Pour s’adapter face à l’émergence de nouveaux enjeux, le marché des PKI évolue. Dans l’ensemble du secteur, de nouvelles initiatives entrent en vigueur ou sont proposées. Objectif : poursuivre la lutte contre les nouvelles menaces et relever les défis croissants pour la sécurité de l’information.
Ces offres peuvent accroître la pression sur les équipes informatiques, les enjoignant à sécuriser leurs organisations tout en se conformant à ces nouvelles exigences et réglementations. Quels sont ces changements et ces offres ? Comment les équipes IT et Sécurité peuvent-elles s’y préparer ? C’est ce que nous allons voir dans cet article.
- Exigences de base concernant S/MIME
- Proposition de réduction de la durée de validité des certificats à 90 jours
- Fin annoncée de la confiance de Mozilla vis-à-vis des anciens certificats racine
- Pourquoi ces changements sont-ils importants ?
- Rôle de l’automatisation pour les équipes IT face aux prochains changements pour la sécurité des PKI
Exigences de base concernant le S/MIME
Depuis le 1er septembre, un nouvel ensemble de normes applicables aux certificats S/MIME (Secure/Multipurpose Internet Mail Extension) s’applique. Les nouvelles exigences de base (Baseline Requirements) définies par le Forum des autorités de certification et des navigateurs (CA/B Forum) exigent que les autorités de certification (AC) fournissent une validation organisationnelle ou individuelle supplémentaire pour les certificats S/MIME. La mesure normalise les protocoles de validation à l’ensemble du secteur afin d’améliorer la sécurité, la confidentialité et l’intégrité des communications en ligne.
Les changements prévoient quatre types de validation : au niveau de la boîte de réception (Mailbox), de l’organisation (Organization), du commanditaire (Sponsor) et de la personne (Individual). Trois générations de S/MIME – Legacy, Strict et Multipurpose – seront introduites par le CA/B Forum afin de définir les profils des certificats et le cadre dont les certificats relèvent, en vertu des nouvelles exigences.
S/MIME est un protocole qui permet d’envoyer des e-mails chiffrés à l’aide de signatures numériques. L’origine des courriers électroniques peut ainsi être vérifiée par une signature qui garantit également l’intégrité du message. Le chiffrement assure quant à lui la confidentialité et la sécurité des expéditeurs et destinataires. Ces exigences visent à protéger la vie privée des utilisateurs, à valider l’identité des utilisateurs et à maintenir un équilibre entre la sécurité et la compatibilité , tout en permettant aux utilisateurs de conserver le contrôle de leurs adresses électroniques.
Cliquez ici pour en savoir plus sur les exigences de base applicables aux S/MIME
Proposition de réduction de la durée de validité des certificats à 90 jours
En mars 2023, Google a fait part de ses projets de raccourcir la durée de vie des certificats SSL/TLS en plafonnant leur validité à 90 jours. Bien qu’aucune date de mise en œuvre n’ait été arrêtée, ces projets, s’ils se confirmaient, marqueraient un tournant décisif dans ce secteur .
Cette proposition s’inscrit dans une tendance générale de réduction de la durée de vie des certificats SSL/TLS. L’objectif des acteurs du secteur de la cyber est de limiter les risques d’attaques malveillantes contre les organisations. A l’origine, la validité maximale des certificats SSL/TLS était de cinq ans, mais elle a été réduite à plusieurs reprises, pour aboutir à la durée actuelle de 398 jours, soit 13 mois.
En savoir plus sur la proposition de changer la durée de validité
Fin annoncée de la confiance de Mozilla vis-à-vis des anciens certificats racine
Mozilla a annoncé son intention de ne plus faire confiance aux anciens certificats racine S/MIME et SSL/TLS à compter de 2025. Les certificats S/MIME verront leurs bits de confiance supprimés après une période de 18 ans – période qui sera de 15 ans pour les certificats SSL/TLS. Cette décision intervient à l’heure où le navigateur cherche à améliorer l’agilité cryptographique au sein du secteur et à garantir que toutes les hiérarchies de racines d’AC respectent les exigences en matière de certificats racine.
Actuellement, de nombreux anciens certificats racine d’AC ne respectent ni la politique des magasins de racines de Mozilla, ni les exigences de base du CA/B Forum. Avec ce changement, Mozilla met en évidence la nécessité de faire constamment évoluer la sécurité et les politiques sectorielles pour s’adapter aux nouvelles exigences et aux nouveaux défis. En d’autres termes, les hiérarchies d’AC deviennent obsolètes au fil de ce processus. En actualisant sa politique de racine, Mozilla s’assure que les hiérarchies d’AC continuent de s’adapter aux exigences changeantes du secteur et des navigateurs, garantissant ainsi leur pleine conformité.
Pourquoi ces changements sont-ils importants ?
Ces changements auront un effet bénéfique sur la posture de sécurité des entreprises et la sécurité sur Internet. Mais pour les équipes informatiques responsables de la sécurité organisationnelle, la pression devrait s’intensifier lorsqu’elles devront s’organiser face à ces nouvelles exigences.
Bon nombre d’entre elles vont ainsi devoir actualiser leurs procédures de sécurité. Et pour les équipes IT qui gèrent leur sécurité manuellement, la tâche s’annonce délicate, notamment quand elles stockent et suivent leurs inventaires de certificats à l’aide de tableurs. Ces nouvelles modifications et propositions ont été faites pour encourager les organisations à évaluer l’état actuel de leur sécurité. Les équipes informatiques qui utilisent des procédures obsolètes vont devoir rattraper leur retard, faute de quoi elles risquent de compromettre la sécurité et l’infrastructure de leur entreprise.
Rôle de l’automatisation pour les équipes IT face aux prochains changements sur la sécurité PKI
C’est en automatisant la gestion de leurs certificats que les équipes IT pourront gérer efficacement leur sécurité, en tenant compte des changements et des nouvelles propositions. Aujourd’hui, nombreuses sont les équipes qui gèrent encore manuellement leurs certificats. Problème : cela représente, pour les responsables informatiques et leurs collaborateurs, une charge et une pression supérieures, d’autant plus que les réductions budgétaires dans le domaine de la cybersécurité entraînent une baisse des ressources pour les équipes informatiques.
Pour gérer la sécurité des entreprises, les équipes IT n’auront d’autre choix que de recourir à l’automatisation. D’un côté, l’automatisation de la gestion des certificats contribuera à renforcer la posture de sécurité des entreprises. De l’autre, elle conduira à une meilleure traçabilité des responsabilités en matière de sécurité, en redistribuant plus efficacement les tâches liées à la gestion des certificats.
