Pierre Codis, Keyfactor : La PKI moderne et surtout la CLM permettent de mettre enfin tout le monde autour de la table
septembre 2024 par Marc Jacob
Pour sa première participation aux Assises de la Cybersécurité, Keyfactor souhaite échanger avec les participants sur l’automatisation du cycle de vie des certificats numériques et l’impact clé de la cryptographie post quantique dans le zero trust et la confiance numérique et plus précisément de l’impact du post quantique dans les migrations de PKI et de CLM en mettant l’accent sur son logiciel de PKI. Pour Pierre Codis, AVP of Sales Nordics & Southern Europe de Keyfactor, la PKI moderne et surtout la CLM permettent de mettre enfin tout le monde autour de la table afin de discuter d’une solution facile à partager et à appréhender par des personnes qui ne sont pas forcément spécialistes de la PKI mais en revanche, ayant des cadres communs d’application de gouvernance cryptographique. Voilà l’enjeu des RSSI.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises 2024 ?
Pierre Codis : Le 18 août dernier, le National Institute of Standards and Technology (NIST) a officiellement publié les trois premiers standards de cryptographie post-quantique. Ces nouveaux algorithmes sont conçus pour résister aux futures attaques des ordinateurs quantiques, qui menacent de rendre obsolètes les algorithmes de chiffrement actuels.
C’est dans ce contexte que nous souhaitons échanger avec les entreprises sur l’automatisation du cycle de vie des certificats numériques et l’impact clé de la cryptographie post quantique dans le zero trust et la confiance numérique et plus précisément de l’impact du post quantique dans les migrations de PKI et de CLM.
La PKI est désormais une infrastructure critique, en effet, sans certificat rien ne peut fonctionner. Pour répondre aux exigences de gouvernance centralisée et « d’auditabilité » de NIS 2, il est essentiel de mettre en place des solutions modernes qui ne pourront être déployées que sur les fondements d’une politique cryptographique ad hoc. Cela implique donc une modernisation, une consolidation et une automatisation de la gestion du cycle de vie des certificats mais également une préparation quant aux options de migration vers la cryptographie post quantique.
Les entreprises ne peuvent pas engager de transition technologique si les bases ne sont pas solides. Le nombre de machines et de certificats augmentant de façon exponentielle, leur gestion est, en effet, de plus en plus difficile. Selon une étude de 2023, 60% des personnes interrogées ne savaient pas exactement combien de clés et de certificats étaient utilisés dans leur entreprise.
En tant que spécialistes de la confiance numérique dans le secteur de la cryptographie, nous proposons des solutions qui permettent la maîtrise, le contrôle, l’inventaire et l’automatisation du cycle de vie des certificats numériques. Notre solution logicielle PKI complète simplifie la mise en place, la configuration et la gestion des PKI d’entreprise, en quelques clics, directement depuis le Cloud en SaaS ou en IaaS, ainsi que on-premise de manière automatisée. EJBCA comprend tout ce qui est nécessaire pour émettre et gérer des certificats, y compris les autorités de certification (CA), les autorités d’enregistrement (RA) et les autorités de validation (VA).
GS Mag : Quel va être le thème de votre conférence cette année ?
Pierre Codis : Il s’agit de notre première participation aux Assises et nous n’avons pas, à ce titre, de conférence à proprement parler. Néanmoins, nous allons organiser des démonstrations de notre solution CLM afin que les experts de la stratégie de sécurité puissent mesurer la technicité de la solution, sa facilité d’implémentation et d’utilisation et l’intuitivité de son interface graphique. Notre solution est simple à appréhender et facile à déléguer à des sous administrateurs de différents pôle ou départements, elle permet de gérer une stratégie locale de certificats, tout en faisant abstraction d’aspects techniques rébarbatifs.
Ce temps d’échanges et de démonstration permettra également d’aborder avec les entreprises les différentes alternatives de migration de leur PKI vers le post-quantique.
GS Mag : Comment allez-vous aider les entreprises à se mettre en conformité avec NIS2 ?
Pierre Codis : L’application de la norme NIS 2, dont l’entrée en vigueur est prévue le 18 octobre prochain, approche à grand pas et il est grand temps pour les entreprises d’agir. Elles ne doivent pas prendre à la légère cette mise en conformité qui vise à harmoniser et à renforcer la cybersécurité des infrastructures critiques sur le marché européen. Certes, elles se sont informées et ont réfléchi au sujet en 2023 mais, cette année, elles doivent passer en mode adoption et implémentation. NIS2 encourage les entreprises à introduire une approche zero-trust, des mises à jour logicielles régulières, la gestion des risques, la gestion de l’identité et de l’accès, la signature de code, l’authenticité des logs d’audits, etc…, des mesures qui reposent toutes sur une PKI et une gestion appropriée des certificats. Pour accompagner les entreprises dans leurs transformations numériques, nous avons d’ailleurs mis en place une stratégie qui permet de répondre méthodiquement aux exigences de chaque article de NIS2 avec des solutions de PKI, de CLM et de signature de code.
