Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

90 jours-hommes et un demi-million de dollars US ? Les coûts cachés de la gestion de l’AC interne de votre client

novembre 2015 par GlobalSign

En confiant un nombre croissant de projets de sécurité aux experts, les entreprises délèguent à leurs fournisseurs informatiques la création de leur infrastructure à clés publiques (PKI) et sa maintenance opérationnelle. Présumant souvent – à tort – de la « gratuité » des Autorités de certification (AC) internes, les intégrateurs de systèmes s’engagent dans cette voie, ignorant les conséquences financières.

Estimation des efforts

Composés de parties mouvantes complexes, les projets de PKI sont également souvent concernés par des réglementations et bonnes pratiques. La réalité d’une AC interne est plus complexe qu’il n’y paraît. Outre les trois à quatre mois de préparation nécessaires, un projet quinquennal requiert, d’après nos estimations, 500 000 dollars US de budget de déploiement et de maintenance. Ces chiffres peuvent exploser pour les projets PKI de grande envergure lorsque, par exemple, des solutions de confiance publique sont également requises.

Avant d’établir un devis, l’entreprise doit bien prendre en compte l’ensemble des éléments suivants :

• Coûts logiciels et matériels : Si l’émission des certificats est gratuite, il n’en va pas de même pour les systèmes d’exploitation, les environnements de virtualisation, les serveurs d’AC, les serveurs de listes de révocation des certificats et de protocole de vérification en ligne des certificats (CRL/OCSP), les modules matériels de sécurité et les répartiteurs de charge.

• Documentation : Pour toute mise en production, plusieurs documents doivent être rédigés, approuvés et maintenus à jour durant le cycle de vie du projet. Une simple demande de changement doit faire l’objet d’une vérification complète.

• Conformité : La connaissance des réglementations sectorielles étant essentielle, les déclarations des pratiques de certification (DPC) et les processus correspondants doivent être mis en œuvre, et recouvrent tous les aspects allant de la sécurité des bâtiments à la formation du personnel.

• Ressources internes : Plusieurs équipes devront faire fonctionner l’AC (pas uniquement pour la préparation, mais également pour la maintenance et les mises à jour). Il est essentiel de budgétiser toutes les ressources (en heures-hommes), à savoir l’équipe d’infrastructure, les experts en cybersécurité et l’assistance technique pour maintenir les niveaux de services souhaités...

Les AC en mode SaaS comme levier de satisfaction client

Si l’on est un fournisseur informatique, on sait déjà que le respect des délais et du budget constitue le principal écueil d’un projet, mais également le vecteur de fidélisation client le plus rapide.

En confiant l’exploitation de son infrastructure PKI à une Autorité de certification externe, l’entreprise accélère sa mise en œuvre et supprime la charge associée à la maintenance d’une AC interne en termes d’administration et de ressources.

Lorsque l’entreprise délègue la gestion des quatre points listés plus haut à une AC publique, elle réduit le risque de violations de données et d’interruptions de service. Aujourd’hui, certaines AC proposent l’intégration avec Active Directory afin d’obtenir une solution PKI adaptée à l’ensemble de vos besoins.




Voir les articles précédents

    

Voir les articles suivants