notre expertise PKI s’étend désormais à la conformité Matter, grâce à notre participation assidue à l’élaboration du standard au cours des trois dernières années. Leader mondial de la confiance numérique, DigiCert vous permet d’accélérer le lancement à grande échelle de vos appareils certifiés Matter. Ce n’est pas tout, notre plateforme de gestion évolutive DigiCert® IoT Device Manager, facilite et accélère la gestion du cycle de vie de vos certificats pour chacun de vos appareils IoT. Accélérez la mise sur le marché d’objets connectés dotés du sceau de confiance Matter, sans avoir à mettre en place une PKI « maison ». Pour plus d’informations, rendez-vous sur https://www.digicert.com/fr/iot/matter-iot-device-certification.

À propos de DigiCert® IoT Device Manager

DigiCert IoT Device Manager offre un workflow complet et automatisé pour aider les entreprises à sécuriser leurs appareils IoT à l’aide de certificats numériques, de la fabrication jusqu’à leur exploitation en périphérie du réseau. Cette solution de gestion IoT offre l’évolutivité, la flexibilité, le contrôle et l’efficacité nécessaires à la mise en place d’un réseau d’appareils connectés. Les administrateurs peuvent ainsi suivre l’intégralité du cycle de vie de leurs certificats, faciliter le déploiement de mises à jour sécurisées et personnaliser les métadonnées des appareils concernés tout en garantissant leur conformité. Plutôt que de créer et de maintenir une infrastructure PKI autogérée, IoT Device Manager automatise les déploiements PKI pour simplifier la gestion d’un large réseau d’appareils. Enfin, la personnalisation des permissions et du contrôle des accès permet de segmenter l’administration en fonction de différents groupes d’utilisateurs. Intégrée à DigiCert ONE™, cette plateforme flexible peut être déployée sur site, en local ou dans le cloud, et ainsi satisfaire aux exigences les plus strictes en termes de conformité, d’intégrations personnalisées et d’airgap.