Réduisez les risques avec l'infrastructure PKI

Qu'est-ce que la PKI?

L'infrastructure à clés publiques (PKI) repose sur un ensemble de processus, de technologies et de politiques qui permettent de chiffrer et de signer des données. Vous pouvez alors émettre des certificats numériques pour l'authentification de vos utilisateurs, de vos appareils et de vos services. Ces certificats établissent des connexions sécurisées pour vos pages web publiques, mais aussi vos systèmes privés (VPN, Wi-Fi interne, pages Wiki et autres services compatibles avec l'authentification multifacteur). Des questions?

FAQ

Qu'est-ce que la PKI?

L'infrastructure à clés publiques (PKI) repose sur un ensemble de processus, de technologies et de politiques qui permettent de chiffrer ou de signer des données. Vous pouvez alors émettre des certificats numériques pour l'authentification de vos utilisateurs, de vos appareils et de vos services. Ces certificats conviennent tant aux pages web publiques qu'aux services internes privés (authentification d'appareils connectés à votre VPN, votre Wiki, votre Wi-Fi, etc.).

Mon entreprise devrait-elle utiliser la PKI?

L'infrastructure à clés publiques (PKI) renforce considérablement le niveau de sécurité de votre réseau. C'est parce qu'elle assure trois missions clés:

• Authentification – Validation des identités afin de limiter les accès aux seuls utilisateurs et appareils autorisés.
• Chiffrement – Création de sessions chiffrées à l'aide d'un certificat pour une transmission privée des informations.
• Intégrité des données – Prévention des modifications non autorisées des données ou messages échangés entre des appareils et des serveurs.

Comment utiliser la PKI?

Parmi les principaux cas d'usage de l'infrastructure PKI:

• Sécurisation de pages web
• Chiffrement de fichiers
• Authentification et chiffrement des e-mails avec S/MIME
• Authentification des nœuds connectés à un réseau sans fil
• Authentification des connexions à votre VPN
• Authentification des connexions à vos sites et services renfermant des données d'entreprise à l'aide de l'authentification mutuelle TLS

Qu'est-ce que le chiffrement intégral?

Le chiffrement intégral consiste à chiffrer un message sur votre appareil et à le déchiffrer sur celui de votre destinataire. Ainsi, aucun tiers ne peut intercepter vos données sensibles.

Qu'est-ce qu'une AC?

Une Autorité de certification (AC) désigne un tiers de confiance qui vérifie l'identité d'une organisation demandeuse d'un certificat numérique. Après cette vérification, l'AC émet un certificat et rattache l'identité de l'organisation concernée à une clé publique. Vous pouvez faire confiance à un certificat numérique, car il est lié au certificat racine de l'AC.

Qu'est-ce qu'un certificat numérique?

Un certificat numérique atteste de l'identité de son titulaire. Comme une carte d'identité, ce certificat a été émis par un tiers de confiance il ne peut pas être falsifié et contient des informations permettant d'identifier son détenteur.

Qu'est-ce que les clés publiques et privées et quelle est leur relation?

Les clés publiques et privées servent à chiffrer et déchiffrer des informations. Seule la clé privée correspondante peut déchiffrer les informations chiffrées par une clé publique. Pour désigner l'action de cette paire de clés, on parle de cryptographie asymétrique (parce que le chiffrement repose sur deux clés différentes). Les deux clés sont mathématiquement liées, mais il est impossible de trouver l'une à l'aide de l'autre.

Qu'est-ce que les racines publiques et privées?

Un certificat racine fournit la signature qui établit la relation entre une identité et une clé publique. C'est ainsi que vous pouvez vous assurer de la validité et de la fiabilité d'un certificat.

DigiCert offre-t-elle des solutions PKI publiques et privées?

