INTRODUCTION

Problématique : une complexité croissante et un risque omniprésent

La gestion de la confiance numérique ne cesse de se complexifier, exposant les entreprises à des risques considérables. Face à ce nouveau danger, toute l’IT se mobilise. Les équipes d’infrastructure renouvellent les certificats à une fréquence redoublée, conséquence directe du raccourcissement des périodes de validité et de l’évolution des environnements IT. Les équipes de gestion des identités et des accès (IAM) adoptent le Zero Trust en masse, tout en adaptant rapidement leur infrastructure aux spécificités du travail hybride. Les SecOps se préparent à l’arrivée des ordinateurs quantiques et s’inscrivent d’ores et déjà dans une optique de crypto-agilité. À la croisée de ces tendances, la confiance numérique, considérée autrefois comme un outil pratique mais secondaire, sort de l’ombre et s’impose comme un investissement stratégique majeur.

Zoom sur les nouveaux défis de la gestion des certificats :

Équipes d’infrastructure

Principaux enjeux : éviter les interruptions de service et réduire le
risque de perturbation

Les périodes de validité des certificats TLS raccourcissent à vue d’œil, accentuant par là même la pression sur les équipes d’infrastructure pour renouveler leurs certificats dans les temps et éviter les erreurs de configuration à l’origine des interruptions de service. Autre problème, face à la multiplication des cas d’usage, certains départements se procurent désormais leurs propres certificats à l’insu des équipes IT. Un manque de visibilité qui peut causer de nombreux préjudices : entorse aux politiques d’émission, mauvaise gestion des certificats de systèmes critiques, etc.

Gestion des identités et des accès (IAM)

Principaux enjeux : protéger les utilisateurs et les appareils à grande échelle

Les architectures Zero Trust redéfinissent en profondeur les concepts d’identité et d’authentification dans les entreprises. Basé sur le principe de « ne jamais faire confiance, toujours vérifier », le concept Zero Trust a transformé la manière dont les entreprises protègent leurs utilisateurs, leurs appareils, leurs données et leurs e-mails. Ce changement est d’autant plus palpable que le télétravail s’est généralisé, ouvrant une ère où les collaborateurs exigent un accès fluide et sécurisé aux ressources de leur organisation directement depuis chez eux. Face à ce nouveau paradigme, les entreprises poursuivent 5 objectifs majeurs : 1) améliorer l’expérience utilisateur, 2) alléger la charge de travail IT, 3) gérer de nouveaux cas d’usage, 4) stimuler l’adoption à tous les niveaux et 5) renforcer la sécurité en accélérant le provisionnement et la révocation de certificats.

SecOps

Principaux enjeux : crypto-agilité et correction accélérée des vulnérabilités

Le risque de compromission est plus présent que jamais. Pour s’en prémunir, les SecOps ont besoin d’architectures de confiance numérique capables d’anticiper les nouvelles menaces et vulnérabilités, mais aussi de s’adapter aux changements des standards cryptographiques et réglementaires. En tête de file, l’informatique quantique qui promet de bouleverser l’univers IT. Les entreprises doivent se préparer dès maintenant à ce raz-de-marée en investissant dans des stratégies de cryptographie pour l’ère post-quantique.

1re PARTIE

Les avantages et les inconvénients des pratiques CLM actuelles

La gestion du cycle de vie des certificats (CLM, Certificate Lifecycle Management) offre une visibilité et un contrôle centralisés sur tout le portfolio de certificats numériques des entreprises. Une aubaine dans un contexte marqué par l’omniprésence du risque et le resserrement des exigences. Avant l’arrivée sur le marché de la solution DigiCert(R) Trust Lifecycle Manager, les organisations n’avaient que deux options. La première, utiliser les fonctionnalités de gestion proposées par une autorité de certification (AC) et conçues pour un cas d’usage (ou un ensemble de cas d’usage) bien particulier. La seconde, recourir à un logiciel de gestion tiers compatible avec toutes les AC.

Le problème de ces deux options, c’est qu’elles n’offrent qu’une solution partielle aux enjeux actuels. La première ne couvre pas toutes les ressources de confiance numérique de l’entreprise. Quant à la seconde, elle ne tient pas toujours les promesses de fiabilité et de résilience généralement associées à une architecture mieux intégrée. Car lorsqu’on abstrait la gestion AC de l’infrastructure AC sous-jacente, il devient alors difficile de remonter jusqu’à la source des problèmes affectant les systèmes. Ce n’est pas tout. Certains logiciels sont conçus autour d’un workflow unique, compatible avec un seul cas d’usage. Ce manque de polyvalence oblige les entreprises à investir à grands frais dans des services professionnels, un modèle peu rentable sur le long terme.

