Comment mettre fin aux problèmes et pannes liés aux certificats expirés ?
SpaceX, Microsoft et Spotify ne sont que quelques-unes des entreprises qui, confrontées aux conséquences de l'expiration de leurs certificats, ont dû mettre en place une communication de crise.
Et ce n’est là que la partie émergée de l’iceberg. De très nombreuses pannes ne sont jamais signalées. Selon le rapport annuel State of Machine Identity, les certificats expirés sont responsables de ces pannes dans 77 % des entreprises.
Les certificats jouent un rôle essentiel pour protéger les canaux de communication et garantir la confidentialité des données. Cependant, face à la multiplication des certificats utilisés par les entreprises, il devient de plus en plus difficile de les gérer efficacement et de savoir quand ils expirent.
Plus d’une organisation sur deux déclare que ces pannes ont entraîné une interruption grave des services aux clients. Pourtant, une stratégie de prévention permettrait aux entreprises d’éviter ces pannes avant qu’elles ne deviennent problématiques. Comment mettre fin aux pannes liées aux certificats et reprendre la main sur leur gestion ?
Certificats expirés : pourquoi de tels dégâts ?
Les entreprises sont parfois confrontées à des pannes soudaines causées par l’arrivée à expiration de certificats inconnus et non suivis. Les applications cessent de fonctionner et les entreprises sont contraintes d’interrompre des ressources importantes dans leurs missions quotidiennes afin de résoudre ces incidents. Dans la plupart des cas, le problème est en général imputable à trois facteurs :
1. Une multiplication des certificats réduisant la visibilité : Le volume des certificats émis au sein des entreprises augmente avec une moyenne de 256 000 certificats par entreprise[1]. Même si l’augmentation du nombre des certificats adaptés aux différents cas d’utilisation est une bonne chose, cela implique aussi une moins bonne visibilité de l’environnement.
2. Une complexité croissante diminuant le contrôle : 62 % des sociétés ignorent le nombre exact de certificats dont elles disposent. Les différentes équipes d’une entreprise peuvent utiliser différents outils et PKI, et ne pas appliquer les mêmes méthodes. Ainsi, trop de PKIs legacy demeurent en silo aujourd’hui et, pire encore, l’utilisation de certificats auto-signés reste trop souvent pratiquée. Cette situation limite la capacité de l’entreprise à surveiller les dates d’expiration des certificats.
3. Des durées de vie plus courtes et des risques aggravés : En septembre 2020, la durée de vie des certificatsa été divisée par deux, passant de 27 à 13 mois. Ces durées de vie écourtées impliquent des opérations de gestion plus fréquentes, avec pour conséquences une charge de travail et des risques plus importants pour les équipes concernées et l’ensemble de l’entreprise.
Une reprise longue et un impact négatif sur l’entreprise
Il suffit d’un seul certificat expiré pour provoquer une panne, il est donc important d’avoir un contrôle complet pour avoir la certitude que les applications ne vont pas tomber en panne. Le délai nécessaire pour remédier à l’interruption est, en effet, très long et implique d’identifier le certificat expiré ainsi que tous ses emplacements, de redémarrer les services, de délivrer des certificats, et la liste ne s’arrête pas là. C’est un processus très chronophage : les entreprises ont besoin de plus de quatre heures et 11 intervenants en moyenne pour identifier et résoudre une panne provoquée par un certificat et s’en remettre.
C’est une situation qui peut pourtant être évitée. La solution consiste à adopter des mesures préventives qui empêchent l’impact des pannes sur l’activité métier : les avantages sont des temps d’indisponibilité moins coûteux et des interruptions minimisées.
Reprendre le contrôle des certificats grâce à l’automatisation
Une visibilité de bout en bout, la gestion des certificats et l’automatisation du cycle de vie sont des outils efficaces pour éviter les pannes liées aux certificats. Cette méthode efficace en matière de prévention doit être adoptée de manière progressive : il faut procéder d’abord de façon lente et minutieuse, puis accélérer la cadence. Il est recommandé de commencer par cartographier l’ensemble des certificats dans les autorités de certification, les réseaux et sur les appareils. Puis déterminer leurs emplacements d’installation, leurs émetteurs et leur date d’expiration.
Lorsque cet état des lieux est effectué, il est possible de passer à une gestion et une surveillance active de l’inventaire de certificats. Pour ce faire, il suffit d’appliquer des politiques et de définir des alertes de renouvellement pour garantir que les utilisateurs finaux renouvellent leurs certificats dans les délais.
La dernière phase consiste à automatiser entièrement le processus de renouvellement et de provisionnement de chaque certificat sur chaque machine. L’automatisation réduit les frictions et les risques, permettant d’identifier rapidement les certificats expirés et de les renouveler à temps afin d’éviter les interruptions imprévues.