Moderniser les infrastructures à clés publiques : comment instaurer une confiance sans limites ?

L'infrastructure à clés publiques (ou PKI), également appelée infrastructure de gestion de clés, est une solution éprouvée permettant d'instaurer la confiance dans les transactions numériques.

L’infrastructure à clés publiques (ou PKI), également appelée infrastructure de gestion de clés, est une solution éprouvée permettant d’instaurer la confiance dans les transactions numériques. Mais les scénarios d’utilisation qui lui sont applicables ont considérablement changé ces dernières décennies, et continuent d’évoluer à un rythme soutenu. En termes de sécurité, la montée en puissance des modèles axés sur le multicloud et le télétravail, par exemple, a eu pour effet de favoriser une sécurisation fondée sur la confiance en l'identité de chaque machine quel que soit le réseau emprunté plutôt que la sécurisation d'un périmètre réseau. Malheureusement, les déploiements PKI en place sont parfois incapables de s’adapter à cette évolution.

Dans ce contexte, que doivent retenir les entreprises pour moderniser leurs infrastructures PKI et les rendre exploitables avec des scénarios d’utilisation plus actuels ?

L’évolution du rôle de l’infrastructure à clés publiques dans l’entreprise

Décisive dans l’informatique professionnelle actuelle, la PKI s’emploie à instaurer la confiance dans divers cas d’usage numérique s’appliquant non seulement aux hommes, mais aussi aux machines. Les scénarios les plus courants dans l’entreprise sont :

  • Certificats SSL/TLS pour les serveurs web
  • Authentification mutuelle et chiffrement pour les appareils IoT (Internet des objets)
  • Authentification sur les réseaux Wifi
  • Certificats éphémères donnant accès à des services multicloud, de type conteneurs et workloads par exemple
  • Signatures numériques et chiffrement pour sécuriser les échanges par e-mail entre les équipements
  • Accès de confiance pour les applications mobiles et les appareils mobiles
  • Authentification entre les routeurs et pare-feu pour les équipements réseau
  • Signatures de conteneurs et de builds software pour les équipes DevOps

Dans deux domaines, l'activité de la PKI a atteint une intensité maximale : : la sphère DevOps et les appareils mobiles. En effet, les entreprises modernisent leurs infrastructures cloud et leurs collaborateurs travaillent de plus en plus à distance en utilisant des équipements divers.

Malheureusement, les plateformes PKI en place, que la plupart des entreprises persistent à utiliser, se révèlent excessivement complexes et onéreuses, et excluent toute montée en capacité permettant la gestion de ces nouveaux cas d’usage. Reposant sur une infrastructure obsolète et lente, elles sont incapables de répondre aux exigences imposées par ces nouveaux scénarios, à savoir les migrations cloud, le travail hybride et les appareils IoT. En outre, les outils disparates auxquels elles ont, en général, recours, limitent la visibilité des équipes de sécurité sur les certificats et les politiques en vigueur dans l’entreprise, qui ont alors plus de difficultés à gérer les certificats et à prévenir certains problèmes (pannes, par exemple).

Outre ces difficultés d’infrastructure, nombre d’équipes ne disposent pas des ressources nécessaires à la gestion de ces programmes PKI, les profils spécialisés en infrastructures à clés publiques étant rares et très demandés, ils sont difficiles à recruter et onéreux à conserver.

L’obstacle le plus fréquent à la modernisation d’une PKI : l’autorité de certification Microsoft

L’une des difficultés auxquelles se heurtent le plus fréquemment les entreprises dans leur effort de modernisation de l’infrastructure PKI est leur dépendance continue à l’autorité de certification (AC) Microsoft, ou Active Directory Certificate Services (ADCS).

L’AC Microsoft existe depuis 2000, et si de multiples versions en ont été déclinées au fil des ans, elle a peu évolué depuis son lancement. Par conséquent, lorsque les entreprises s’efforcent d’utiliser cette solution, vieille de plus de vingt ans, pour répondre à leurs besoins PKI actuels, elles rencontrent de sérieux obstacles, notamment :

  • Des difficultés opérationnelles – L’AC Microsoft n’autorise qu’une seule autorité de certification par serveur. Actuellement, les entreprises doivent émettre quotidiennement de nouveaux certificats à partir de diverses AC, les répercussions à grande échelle sont excessivement complexes.
  • Des intégrations limitées – Si l’AC Microsoft s’intègre bien à l’infrastructure Microsoft sur site, cela s’arrête là. L’absence de supports d’intégrations est difficilement conciliable avec l’environnement multicloud vers lequel se tournent les entreprises.
  • Une absence de support – Parfaitement conscient de ces limites, Microsoft se désengage des activités d’assistance ou de développement relatives à son AC ; en d’autres termes, le décalage entre les limites de sa solution et les scénarios d’utilisation actuels ne fera que s’accentuer.

Heureusement, il existe plusieurs voies possibles pour moderniser une infrastructure PKI dans le cloud :

  • PKI administrée – L’infrastructure PKI est déployée, hébergée et gérée dans le cloud par un tiers expérimenté. En externalisant l’infrastructure et sa gestion, les entreprises n’ont pas à se soucier de disposer d’une expertise PKI en interne et peuvent très simplement utiliser des certificats délivrés par le programme.
  • PKI en mode SaaS/cloud – L’infrastructure PKI est déployée, hébergée et gérée dans le cloud par l’entreprise. En l’occurrence, l’infrastructure back-end est hébergée et tenue à jour par un tiers, mais l’entreprise gère son propre programme depuis l'élaboration de politiques de sécurité, l'émission de certificats jusqu'à la gestion continue de leur cycle de vie.
  • PKI hybride - L’infrastructure PKI est déployée, hébergée et gérée sur site puis intégrée avec les services cloud. Cette approche exige une expertise interne en configuration PKI ainsi qu’une mainmise sur les serveurs et autres éléments d’infrastructure. Une plateforme PKI hybride est la mieux adaptée aux scénarios industriels, pour lesquels les entreprises refusent de dépendre de la connexion Internet d’une usine distante mais doivent néanmoins avoir accès à ces équipements (via Internet) pour renouveler leurs certificats et assurer les mises à jour logicielles.

Même pour les entreprises qui opèrent leur migration dans le cloud avec Microsoft Azure, ces difficultés représentent un obstacle majeur, puisque Microsoft n’y propose pas sa solution PKI.

Moderniser son infrastructure PKI dans le cloud, une idée qui fait son chemin

Dans le cadre du processus d’évaluation, il est important que les entreprises prennent en compte les besoins, comme les critères de confiance applicables aux AC publiques ou privées, les niveaux de sécurité et de garantie, les scénarios d’utilisation à déployer, la montée en capacité et la disponibilité des solutions PKI, et l’expertise requise pour mettre en œuvre et gérer le programme PKI. Il est tout aussi important de tenir compte de la maturité de l'entreprise envers le cloud (ainsi que de ses futurs projets) afin de distinguer ce qui nécessite de rester derrière un pare-feu et ce qui peut migrer dans le cloud.