Pour faire court, oui. DigiCert propose des solutions pour les infrastructures PKI privées et publiques, adossées à une plateforme et une API RESTful pour vous permettre d'automatiser la gestion de certificats et de personnaliser vos workflows PKI. Jusqu'ici, peut-être n'avez-vous eu affaire qu'à une AC commerciale pour acheter des certificats SSL publics. Peut-être pensez-vous donc que les certificats privés ont le même coût que les certificats publics. Détrompez-vous. Avec DigiCert, vous pouvez émettre un certificat numérique privé pour une fraction du prix d'un certificat public.

Certains administrateurs et ingénieurs en sécurité pensent à tort qu'une PKI privée hébergée ne leur donnera accès qu'à certains profils de certificats – ceux approuvés par le CA/Browser Forum. En réalité, DigiCert vous fournit tous les profils de certificats dont vous avez besoin, même s'il ne s'agit pas de profils de certificats SSL/TLS ou X.509.

Qu'est-ce qu'une solution MPKI?

Managed PKI (MPKI) désigne une solution fournie par une AC, qui vous permet d'automatiser vos processus de certificats et de personnaliser vos workflows PKI. Si votre entreprise a besoin d'un grand nombre de certificats, elle a tout intérêt à opter pour une solution MPKI afin de simplifier la gestion de ces certificats.

Est-il préférable de créer une AC interne (« maison ») ou d'utiliser une AC hébergée (payante)?

Vous pouvez sécuriser vos services internes (VPN, Wi-Fi, Wiki, etc.) à l'aide d'une AC interne. Les organisations ont généralement recours à Microsoft CA. Toutefois, la création et la maintenance d'une AC interne peuvent coûter cher et prendre du temps. Il est donc important d'envisager l'impact financier de chaque option avant de vous décider. De nombreuses AC offrent des solutions hébergées qui vous permettent d'économiser sur les coûts RH, matériels et logiciels liés à la création de votre propre PKI interne.

Qu'est-ce qu'une politique de certificats?

Une politique de certificats (CP) recense les différents acteurs d'une infrastructure PKI, leur rôle et leurs responsabilités. Elle indique comment utiliser les certificats, comment les nommer, comment générer les clés et énonce bien d'autres pratiques encore. En règle générale, la CP associée à un certificat X.509 est citée dans l'un de ses champs. Pour de plus amples informations sur les CP, consultez le dernier document de référence sur le sujet (RFC 3647): https://tools.ietf.org/html/rfc3647

En quoi le stockage des clés consiste-t-il?

Le stockage des clés, souvent appelé archivage des clés, consiste à conserver la clé privée de manière sécurisée pour parer aux pertes. Pour vous conformer à la norme FIPS et atteindre un niveau de sécurité maximal, nous vous recommandons de stocker vos clés à l'aide d'un module de sécurité matériel (HSM).

Qu'est-ce qu'un module HSM?

Un module HSM est une solution cryptographique matérielle de stockage sécurisé des clés. En règle générale, ces modules sont installés sur site et leur maintenance mobilise des ressources en interne. Cela peut s'avérer coûteux, mais des options moins chères existent. Par exemple, Microsoft Azure Key Vault propose un stockage sécurisé de vos clés dans le module HSM cloud de Microsoft. Si vous êtes une petite entreprise ou que vous n'avez pas les moyens d'acheter et de maintenir votre propre module HSM, Microsoft Azure Key Vault est fait pour vous. Certaines AC publiques, y compris DigiCert, offrent des intégrations à Microsoft Azure.

Par où commencer pour créer une infrastructure PKI?

Vous devrez d'abord évaluer votre environnement, vos besoins et vos technologies existantes. Nous vous conseillons de procéder en cinq étapes:

• Identifiez vos impératifs en matière de sécurité réseau
• Identifiez les risques de sécurité réseau que la PKI peut réduire
• Trouvez le juste équilibre entre PKI publique et privée
• Choisissez entre une AC interne (« maison ») et une AC hébergée (payante)
• Planifiez l'automatisation des déploiements de certificats sur vos appareils

Besoin d'aide? Contactez l'un de nos architectes PKI par e-mail à l'adresse enterprise@digicert.com.