Qu’est-ce que la gestion du cycle de vie des certificats ?
La gestion du cycle de vie des certificats (CLM) est le processus formel de gestion et de sécurisation des certificats numériques de l’entreprise. La CLM vise à rationaliser et à automatiser chaque étape du cycle de vie des certificats : inventaire, délivrance, déploiement, surveillance, renouvellement, révocation et élimination.
Les certificats numériques sont des documents électroniques qui utilisent la cryptographie à clé publique pour prouver l’identité de leur détenteur. Ils sont souvent utilisés pour authentifier des identités non humaines (NHI) comme les sites Web, les serveurs, les applications et les agents IA.
À mesure que les NHI se multiplient dans le réseau d’entreprise sous l’impulsion du DevOps, des environnements cloud, de l’intelligence artificielle (IA) et du machine learning (ML), les certificats deviennent un élément de plus en plus important de la gestion des identités et des accès (IAM).
Cependant, l’explosion des NHI signifie aussi une explosion des certificats, qui doivent être protégés des acteurs de la menace, comme tout autre identifiant numérique.
De plus, les certificats comportent une difficulté supplémentaire : les dates d’expiration.
De par leur conception, les certificats ne restent pas valables éternellement. Si une licence expire avant qu’elle ne puisse être renouvelée, cela peut entraîner des perturbations majeures, des pannes de service et des temps d’arrêt. Il se peut que les clients ne puissent pas accéder au site Web. Des éléments critiques de l’infrastructure réseau peuvent cesser de fonctionner. Les processeurs de paiement peuvent tomber en panne.
La gestion du cycle de vie des certificats vise à fournir aux entreprises des outils, des tactiques et des stratégies pour simplifier des workflows clés tels que le suivi de l’état des certificats, le contrôle d’accès, le renouvellement et la révocation. La CLM contribue ainsi à limiter la fraude, le vol et l’utilisation abusive des certificats, tout en évitant les pannes coûteuses et inattendues.
Les dernières actualités technologiques, étayées par des avis d’experts
Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la Déclaration de confidentialité d’IBM.
Les certificats numériques, également appelés certificats X.509 d’après la norme X.509, qui définit leur format, sont des documents électroniques utilisés pour vérifier les identités numériques. Les certificats sont principalement utilisés pour des identités non humaines et des identités machines telles que les serveurs, les logiciels, les ordinateurs et les points de terminaison IdO (Internet des objets).
Les certificats dépendent d’un cadre appelé infrastructure à clé publique (PKI), qui utilise une cryptographie asymétrique pour valider l’identité des entités et sécuriser leur communication.
Plus précisément, les systèmes cryptographiques asymétriques utilisent deux clés différentes, une clé publique et une clé privée, pour chiffrer et déchiffrer les données. Tout le monde peut utiliser une clé publique pour chiffrer des données. Cependant, seuls les détenteurs de la clé privée correspondante pourront déchiffrer ces données.
Les certificats numériques prouvent que telle clé privée appartient à telle entité, et la possession d’un certificat authentique est souvent considérée comme une preuve de l’identité de cette entité.
Dans un sens, un certificat est un peu comme le titre de propriété d’une maison : il indique à qui appartient le bien (la clé), et si quelqu’un détient le titre de propriété, il est probablement le propriétaire légitime.
Mais cette analogie met également en lumière les limites des certificats et l’importance de leur sécurisation. Si un acteur malveillant vole un certificat, il peut se faire passer pour une entité fiable, et les autres utilisateurs peuvent le croire, ce qui peut avoir des conséquences désastreuses.
Supposons qu’un acteur malveillant vole ou falsifie la copie du certificat d’un site Web légitime. L’attaquant crée ensuite une copie malveillante du site Web dans le but de voler les identifiants des utilisateurs. Parce que l’attaquant possède un certificat apparemment authentique, les navigateurs Web penseront que son site d’hameçonnage est légitime, et les utilisateurs ne recevront aucun avertissement indiquant qu’il s’agit d’un faux.
Pour éviter qu’ils ne tombent entre de mauvaises mains, la plupart des certificats ne sont valables que pour une durée limitée. L'expiration des certificats est une mesure de cybersécurité, au même titre que la rotation régulière des identifiants. Même si les attaquants mettent la main sur un certificat valide, son utilisation sera limitée, c’est-à-dire si le vrai propriétaire ne le révoque pas avant.
