Passez à l'automatisation de votre PKI
La gestion du cycle de vie des certificats (CLM) et l'infrastructure à clé publique (PKI) sont des termes qui peuvent faire rouler les yeux des vétérans de l'informatique les plus expérimentés. Chez GlobalSign, nous savons que c'est vrai, car nous discutons régulièrement de CLM et de la PKI et nous le voyons tout le temps. La PKI, c'est notre métier. Pour être honnête, nous ne sommes pas très doués pour les cocktails, mais comme avec un avocat obsédé par les affaires ou un comptable trop studieux, c'est ce qui fait que nous sommes bons dans ce que nous faisons.
Par ailleurs, nous sommes là pour vous aider à rationaliser et à automatiser votre PKI, comme nous le faisons depuis plus de 25 ans.
Tout le monde veut être autosuffisant jusqu'à un certain point. Mais si votre voiture a des problèmes, vous appelez un mécanicien. Au début de notre carrière, nous pouvons essayer de faire nos impôts nous-mêmes, mais lorsque nos finances deviennent plus compliquées, nous faisons appel à un comptable.
L'infrastructure à clé publique ("PKI") n'a jamais été aussi largement exploitée, ni aussi complexe, qu'aujourd'hui. Alors pourquoi une organisation, en particulier une entreprise, tenterait-elle de tout gérer seule ? Il est essentiel de savoir quand faire appel à des experts.
Auto-Enrollment Gateway (AEG) de GlobalSign est un outil omniprésent d'automatisation du cycle de vie des certificats qui peut atteindre l'ensemble du réseau d'une organisation, n'importe quel point final ayant besoin de certificats numériques et automatiser la gestion de l'ensemble de leur cycle de vie.
Nous sommes conscients qu'il s'agit d'une phrase interminable et qu'il y a beaucoup à dire. Dans ce blog, nous allons donc parler de l'évolution du paysage de la PKI, de l'effet que cela aura sur les organisations et nous allons examiner AEG plus en détail - notamment comment il peut rendre le réseau d'une organisation plus sûr, plus efficace et plus agile.
L'état actuel du paysage PKI
Lorsque nous disons que la PKI n'a jamais été aussi utilisée et complexe, nous voulons dire que les organisations n'ont jamais eu à gérer autant de certificats numériques qu'à l'heure actuelle.
Le cas d'utilisation de la PKI le plus connu est celui de SSL/TLS. Tout site web qui veut être reconnu par les navigateurs modernes nécessite désormais un certificat SSL/TLS émis par une autorité de certification (CA) de confiance. Mais au-delà des connexions sécurisées entre les serveurs web et les clients, la PKI est également utilisée :
- Pour crypter et authentifier le courrier électronique
- Pour signer numériquement des documents et des codes
- Pour l'authentification multifactorielle
- Pour vérifier l'identité des employés et des machines
- Pour sécuriser les connexions aux réseaux internes
- Faciliter les connexions par carte à puce
Quand on pense à la façon dont nous travaillons après le passage de Covid-19 - dans des environnements de travail de plus en plus distants et hybrides, la PKI devient rapidement le pilier du lieu de travail numérique, contribuant à sécuriser l'accès au réseau tout en facilitant l'authentification et le chiffrement dans de multiples contextes. Mais au-delà de cette évolution, deux facteurs externes majeurs sont à l'origine de l'explosion actuelle de l'utilisation des certificats PKI.
Réduction de la validité des certificats
Le CA/Browser Forum détermine les exigences de base que doivent respecter toutes les AC de confiance publique. Il se compose de plusieurs groupes de travail qui cherchent constamment à améliorer les normes de sécurité des certificats numériques. Au cours de la dernière décennie, la durée de vie, ou la validité, de ces certificats a été régulièrement réduite en raison de divers incidents de sécurité, ainsi que de préoccupations quant à la durée de confiance dans les informations qu'ils contiennent. Ces changements ont commencé avec les certificats SSL/TLS, dont la validité a été réduite à seulement 397 jours (13 mois), avant de s'appliquer à d'autres types de certificats comme S/MIME et Code Signing. Aujourd'hui, la meilleure pratique consiste à remplacer les certificats numériques au moins une fois par an, de nombreuses organisations choisissant de le faire plus fréquemment, tous les six mois.
