« Quoi que vous fassiez, ne vous fiez pas aux solutions maison du type tableurs comme beaucoup continuent à le faire. Nous sommes en 2020 ! »

Pour un RSSI, il y a énormément de points à prendre en compte. La bonne gestion des processus d’identification et d’authentification constitue toutefois l’une des nombreuses mesures de sécurité essentielles pour une entreprise. Le meilleur moyen d’optimiser cette gestion reste encore d’utiliser une infrastructure à clés publiques (PKI), qui permet d’émettre des certificats de chiffrement, d’identification et d’authentification tant pour les utilisateurs que pour les machines.

Parmi les certificats SSL/TLS qui confirment l’identité des services IT, il faut distinguer les certificats d’authentification utilisés pour les communications inter-machines des certificats de signature de code qui garantissent la légitimité et l’intégrité des logiciels et fichiers binaires.

Quant aux utilisateurs, ils ont recours aux certificats pour s’authentifier auprès de leurs services d’entreprise, mais aussi signer des documents et des e-mails afin de rassurer leur destinataire sur leur identité et l’authenticité de leur message. À cet égard, de nouvelles technologies comme la carte à puce virtuelle de Microsoft Windows fournissent d’excellentes solutions transparentes et centralisées d’identification et d’authentification forte basées sur les certificats.

Certes, les entreprises doivent veiller à ce que chaque collaborateur et chaque machine possède un certificat d’identification. Mais il est également primordial de gérer correctement le cycle de vie de ces certificats. Les déboires tout récents de Microsoft Teams en sont la preuve. Au début du mois de février, un certificat d’authentification du fameux produit a en effet expiré. Résultat : un service indisponible pendant au moins trois heures et des utilisateurs incapables de se connecter à leur environnement Microsoft Teams dans le monde entier.

À vrai dire, Microsoft n’est pas la seule entité à subir les conséquences d’un oubli de renouvellement de certificat. Ces dernières années, LinkedIn, Pokemon Go, le parti conservateur du Royaume-Uni et même la Maison-Blanche ont tous fait les frais d’expirations de certificats intempestives ayant conduit à l’indisponibilité de leurs services.

Au-delà de la gêne occasionnée, ces pannes peuvent réellement nuire à la productivité. En effet, sans un certificat valable, il est impossible d’envoyer des données puisque rien ne peut confirmer l’identité de l’expéditeur ou du destinataire.

Peut-être certains accueilleront-ils ces mises en garde avec scepticisme. Toutefois, les suggestions suivantes peuvent réellement aider les entreprises à mieux gérer leurs certificats, quel que soit le type d’autorité de certification qu’elles utilisent actuellement.

Avant toute chose, il est nécessaire d’anticiper coûte que coûte l’expiration des certificats.

Voici quelques conseils :

Gestion de certificats : empêcher leur expiration

Effectuer régulièrement un inventaire complet de ses certificats : Portail de gestion de son AC, alertes par e-mail, synchronisation des périodes de renouvellement... On pense sans doute que rien ne nous échappe. Or, il suffit qu’un certificat inconnu expire pour que l’ensemble de la sécurité de l’entreprise soit mis en danger. L’entreprise doit donc réaliser une analyse complète de ses réseaux (interne et public) afin de ne rien manquer, y compris ce certificat inconnu qu’un développeur a commandé et qui doit être renouvelé.

Utiliser le portail de gestion de certificats de son AC : La plupart des autorités de certification proposent une interface de gestion qui permet à ses utilisateurs de visualiser tous les certificats commandés et de rechercher ceux sur le point d’expirer. Et si une AC n’offre pas ce type de service, il est peut-être temps d’en changer.

Consulter l’adresse e-mail à laquelle les certificats sont rattachés : Il est essentiel de s’assurer d’avoir configuré par défaut la réception d’e-mails de rappel réguliers à l’approche de la date d’expiration d’un certificat. Toutefois, ces rappels ne serviront à rien si l’on ne consulte que rarement, voire jamais, la boîte de réception concernée.

Utiliser une solution PKI managée entièrement automatisée pour le provisionnement et la gestion de ses certificats : Il faut que l’entreprise puisse émettre et gérer facilement ses certificats publics de confiance tout au long de leur cycle de vie, y compris lors de leur renouvellement. L’organisation économisera ainsi de précieuses ressources IT et réduira les risques d’expiration intempestive.

Faire appel à une AC qui permet de contrôler facilement ses besoins en certificats, en un seul clic : Les entreprises ont tout intérêt à veiller également à ce que l’AC prenne en charge leurs multiples départements et divisions métiers dans le cadre d’un seul et même compte global.

Mais surtout, quoi que l’on fasse, il ne faut pas se fier aux solutions maison du type tableurs comme beaucoup continuent à le faire. Nous sommes en 2020 ! Les risques de cette méthode sont tels que l’on ne sera jamais tranquille. Untel peut oublier de mettre à jour un fichier. Tel autre peut accidentellement remplacer des informations correctes par des données erronées. Pire encore, l’entreprise pourrait tout perdre si son système tombait en panne. Pour gérer ses certificats, mieux vaut donc miser sur une solution de notre époque.

Même dans un département IT et sécurité mature, il arrive que les collaborateurs perdent la trace de leurs clés et certificats lorsque ces derniers sont gérés manuellement. En suivant ces recommandations et en automatisant sa gestion de certificats, l’entreprise gardera la main.