Bref, si ces systèmes CLM offrent un début de réponse, ils sont loin d’être une panacée. Les entreprises ont besoin d’une solution unifiée et mono-fournisseur qui leur permettra de gérer l’intégralité de leur portfolio de confiance numérique avec toute la fiabilité et la résilience d’une couverture opérationnelle « full-stack ». L’objectif est triple : s’adapter aux particularités des différents cas d’usage, réduire la charge administrative et renforcer la sécurité. Des problématiques de taille auxquelles les solutions CLM traditionnelles n’ont pas su répondre.

2e PARTIE

La CLM fait place à la TLM : une seule lettre qui fait toute la différence

Désormais, la CLM fait place à la TLM (Trust Lifecycle Management) pour couvrir tous les aspects de la confiance numérique. Tour d’horizon de cette nouvelle approche :

1. Centralisation de la gestion du cycle de vie et de l’émission des certificats de toutes les AC. Pourquoi est-ce important ? Avec les solutions « full-stack », un seul fournisseur est responsable de la fiabilité et de la résilience des systèmes métiers critiques de l’entreprise. Ces solutions peuvent être étendues à d’autres AC selon les besoins. L’entreprise cliente a alors la garantie que ces points d’intégration sont conçus par des ingénieurs versés en PKI et maîtrisant tous les rouages opérationnels des AC.
2. Administration centralisée de l’émission des certificats publics et privés. Pourquoi est-ce important ? Nous l’avons vu, les entreprises investissent en masse dans la confiance numérique, autour d’une stratégie unifiée visant à résoudre les problématiques liées à la complexité et au risque croissant. Plus question de se borner à un seul département ou à un seul cas d’usage. Les organisations doivent désormais pouvoir gérer tous les aspects de la confiance de façon centralisée.
3. Gestion du cycle de vie des certificats et services PKI unifiés. Pourquoi est-ce important ? La CLM présente deux lacunes majeures : elle ne prend en charge ni l’ensemble des technologies utilisées par les équipes IAM, ni les workflows gouvernant les cycles de provisionnement et de révocation des utilisateurs.

DigiCert Trust Lifecycle Manager est la première solution du marché à répondre à cette problématique. Ses fonctionnalités de pointe couvrent toute la gestion de la confiance numérique, de A à Z. Plus qu’un simple outil de gestion du cycle de vie des certificats, DigiCert Trust Lifecycle Manager permet aux entreprises de gérer de façon centralisée leurs initiatives stratégiques de confiance numérique.

3e PARTIE

Les fonctionnalités de DigiCert Trust Lifecycle Manager

Certaines fonctionnalités se révèlent essentielles pour lutter
contre la complexité ambiante et le risque omniprésent.
 

Fonctionnalités de gestion du cycle de vie des certificats

Recherche
DigiCert Trust Lifecycle Manager offre un référentiel centralisé de tous vos certificats publics et privés, mais aussi une visibilité et un contrôle opérationnels granulaires.

Vous pouvez ainsi suivre en continu l’intégralité de votre portfolio de certificats, où qu’ils soient et quelle que soit la ressource qu’ils protègent. Les fonctionnalités de recherche sont primordiales pour garantir l’intégrité des certificats à tous les niveaux, du cœur de l’organisation jusqu’aux frontières mouvantes de son périmètre.

Gestion et notification
Le système d’alerte identifie les mesures à prendre pour prévenir l’expiration de certificats ou corriger les vulnérabilités.

La surveillance continue de l’ensemble du portfolio réduit les interruptions de service causées par les expirations imprévues, les vulnérabilités non détectées et les activités non autorisées.

Automatisation
La solution DigiCert limite les interventions humaines dans le provisionnement et le renouvellement des certificats, ce qui non seulement simplifie le processus mais aussi réduit les erreurs.

En automatisant les tâches manuelles et les workflows métiers, elle réduit la charge de travail de vos équipes et facilite le provisionnement à grande échelle. Au menu : Zero Touch Provisioning, modèles de certificat prédéfinis et règles d’accès conformes à la politique de sécurité.

