Dans un monde professionnel et personnel transformé par le numérique, d’innombrables transactions s’appuyant sur des données sensibles sont effectuées en ligne. Les progrès des technologies numériques se sont accompagnés d’une augmentation des actes de cybercriminalité, tant par leur fréquence que par leur diversité. Face à l’explosion de l’Internet des Objets (IoT) et la prolifération des points de terminaison distants, il est devenu indispensable de renforcer la sécurité des sites web.
Mais ce n’est pas tout. Google a récemment annoncé un changement dans la présentation de la sécurité aux utilisateurs, ainsi qu’une réduction de la période de validité des certificats SSL/TLS, ce qui constitue assurément pour les équipes IT le point le plus problématique.
Dans cet article, nous nous pencherons sur le rôle joué par les certificats SSL/TLS et en quoi ils sont si importants. Nous évoquerons également comment un outil d’inventaire de certificats, comme Atlas Discovery, peut vous aider à avoir une vue d’ensemble de tous les certificats en place dans votre organisation.
Les certificats SSL/TLS garantissent la sécurité de vos sites web
Aujourd’hui, la plupart des sites web ainsi que tous les grands navigateurs exigent des certificats numériques SSL/TLS. Les certificats TLS (Transport Layer Security) constituent la forme de certificats SSL (Secure Sockets Layer) la plus avancée, bien que les deux termes soient employés ensemble ou de façon distincte. Ces certificats chiffrent les données privées transmises afin de renforcer la sécurité et la confidentialité des utilisateurs. Le concept de « confiance numérique » repose sur trois piliers : le chiffrement, la sécurité et l’identité. Cette triade s’applique aux interactions et conjugue les mesures de sécurité SSL/TLS, PKI (Public Key Infrastructure) et IoT (Internet of Things).
Les certificats SSL/TLS vérifient à qui appartient un site web et établissent la confiance des utilisateurs en authentifiant le serveur et le domaine. Ils empêchent efficacement les attaques par usurpation de nom de domaine et leurs conséquences potentiellement désastreuses. L’absence de certificat de sécurité SSL/TLS sur un site web peut coûter cher. En effet, les navigateurs les plus courants affichent généralement la mention « Non sécurisé » dans la barre d’adresse, ce qui dissuade les utilisateurs de mener leur transaction à terme et d’interagir à l’avenir avec l’entreprise concernée.
En validant l’identité d’un site web, les certificats contribuent à rassurer les utilisateurs. Les règles de conformité PCI/DSS de l’industrie des cartes de paiement relatives à la protection des données requièrent également l’intégration de certificats SSL/TLS. Toutes les entreprises qui stockent, traitent ou transmettent des données sensibles et confidentielles relatives aux cartes de paiement doivent être conformes à la norme PCI.
Mauvaise gestion des certificats : attention danger !
Bien que les certificats apportent des garanties essentielles et robustes de sécurité, d’intégrité et d’authenticité, leur omniprésence a engendré un inconvénient majeur. La gestion des certificats est devenue un véritable casse-tête du fait de la pénibilité du suivi manuel et des erreurs qui découlent d’une méconnaissance et d’un manque flagrant de visibilité sur l’inventaire.
Assortis d’une date d’expiration, les certificats sont généralement valables pendant 1 à 3 ans (même si cette durée est vouée à changer). Or, lorsqu’une entreprise n’a plus aucune visibilité sur le nombre de ses certificats, leur origine et leurs dates d’expiration, les conséquences peuvent être dramatiques. Aussi, pour éviter les pannes et les arrêts de leurs sites web, elles doivent impérativement pouvoir suivre les durées de validité et les dates d’expiration de tous leurs certificats. Sans suivi efficace, les entreprises s’exposent à des pertes de revenus et à une érosion de la confiance de leurs clients et utilisateurs.
Selon le rapport de KeyFactor et du Ponemon Institute « State of Machine Identity Management Report » réalisé en 2022, 81 % des organisations ont, au cours de ces deux dernières années, subi au moins deux défaillances majeures de leurs sites suite à l’expiration de certificats. L’expiration de certificats SSL/TLS déclenche des avertissements dans les navigateurs. Conséquences ? Outre une possible baisse du trafic sur le site, ces mises en garde peuvent être préjudiciables pour l’image de marque de l’entreprise qui peut également se retrouver dans le viseur des organismes de réglementation. Lorsqu’un message d’avertissement s’affiche, alertant les utilisateurs d’une menace pour la confidentialité de leurs données, ils se voient offrir la possibilité de cliquer sur un bouton pour revenir à un environnement sécurisé (« Back to Safety »). Une grande majorité clique et évite à l’avenir de revenir sur le site. Tout cela à cause de l’expiration d’un seul certificat !
En plus de détecter les problèmes d’expiration, la gestion des certificats doit permettre de repérer la présence de certificats fantômes. Il s’agit de certificats numériques qui peuvent être introduits par les collaborateurs de l’entreprise. Laissés sans surveillance, ils sont exposés à de multiples risques et invisibles aux yeux des équipes IT et de sécurité. Or, pour avoir une visibilité sur l’ensemble des certificats en cours d’utilisation, leurs dates d’expiration et leurs procédures de renouvellement ou d’ajout, il est indispensable de suivre rigoureusement les inventaires de certificats. Dans le rapport Machine Identity Report, 57 % des personnes sondées indiquaient qu’avoir une visibilité complète sur tous les certificats était une priorité absolue.
Avec l’outil d’inventaire de certificats Atlas Discovery, tous les certificats sont localisés
La gestion des certificats est un travail difficile qui nécessite des effectifs importants. Pour une gestion optimale des certificats, il faut connaître l’autorité de certification (CA) de chaque certificat, identifier où il a été mis en place, savoir quelle est sa date d’expiration, ainsi que le cryptosystème utilisé, la longueur de la clé et l’algorithme.
Atlas Discovery, qui fait partie de la plate-forme PKI cloud nouvelle génération de GlobalSign, affiche tous les certificats SSL/TLS de votre réseau, internes et publics, quelle que soit l’autorité de certification émettrice. Une fois Atlas Discovery configuré, l’outil scanne les points de terminaison choisis pour y rechercher les certificats et s’assurer qu’ils sont protégés. Les certificats sur le point d’expirer s’affichent sur le tableau de bord Atlas Discovery pour vous permettre de les suivre, puis de préparer leur renouvellement.
L’outil d’inventaire de certificats Atlas Discovery offre des avantages essentiels et complets :
- Recherche et surveillance de tous les certificats SSL/TLS internes et publics, toutes autorités de certification émettrices confondues, y compris les certificats auto-signés à partir d’un emplacement central.
- Suivi facile de la source et de l’AC émettrice de tous vos certificats.
- Localisation de tous les certificats fantômes achetés hors processus d’approvisionnement standard.
- Respect des exigences de base et des bonnes pratiques grâce aux critères d’affichage des certificats — longueur de clé, algorithme et leur durée de validité.
- Gains de temps et économies de ressources grâce à la suppression de la surveillance manuelle.