GS Mag : Comment va évoluer votre offre pour 2024/2025 ?
Pierre Codis : Après plusieurs années d’attente, les trois premiers algorithmes cryptographiques à sécurité quantique FIPS 203 (méthode d’encapsulation de clés ML-KEM, basée sur l’algorithme Kyber, soumise au concours d’algorithmes PQC), FIPS 204 (algorithme de signature numérique le plus générique, ML-DSA, basé sur l’algorithme Dilithium) et FIPS 205 (algorithme de signature numérique par hachage, basé sur l’algorithme SPHINCS+) sont enfin disponibles. Nous avons d’ailleurs déployé ces algorithmes dans la librairie de Bouncy Castle, et au niveau de logiciels de signature, de PKI.
La publication des algorithmes à sécurité quantique a inauguré une période d’activité intense. En effet, si certaines de ces mises à jour peuvent être effectuées simultanément, d’autres doivent l’être de manière séquentielle, ce qui signifie qu’il faudra attendre quelques mois avant que tout soit entièrement mis à jour. Par ailleurs il va également falloir prendre en compte les mises à jour matérielles, car les modules de sécurité matériels (HSM) sont obligatoires dans la plupart des environnements de production. Ces mises à jour impliquent également des normes, telles que PKCS#11, qui doivent être mises à jour par l’organisation de normalisation.
Nous allons donc continuer à faire évoluer les produits au fur et à mesure pour optimiser les performances des équipements. Notre équipe de R&D procède à de nombreux benchmarks de performance avec les équipementiers matériels et nous les aidons à faire en sorte que tout soit performant tant en matière de rapidité, d’efficacité que de calcul.
Nous continuons à être pionnier sur les développements de modes de déploiement modernes qu’ils soient cloud first ou cloud natif. Notre CLM pourra également, très prochainement, être déployée sous forme de containers.
GS Mag : Quelle sera votre stratégie globale pour 2024/2025 ?
Pierre Codis : Notre priorité est d’accompagner les entreprises dans leur préparation au post quantique et dans l’implémentation de process et de solutions pour être conforme à NIS2 mais également à la transformation digitale, l’identité digitale étant considérée comme une infrastructure critique.
Pour ce faire, nous avons recruté, en France, deux directeurs commerciaux, un SDR (sales développement representative), un chanel Manager ainsi qu’un commercial junior à venir. Nous nous appuyons également sur les équipes internationales, nous sommes désormais 450 dans le groupe pour une base client de 2000 entreprises dont une cinquantaine en France et dans les pays francophones.
GS Mag : Quel est votre message aux RSSI ?
Pierre Codis : Aujourd’hui, les enjeux de sécurité pour les RSSI sont tels qu’ils sont obligés de monter le référentiel de sécurité de tous les départements, des applications métiers, des infrastructures, des systèmes donc bien au-delà de l’IT classique. Ils doivent donc s’appuyer sur des solutions qui leur permettent, facilement de manière auditable et contrôlée, d’accompagner les équipes produits et métiers et de les amener à collaborer avec les équipes de sécurité IT. La PKI moderne et surtout la CLM permettent de mettre enfin tout le monde autour de la table autour d’une solution facile à partager et à appréhender par des personnes qui ne sont pas forcément spécialistes de la PKI mais qui, en revanche, ont des cadres communs d’application de gouvernance cryptographique. Voilà l’enjeu des RSSI.
Nous souhaitons leur dire qu’il existe des solutions modernes faciles à implémenter et à prendre en main qui vont leur permettre de gagner en productivité et surtout d’harmoniser et de mettre en commun des règles du jeu cryptographiques. Ces solutions permettent d’alléger la charge de travail, d’offrir une plus grande visibilité, de faire collaborer des pôles qui géraient jusqu’à présent la question cryptographique dans leur coin avec des solutions souvent désuètes. Certes cela requiert un effort de discussion car la CLM est un sujet qui rassemble les départements mais cela va permettre d’adopter des stratégies cryptographiques, sans être des experts pour autant, de mettre en commun les budgets et finalement de faciliter la vie des RSSI et de leurs clients internes.