Selon l’enquête DigiCert 2021 sur l’automatisation PKI, les entreprises qui dépendent encore de processus manuels peinent à faire face à la croissance des volumes de certificats numériques

septembre 2021 par DigiCert

DigiCert, Inc., annonce la publication de son enquête 2021 sur l’automatisation PKI. Selon cette étude, une entreprise type gère plus de 50 000 certificats PKI de confiance publics et privés. Or, une gestion manuelle d’un tel volume de certificats peut entraîner des interruptions de service coûteuses. Deux tiers des entreprises interrogées ont ainsi subi des pannes dues à des expirations inopinées de certificats, tandis que 25 % ont connu cinq à six pannes de ce type au cours des six derniers mois seulement. Ces deux problématiques, entre autres, suscitent un vif intérêt pour l’automatisation PKI.

Les entreprises les plus en pointe sont six fois plus nombreuses à avoir déjà mis en œuvre une solution d’automatisation. Elles respectent leurs engagements SLA en matière de PKI et affichent de meilleures capacités à détecter et signaler elles-mêmes les problèmes.

En outre, près de deux tiers des entreprises participantes se disent préoccupées par le temps passé à gérer les certificats et déplorent leur manque de visibilité. Autre constat : dans 37 % des entreprises, au moins trois départements se partagent la gestion des certificats, ce qui engendre forcément de la confusion. Toujours selon l’enquête, une entreprise type compte jusqu’à 1 200 certificats non gérés. De fait, près de la moitié (47 %) des entreprises reconnaissent découvrir fréquemment des certificats non autorisés, c’est-à-dire implémentés hors de tout cadre de gestion et à l’insu du département IT.

« Le volume de certificats a considérablement augmenté », déclare Brian Trzupek, SVP produits chez DigiCert. « Et pour ne rien arranger, la durée de validité des certificats TLS publics est passée de trois ans à un an depuis 2018. Résultat : les entreprises ont de plus en plus de mal à gérer manuellement les workflows de leurs certificats numériques. Elles se penchent sur la question de l’automatisation, mais elles veulent aussi qu’on les rassure sur la façon de procéder et cherchent à mieux comprendre les coûts à long terme et les avantages en matière de sécurité. »

« Les interruptions de service dues à l’expiration de certificats PKI sont un risque constant pour toutes les entreprises, d’autant plus que les cycles de renouvellement se sont raccourcis », explique Michele Liberman, responsable des opérations SaaS chez Smart Communications. « La gestion des certificats mobilise beaucoup de ressources, car chacun doit être suivi individuellement en termes d’expiration, de demande, de création et de déploiement. L’automatisation relève donc du bon sens économique en termes de réduction des risques et de la charge de travail technique en interne. »

La plupart des entreprises envisagent une automatisation PKI, sachant que 91 % déclarent au moins étudier la question. Pour seulement 9 %, le sujet n’est pas à l’ordre du jour. Plus de deux tiers (70 %) prévoient d’implémenter une solution dans les 12 mois alors que pour un quart (25 %), le processus est soit en cours, soit terminé.

Les entreprises affichent de forts écarts

Les participants à l’enquête ont été invités à évaluer leurs propres capacités sur diverses métriques PKI. Après totalisation des scores, les sondés ont été répartis en trois groupes :

Leaders – entreprises dont les pratiques sont les plus en pointe

Retardataires – entreprises dont les pratiques présentent de fortes lacunes

Intermédiaires – entreprises dont les pratiques sont acceptables

Les leaders et les retardataires ont ensuite été comparés pour mesurer le fossé qui les sépare et comprendre comment les premiers tirent leur épingle du jeu.

Verdict : les leaders sont deux à trois fois plus performants que les retardataires dans tous les domaines (réduction des risques de sécurité PKI, élimination des interruptions de service PKI, respect des SLA relatifs à la PKI, etc.). Baisse de productivité, problèmes de conformité, attrition de la clientèle, perte de revenus… les retardataires paient leurs insuffisances au prix fort.

PKI : ce que les leaders peuvent nous apprendre

Les leaders sont convaincus de l’importance de l’automatisation PKI pour l’avenir de leur entreprise. Ils sont en outre deux fois plus nombreux que les autres à se dire préoccupés par le temps que mobilise la gestion des certificats PKI. Lisez le rapport pour en savoir plus sur les pratiques des leaders et la différence que cela crée sur leur activité.

Recommandations

DigiCert conseille aux entreprises soucieuses de respecter les bonnes pratiques PKI d’entamer une automatisation de leurs processus de gestion des certificats, y compris de leurs workflows métiers. Parmi les mesures préconisées :

Certificats –

Réalisez un inventaire du portfolio de certificats (TLS, signature de code, certificats clients, etc.)

Corrigez les clés et les certificats non conformes à votre politique d’entreprise

Appliquez les bonnes pratiques d’émission et de révocation pour renforcer votre protection

Standardisez et automatisez les processus d’enrôlement, d’émission et de renouvellement

Workflows de gestion des certificats – Misez sur un logiciel qui non seulement centralise la visibilité et le contrôle, mais aussi automatise les workflows de certificats manuels ou non gérés (signature de code, signature de documents, certificats d’e-mails, etc.) ou d’autres solutions de gestion des identités et des accès.

Cette enquête a été menée par le cabinet ReRez Research auprès de 400 informaticiens travaillant dans des entreprises de plus de mille salariés en Amérique du Nord, en EMEA, en Asie Pacifique et en Amérique latine.