Aujourd’hui, les entreprises transfèrent une partie (ou la totalité) de leur infrastructure vers le cloud et doivent s’appuyer sur des PKI on-premise pour pouvoir délivrer des certificats aux ressources basées sur le cloud. Ce n’est pas encore tout à fait optimal. En effet, si en l’état actuel une PKI ne peut pas mettre l’entreprise en péril, elle reste un rouage important de l’organisation générale. Dans ce contexte, Keyfactor dresse la liste des raisons qui doivent pousser les entreprises à moderniser leurs infrastructures PKI et les étendre à des usages plus innovants et agiles ?

Raison 1 : Prendre en charge de nouveaux cas d’usage
Alors que de nouvelles technologies et workloads émergent et se généralisent, les plateformes PKI en place se révèlent souvent limitées fonctionnellement voir obsolètes (ex PKI sur Windows Server 2012), et excluent toute montée en capacité permettant de nouvelles applications telles que :
Le DevOps : La conteneurisation, l’automatisation et les architectures de micro-services sont autant d’innovations qui peuvent révolutionner l’entreprise, mais elles reposent toutes sur des certificats et dépendent d’une PKI moderne et efficace.
L’IoT : Des appareils médicaux aux voitures, les fabricants d’équipements IoT ont besoin d’une PKI moderne pour délivrer des identités de machine uniques à des centaines de milliers de produits et signer le code qui assurera leur fonctionnement à chaque mise à jour.
Nouvelles exigences : Le nouveaux mode de travail ou les besoins en conformité pour accéder aux documents et logiciels quel que soit son lieu de travail, vont probablement pousser le recours aux certificats et exiger une plus grande flexibilité et un meilleur contrôle de l’infrastructure de clés publiques en entreprise.

Raison 2 : Mettre en conformité les certificats avec la gouvernance cryptographique pour mieux les maîtriser
Pour répondre aux nouveaux cas d’utilisation, les déploiements PKI deviennent de plus en plus complexes, car les équipes utilisent toujours plus de certificats. En l’absence d’une stratégie PKI globale, une visibilité et une cohérence réduites entraveront les performances et engendreront des difficultés. Lorsqu’elles sont en silos, les différentes équipes acquièrent leurs propres autorités de certification « auto-signées » sans se soucier de la manière dont les autres gèrent leur PKI. Les administrateurs et les développeurs informatiques créent des certificats auto-signés sans les documenter et ils sont utilisés sans aucune gouvernance, bonnes pratiques ou politiques. Cela augmente le risque de certificats inconnus (et par conséquent non gérés, non conformes) qui peuvent rendre inopérants un service ou une application lorsqu’ils expirent. Le rapport 2023 State of Machine Identity Report de Keyfactor a révélé qu’une entreprise moyenne gère environ 255 000 certificats mais qu’un seul peut suffire à mettre brutalement à l’arrêt son activité.

Raison 3 : Assurer l’évolutivité
Lorsque la PKI n’existait qu’on-premise, elle pouvait être gérée par une solution robuste telle qu’Active Directory. Mais depuis que les entreprises adoptent les services cloud, elles le font souvent sans aucune stratégie. En l’absence de politiques, de pratiques ou de normes propres à l’entreprise, les équipes cloisonnées adoptent des solutions ponctuelles en fonction de leurs besoins. Le rapport 2023 State of Machine Identity Report révèle que les entreprises se retrouvent donc avec une moyenne de neuf autorités de certification différentes. Heureusement, il existe plusieurs voies possibles pour faire évoluer une infrastructure PKI dans le cloud de manière efficace et concise. Elle peut être en mode SaaS/cloud (déployée, hébergée et gérée dans le cloud par l’entreprise), hybride (déployée, hébergée et gérée sur site puis intégrée avec les services cloud) ou administrée (déployée, hébergée et gérée dans le cloud par un tiers expérimenté).

Raison 4 : Simplifier la gestion PKI
La plupart des personnes interrogées dans le cadre du rapport (53 %) ont déclaré que leur entreprise ne disposait pas de suffisamment de ressources ou de personnel pour déployer et gérer leur PKI de manière efficace. Les profils spécialisés en infrastructures à clés publiques, rares et très demandés, sont en effet difficiles à recruter et onéreux à conserver. La propriété de la PKI peut soit être attribuée aux équipes informatiques (29%), aux équipes de sécurité (24%), aux responsables de la gestion des identités et des accès (15%) ou à l’infrastructure (14%).
La PKI étant une spécialité de niche extrêmement technique, il existe très peu d’experts dédiés. Les équipes informatiques et de sécurité n’ont d’ailleurs probablement pas les connaissances nécessaires pour éviter les faux pas. Sans parler de la difficulté de gérer la PKI en plus de leurs responsabilités de base. Si les entreprises sont souvent obligées de confier la PKI à ces équipes, elles doivent s’efforcer de réduire autant que possible la charge que cela implique, grâce à un contrôle centralisé, à de l’automatisation et à des solutions de gestion clés en main facilitant l’exploitation.

Raison 5 : Éviter les pannes
Bien que la PKI soit un élément de niche dans l’infrastructure de l’entreprise, elle affecte tout le monde via des pannes et des interruptions d’activité. Toujours selon l’étude State of Machine Identity Report, les entreprises ont subi trois pannes liées à des certificats au cours des 24 derniers mois. Plus de la moitié d’entre elles ont d’ailleurs gravement perturbé les services dédiés aux clients. Les certificats expirés font d’importants dégâts au sein de l’entreprise. Lorsque les AC et les certificats prolifèrent, il faut plus de temps pour analyser l’infrastructure afin de localiser le certificat expiré et identifier tous les emplacements où il a été installé. L’équipe dédiée doit ensuite redémarrer l’activité, corriger les systèmes puis renouveler et réémettre le certificat. Sans moyen de détection des certificats et d’automatisation de leur renouvellement, il est impossible d’anticiper leur expiration, et la gestion de leur cycle de vie devient fastidieuse.

Comment préparer sa PKI pour le cloud
De nombreuses entreprises profitent de la mise en œuvre du cloud pour moderniser et désencombrer leur infrastructure, et la PKI ne fait pas exception. La modernisation de l’infrastructure de clés publiques peut améliorer la sécurité, offrir une plus grande souplesse pour répondre à un plus grand nombre de cas d’utilisation et donner aux équipes dédiées plus de bande passante pour s’occuper des tâches à forte valeur ajoutée. Les environnements cloud se diversifient de plus en plus, notamment avec la montée en puissance du cloud hybride et des infrastructures sur site et multi-cloud. Pour avoir une meilleure approche de la PKI, les entreprises doivent adopter des solutions et des plateformes permettant de faciliter l’ensemble de leur stratégie cloud et répondant à leurs potentiels futurs besoins. La solution idéale doit également offrir une gamme d’options de services, qu’une entreprise souhaite continuer à gérer la PKI tout en utilisant l’infrastructure de la solution ou qu’elle souhaite se décharger complètement de la PKI par le biais d’un modèle SaaS. Ces services peuvent permettre aux entreprises d’accéder à des compétences en matière de PKI, sans avoir à recruter d’experts en interne.