Évidemment, une validité plus courte signifie une augmentation de la fréquence des tâches pour émettre de nouveaux certificats afin de remplacer les anciens et les installer sur tous les points finaux nécessaires. Cette tâche, qui n'était déjà qu'une fois tous les quelques ans, devient une charge de travail considérable pour votre personnel informatique, surtout si les dates sont échelonnées tout au long de l'année.
Utilisation étendue des clés
L'utilisation étendue des clés (EKU) est un autre domaine que le Forum CA/B a affiné. Dans les termes les plus simples possibles, les EKU font référence aux types de fonctions cryptographiques qu'une paire de clés ou de certificats donnée peut exécuter. Dans le passé, les organisations pouvaient délivrer à leurs employés des certificats numériques qui pouvaient remplir plusieurs fonctions. Par exemple, vous pouviez les utiliser pour effectuer l'authentification du client, signer et crypter le courrier électronique, et signer des documents en une seule fois. Malheureusement, la commodité de disposer de plusieurs EKU s'accompagnait d'un risque. Une clé compromise est bien plus dangereuse lorsqu'elle peut être utilisée à plusieurs fins plutôt qu'à une seule. C'est pourquoi, à l'avenir, les différents groupes de travail du CA/B Forum exigeront que chaque certificat n'ait qu'un seul EKU.
En pratique, cela signifie que lorsqu'un nouvel employé est embauché, vous ne pouvez pas lui délivrer un certificat numérique polyvalent pour tout. Vous devrez émettre trois certificats distincts avec l'EKU approprié.
Pour compliquer encore plus les choses...
Votre équipe informatique ne dispose probablement pas de la bande passante ou de l'expertise nécessaires pour gérer une PKI à grande échelle.
À l'heure actuelle, il existe un important déficit de compétences dans le secteur de la cybersécurité. Selon une étude réalisée par (ISC)2 en 2023, la pénurie de talents en matière de cybersécurité a augmenté de 26 % en 2022. Et si votre organisation fait partie des 43 % qui recherchent activement des talents en informatique/cybersécurité - vous en êtes parfaitement conscient.
Les équipes de sécurité sont déjà surchargées de travail et, selon Gartner, l'entreprise moyenne exécute et gère entre 50 et 70 programmes différents. Avec des organisations qui cherchent désespérément à trouver des talents, la PKI, qui est déjà un peu une niche, devient un ensemble de compétences " à avoir ", et non un " besoin à avoir ". Mais cela ne change rien au fait que la PKI est essentielle aux opérations quotidiennes et que la charge de travail ne fait que croître en même temps que votre organisation. Selon l'étude (ISC)2, s'il est difficile de trouver et de recruter de bons talents en matière de sécurité, il est tout aussi difficile de les garder.
Si vous n'automatisez pas la gestion des certificats et ne réduisez pas la charge de travail et la pénibilité, autant laisser la porte de votre entreprise ouverte, car la principale raison du départ des agents de sécurité est le trop grand nombre d'e-mails et de tâches fastidieuses.
Mais en plus de cela, s'ajoute...
Le facteur coût de la gestion de votre propre PKI
Outre les problèmes que nous venons d'évoquer concernant l'augmentation de la charge de travail et la difficulté de trouver le personnel adéquat pour gérer le tout, il y a aussi la question des coûts liés à la gestion de votre propre PKI. Mais il s'agit là d'un tout autre sujet de conversation, à tel point que nous avons un eBook dédié entierierement au sujet - pourquoi ne pas le consulter ci-dessous ?
