Comment adapter et sécuriser une PKI pour une continuité de service et d'activité optimale ?

Une mauvaise gestion de la PKI peut entraîner d'importantes perturbations et l'indisponibilité de certains services. Quels sont les bonnes pratiques à adopter pour assurer la continuité de services ?

Chaque année, les entreprises sont confrontées à des imprévus qui peuvent perturber leurs activités et devenir de véritables défis pour les équipes informatiques et sécurité. Disposer d’un plan de continuité robuste est donc indispensable.

Au cœur du dispositif, la PKI est un outil fondamental pour protéger les données sensibles et sécuriser les connexions entre plusieurs applications critiques. En moyenne, une PKI prend en charge plus de 8 applications différentes[1] : sites Web, services destinés aux clients, accès au réseau privé et au réseau privé virtuel, ... 

Keyfactor liste 10 points clés pour assurer la continuité des activités :

01. CONFIGURER LA PKI DANS LES REGLES DE L’ART

La configuration d’une nouvelle autorité de certification (AC) est une étape, évidemment, essentielle qui doit faire l’objet d’une stratégie toute particulière afin de s’assurer de disposer d’une PKI résiliente, à haute disponibilité. Cette phase initiale permet de mettre en place les règles de sécurité cryptographique qui vont gouverner la sécurisation des systèmes. La conception et le design d’une PKI redondante sont, en effet, les clés d’une continuité de service optimale.

02. SAVOIR QUAND LES AUTORITÉS DE CERTIFICATION RACINE/ÉMETTRICE EXPIRENT

Une règle fondamentale de la PKI veut que la durée de vie d’un certificat ne puisse pas excéder l’expiration de l’autorité de certification qui l’a délivré. La pratique courante dans l’industrie consiste à renouveler l’autorité de certification racine au bout de 10 ans et les clés au bout de 20 ans. Il est donc recommandé d’anticiper si une AC racine doit être renouvelée dans les 8 à 12 mois suivants.

03. PLANIFIER L’ACCÈS PHYSIQUE À L’AUTORITÉ DE CERTIFICATION RACINE

L’autorité de certification racine est au cœur de la confiance dans une PKI. Elle doit être conservée hors ligne, isolée du réseau et protégée par un HSM (module matériel de sécurité). Cela signifie toutefois que les tâches de maintenance de routine, comme la publication d’une liste de révocation de certificats (CRL), nécessitent la présence physique de plusieurs employés à proximité du serveur de l’AC racine.

04. NE PAS OUBLIER DE RENOUVELER LES CRL

Si une AC est hors service, il est impossible d’émettre de nouveaux certificats. Par ailleurs, si une CRL est expirée, tous les certificats existants deviendront immédiatement inutilisables. et les utilisateurs ne pourront pas accéder à leur application.

05. CONSERVER UNE PÉRIODE DE CHEVAUCHEMENT SUFFISANTE POUR LA CRL

Les 3 temps forts du cycle d’une CRL sont : sa publication, son expiration et la période de chevauchement entre les deux. Il faut garder à l’esprit que la publication des CRL est un processus que les autorités de certification hors ligne exécutent manuellement. Le chevauchement permet de laisser le temps d’implémenter cette nouvelle CRL avant l’expiration de la précédente et ainsi d’éviter toute indisponibilité.

06. S’ASSURER QUE LES CDP SONT ROUTABLES SUR INTERNET

Lorsqu’une application vérifie la présence de certificats révoqués, elle récupère la CRL actuelle à partir d’un CDP (point de distribution de la liste de révocation de certificats) précis. Si les utilisateurs travaillent en dehors du réseau de l’entreprise, ce CDP doit être accessible sur Internet pour garantir que les appareils sont toujours en mesure de récupérer la nouvelle CRL en cas de besoin.,.

07. VÉRIFIER L’ESPACE DISQUE DES AC ÉMETTRICES

L’espace disque doit être suffisant sur tous les serveurs de l’AC émettrice pour gérer les utilisations accrues. Par exemple, si des certificats d’accès au VPN SSL sont octroyés à des milliers de collaborateurs travaillant à distance, il convient de s’assurer que la base de données de l’autorité de certification est en mesure de stocker l’afflux de certificats et de journaux d’audit sans problèmes de latence.

08. S’ASSURER QUE LES PKI SONT SAUVEGARDÉES RÉGULIÈREMENT

Une sauvegarde n’est pas toujours suffisante pour récupérer une PKI car elle n’est pas infaillible et doit être testée régulièrement. Une sauvegarde de la base de données de l’autorité de certification, mais pas du HSM, ne permettra pas de récupérer l’autorité de certification. Il est donc recommandé de tout sauvegarder automatiquement et régulièrement pour garantir la résilience en cas de défaillance du système.

09. FAIRE UN INVENTAIRE COMPLET DES CERTIFICATS

Tenir un inventaire complet de tous les certificats émis par les AC internes et publiques, savoir où se trouvent chaque certificat et quelles sont les applications qui en dépendent, est essentiel. Il faut également réévaluer le risque lié aux certificats si le VPN SSL se transforme en application critique pour les collaborateurs.

10. SURVEILLER ACTIVEMENT LA DATE D’EXPIRATION DES CERTIFICATS ET LEUR PROPRIÉTAIRE

Des certificats expirés entraînent souvent une indisponibilité des applications ou des interruptions de service. Cependant, rechercher les propriétaires des applications pour renouveler leurs certificats peut s’avérer difficile, d’autant plus s’ils travaillent à distance. Au fur et à mesure de l’inventaire, il est donc conseillé de surveiller activement les certificats, de définir clairement les responsabilités et d’informer les propriétaires bien avant l’expiration (90/60/30 jours).

[1] https://www.ncipher.com/2019/pki-iot-trends-study