Intégration
Gérez toutes vos AC dans une seule et même solution qui agit en parfaite interopérabilité avec vos systèmes métiers.

DigiCert propose un large éventail d’intégrations : outils de gestion des changements, services d’annuaire, UEM/MDM, CMS, HSM et toutes les technologies gouvernant les utilisateurs, serveurs, documents, appareils ou DevOps. Vous bénéficiez en prime de capacités de personnalisation via une API REST.

Fonctionnalités pour les services PKI

Création rapide d’AC et d’AC intermédiaire
Configuration en fonction des besoins des différentes unités opérationnelles

Profils de certificats préconfigurés et personnalisables
Pour les utilisateurs, les appareils et les serveurs

Enrôlement et authentification flexibles
Méthodes manuelles et automatisées

Intégration aux technologies IA
UEM/MDM, CMS, Active Directory et bien d’autres encore

L’importance d’une architecture intégrée

Les entreprises doivent porter une attention particulière à leurs intégrations, essentielles pour couvrir à la fois les technologies et les cas d’usage propres à l’entreprise. Voici quelques exemples d’intégrations pouvant améliorer vos workflows :

Prise en charge des protocoles
Les protocoles permettent aux entreprises d’échanger des données selon les standards en vigueur. SCEP, EST, ACME, CMPv2… tous ces protocoles assurent l’interopérabilité des programmes de certificats avec différentes technologies. Les organisations peuvent ainsi maximiser leurs investissements dans leurs systèmes existants et les inclure dans leur stratégie de confiance numérique.

Clients
Les applications client résolvent la problématique de l’installation et de l’automatisation sur le dernier kilomètre. La plupart des applications déployées sur les postes de travail et les ordinateurs portables des utilisateurs finaux sont paramétrées sur la base des besoins spécifiques de l’entreprise. Les outils installés sur les clients se révèlent en ce sens extrêmement utiles pour les équipes IT : scripts d’installation sur mesure, automatisation de l’installation sur le dernier kilomètre et des renouvellements, application de la politique de sécurité en matière de MFA et de mots de passe… Toutes ces fonctionnalités fluidifient le processus d’installation et de renouvellement des certificats applicatifs. De son côté, l’utilisateur final ne se rend compte de rien et peut apprécier une expérience de qualité, sans interruption.

Passerelles
Certaines architectures on-prem interdisent toute connexion directe entre, d’une part, les utilisateurs et les serveurs d’une entreprise et, d’autre part, les ressources situées en dehors de son périmètre. La passerelle peut alors servir d’intermédiaire (proxy) entre les deux pour traiter ces demandes en toute sécurité.

Intégrations natives
Les intégrations natives apportent une myriade de capacités clé en main qui réduisent le besoin de développer manuellement des personnalisations PKI. Les modèles de certificats préconfigurés de DigiCert s’intègrent ainsi nativement à des technologies de pointe comme Intune, Windows Hello Entreprise ou ServiceNow pour alléger la charge de travail des administrateurs. Ces derniers n’ont en effet plus besoin de créer manuellement leurs intégrations, sans parler des recherches que cela implique.

API
Les API permettent aux entreprises de personnaliser leurs intégrations en fonction de leurs systèmes propriétaires ou dans le cadre de stratégies d’automatisation.

Pour s’adapter aux spécificités et à l’évolution de chaque workflow au sein de l’organisation, les API doivent faciliter les intégrations fiables, flexibles et profondes, y compris en natif.

CONCLUSION

TLM – La gestion de la confiance en entreprise fait sa révolution

De l’administrateur inquiet pour le renouvellement des certificats à l’équipe IAM préoccupée par les vulnérabilités ou les problèmes d’authentification, en passant les responsables SecOps chargés de la remédiation des problèmes, chaque maillon de la chaîne de sécurité a tout à gagner d’une approche stratégique de la gestion de la confiance.

Plus qu’un simple outil ou une liste de tâches à réaliser, la TLM unifie la gestion du cycle de vie des certificats et les services PKI, avec le triple avantage de protéger les ressources de l’entreprise, de simplifier les workflows et de s’inscrire dans une démarche de crypto-agilité. Bref, ce nouveau modèle réinvente l’approche de la gestion des certificats, tant sur le plan théorique que pratique.