AEG est un moteur d'automatisation des certificats
Maintenant que nous avons cerné le problème, parlons de la solution : AEG.
La passerelle d'inscription automatique se connecte à l'Active Directory de votre organisation et utilise une série de protocoles et d'intégrations, avec diverses plateformes de gestion des appareils mobiles (MDM), pour atteindre l'ensemble de votre réseau et gérer les certificats numériques sur tous les points finaux.
Les points finaux comprennent :
- Les identités des clients et des machines
- Certificats de courrier électronique sécurisé (S/MIME)
- Signature numérique
- SSL/TLS
- Authentification multifactorielle (MFA)
- Cartes-clés
Tout est géré par le biais d'un tableau de bord facile à utiliser où le cycle de vie complet des certificats pour chaque point d'extrémité de votre réseau peut être programmé et surveillé à partir d'un seul endroit.
AEG est alimenté par Atlas, la plateforme d'identité numérique de GlobalSign, conçue pour vous donner la flexibilité d'émettre des certificats privés à partir d'une racine intermédiaire dédiée, ou d'émettre des certificats numériques de confiance publique - c'est l'une des plus importantes raisons pour lesquelles il est préférable de travailler directement avec une AC de confiance. Avec plus de 25 ans d'expérience PKI et le leader mondial de la signature numérique, GlobalSign peut fournir les certificats. D'autres fournisseurs tiers peuvent offrir un cadre pour la gestion des certificats numériques mais vous devez toujours avoir un pipeline d'AC pour les émettre tous, en particulier SSL/TLS et S/MIME. Cela ajoute du coût et de la complexité.
AEG fournit non seulement le cadre pour gérer votre portefeuille de certificats numériques, mais aussi le pipeline.
De plus, nous sommes fiers d'annoncer que nous venons de sortir la version 7.9 !
Quoi de neuf dans AEG 7.9 ?
L'un des plus grands défis auxquels les organisations sont confrontées de nos jours est le BYOD (Bring Your Own Device). De plus en plus d'employés accèdent aux réseaux de l'entreprise en utilisant des appareils mobiles, des tablettes, des ordinateurs personnels, etc. Bien que de nombreuses entreprises aient une politique stricte en la matière, il est de plus en plus difficile de s'y tenir.
Dans AEG 7.9, nous sommes désormais totalement intégrés à Microsoft InTune, ce qui permet d'utiliser des clés et des certificats avec des appareils mobiles. Cela signifie que les employés peuvent accéder en toute sécurité aux ressources du réseau et lire des e-mails chiffrés sur leurs appareils mobiles sans avoir à ajouter encore plus de certificats. Dans les versions précédentes, nous avions déjà intégré JAMF, donnant à AEG la capacité complète de gérer les certificats numériques sur tout type d'appareil mobile, que ce soit iOS, Android ou Windows.
En outre, nous avons amélioré l'expérience utilisateur et donné aux administrateurs une meilleure visibilité sur leur mise en œuvre de la PKI en ajoutant des rapports réguliers. Alors que les rapports manuels étaient déjà disponibles via le tableau de bord, les rapports peuvent maintenant être programmés pour s'exécuter à intervalles réguliers et seront envoyés aux administrateurs concernés.
AEG dispose des outils nécessaires pour fournir un soutien puissant à la gestion de votre PKI, et l'automatisation n'a jamais été aussi nécessaire. L'automatisation de la PKI permet aux organisations d'économiser des coûts considérables, de réduire la charge de travail et d'améliorer la crypto-agilité et la posture de sécurité. Mieux encore, vous vous associez à GlobalSign, un leader mondial de la PKI, une AC de confiance publique et un fournisseur de services de confiance qualifié.
Vous n'êtes toujours pas convaincu ?
Lisez notre eBook sur les coûts cachés de l'AEG.
Plongez dans notre fiche technique pour plus de détails.
Ou contactez-nous pour nous dire ce que vous devez faire et nous vous montrerons comment AEG vous aide à le faire.