Les entreprises utilisent les infrastructures à clé publique (PKI, Public Key Infrastructure) pour communiquer et échanger des données en toute sécurité. Mais, face à une véritable prolifération de terminaux divers et variés, elles s’interrogent sur la capacité des infrastructures PKI à prendre en charge ces nouveaux écosystèmes sans pour autant devenir un fardeau. La dernière version du portail AEG de GlobalSign apporte une réponse avec une solution PKI entièrement automatisée et gérée qui s’applique à pratiquement tous les terminaux, et centralise l’ensemble de l’activité liée aux certificats dans une entreprise.

Le logiciel AEG fonctionne comme un connecteur entre le service de certificats en mode SaaS de GlobalSign et l’environnement serveur d’une entreprise. Il simule certains aspects d’une Autorité de Certification (AC) tout en transférant l’ensemble des demandes d’enregistrement à GlobalSign. Les entreprises gardent ainsi le contrôle de leurs utilisateurs et de leurs règles, tandis que GlobalSign gère la sécurité, la haute disponibilité et l’activité opérationnelle de l’AC. Jusqu’à présent, le portail AEG ne pouvait être utilisé que par les entreprises qui fonctionnent en environnement Windows. Outre la prise en charge du protocole ACME (Automatic Certificate Management Environment), la nouvelle version gère aussi mieux le protocole SCEP (Simple Certificate Enrollment Protocole). Les entreprises qui fonctionnent dans des environnements mixtes (serveurs Linux, clients Apple OS X) avec des milliers de terminaux mobiles et de réseaux peuvent ainsi enregistrer et gérer automatiquement leurs certificats numériques.

Nouvelles fonctionnalités de la version 3.0 du portail AEG de GlobalSign :

• Prise en charge des terminaux en environnements mixtes : le portail automatise l’émission et la gestion de certificats pour les terminaux avec domaine (utilisateurs, machines et serveurs Windows) et sans domaine (serveurs Linux, appareils mobiles, équipements réseaux...)

• Archivage et récupération de la clé : lors de la demande de certificat, la clé privée est envoyée de manière sécurisée sur un serveur local spécifié dans la demande de certificat, pour y être archivée. Cruciaux dans les scénarios avec messageries sécurisées (S/MIME), l’archivage et la récupération de clé permettent d’éviter de perdre définitivement des données chiffrées dans le cas où la clé de chiffrement originale ne serait plus disponible.

• Prise en charge des appareils mobiles et des équipements réseau : le portail permet d’émettre des certificats pour des objets non associés à un domaine (comme les routeurs, terminaux mobiles, et machines qui ne tournent pas sous Windows) grâce aux fonctionnalités du serveur SCEP. L’enregistrement peut s’effectuer par le biais d’un site Web (enregistrement manuel) ou d’une plateforme de gestion de terminaux mobiles (MDM, Mobile Device Management) directement connectée au serveur SCEP pour l’émission des certificats destinés à leurs terminaux mobiles.

• Prise en charge du protocole ACME : un logiciel ACME existant peut être utilisé pour automatiser l’assignation et l’installation de certificats SSL sur les serveurs Linux de l’environnement concerné. L’implémentation ACME de GlobalSign prend en charge les certificats SSL OV et EV qui offrent des garanties de sécurité supérieures, avec des périodes de validité flexibles.

Au service de la sécurité de l’entreprise mobile

La prédominance du BYOD en entreprise — tous ces appareils mobiles qui appartiennent à l’entreprise ou aux employés à titre personnel — a conduit à une explosion du nombre d’attaques contre les réseaux d’entreprises par le biais d’appareils compromis. Dans ce contexte, jamais l’authentification mobile n’aura représenté un enjeu aussi crucial. Il est pourtant parfois compliqué pour une entreprise qui comptabilise plusieurs centaines ou milliers d’appareils d’automatiser l’assignation de certificats sur sa flotte mobile. Pour permettre aux utilisateurs internes et externes d’accéder en toute sécurité à leurs terminaux mobiles, GlobalSign s’est associé avec les deux leaders de la gestion de terminaux mobiles. Grâce à cette collaboration avec Airwatch et MobileIron, GlobalSign a pu rendre le déploiement de certificats sur les terminaux mobiles plus aisé. Les intégrations évitent aux équipes informatiques d’avoir à installer et gérer manuellement les certificats sur les terminaux de chacun des employés. Outre un allègement de la charge administrative, le coût total de possession s’en trouve également réduit.

En se connectant directement au service hébergé de GlobalSign pour la gestion des certificats, les entreprises ont accès aux plateformes MDM et EMM (Enterprise Mobility Management) qui leur permettent d’automatiser de bout en bout l’assignation et la gestion de leurs certificats. L’utilisation de certificats numériques sur les terminaux mobiles permet de :

• Chiffrer et signer des e-mails — le chiffrement et la signature numérique des e-mails protègent la confidentialité des données sensibles et attestent de l’origine des messages.
• Authentifier les e-mails — l’authentification des e-mails permet de se protéger des intrusions et de restreindre l’accès aux serveurs de messagerie de l’entreprise aux seuls appareils autorisés
• S’authentifier pour les connexions VPN et Wifi — le remplacement du classique « ?nom d’utilisateur et mot de passe ? » trop vulnérable par une authentification multi-facteurs lors des connexions aux réseaux Wifi et VPN d’entreprise permet de restreindre l’accès aux réseaux de l’entreprise aux seuls appareils approuvés.