Quelles sont les informations contenues dans les certificats ?
Un certificat comprend généralement :
Le sujet : la personne, la machine, le site Web ou toute autre entité à laquelle le certificat appartient. Les certificats peuvent également enregistrer des Subject Alternative Names (SAN), qui sont d’autres noms autorisés à utiliser le certificat. Par exemple, le certificat d’un site Web peut également enregistrer tous ses sous-domaines.
L’émetteur : l’autorité de certification (CA) qui a émis le certificat.
La période de validité : la date d’entrée en vigueur et la date d’expiration du certificat.
Clé publique du sujet : d’autres utilisateurs, humains ou non humains, peuvent utiliser cette clé publique pour chiffrer leur communication avec le sujet du certificat. Comme le sujet est le seul à disposer de la clé privée associée, lui seul peut déchiffrer ces messages.
Signature numérique de l’autorité émettrice : cette signature confirme que le certificat a été émis par une autorité légitime, ce qui signifie généralement que l’on peut s’y fier.
Comment les certificats sont-ils délivrés ?
La plupart des certificats sont émis par une autorité de certification (CA), un tiers de confiance qui vérifie l’identité des demandeurs de certificats et leur accorde des certificats fiables.
Les autorités de certification sont généralement membres du CA/Browser Forum (CA/B Forum), un consortium qui établit des normes pour les certificats et les autorités de certification. Ce sont cette affiliation et le respect des normes CA/B qui rendent les CA fiables aux yeux des entreprises, des applications et des utilisateurs.
Parmi les autorités de certification les plus connues figurent l’association à but non lucratif Let’s Encrypt et des entreprises telles que GlobalSign, DigiCert et Microsoft Active Directory Certificate Services.
Le processus de délivrance est le suivant :
- L’entité qui a besoin d’un certificat (« le sujet ») génère une paire de clés (publique-privée).
- Le sujet envoie une demande de signature de certificat (CSR) à l’autorité de certification de son choix. Cette demande inclut la clé publique du sujet, ainsi que les informations nécessaires pour prouver son identité auprès de la CA. Par exemple, la demande de signature de certificat (CSR) pour un site Web peut devoir inclure la preuve que le demandeur est propriétaire du site Web en question.
- L'autorité de certification examine la demande, vérifie l’identité du sujet et délivre un certificat. Le certificat est signé de façon cryptographique avec la propre clé privée de la CA pour prouver sa légitimité.
- Le certificat est installé là où c’est nécessaire : sur un serveur, un appareil ou ailleurs.
En soi, les certificats constituent un système de garantie. Le sujet fournit à la CA la preuve nécessaire pour établir son identité numérique. La CA signe pour dire : cette identité est légitime, et voici la clé qui permettra à d’autres personnes de communiquer avec elle en toute sécurité. Parce que l’autorité de certification est fiable, ses certificats le sont aussi.
Les entités peuvent également générer leurs propres certificats auto-signés, mais ceux-ci ont peu de poids en dehors des environnements fermés où toutes les parties se font déjà confiance.
Types de certificats
Certificats TLS/SSL
Parfois appelés certificats SSL ou certificats TLS, ces certificats sont parmi les plus utilisés. Leur nom provient de deux protocoles de communication cryptographiques utilisés sur Internet : Transport Layer Security (TLS) et le Secure Sockets Layer (SSL), largement obsolète.
Les certificats TLS/SSL authentifient les serveurs Web et fournissent aux navigateurs la clé publique du serveur, permettant des connexions sécurisées et chiffrées entre serveurs et clients.
Il en existe trois types principaux :
Domaine validé (DV) : vérifie uniquement la propriété du site Web.
Entreprise validée (OV) : vérifie à la fois la propriété du site Web et l’entreprise derrière ce dernier.
Validation étendue (EV) : le type le plus strict, qui nécessite une vérification manuelle par un humain. Utilisé dans les secteurs qui exigent les plus hauts niveaux de fiabilité, comme la finance et la banque.
Certificats de messagerie
Également appelés certificats S/MIME (d’après la norme Secure/Multipurpose Internet Mail Extensions), ils permettent de vérifier l’identité et de chiffrer les échanges par e-mail.
Certificats de signature de code
Ils vérifient que le programme, l’application, le correctif ou le morceau de code sont authentiques et qu’ils n’ont pas été altérés. Ils fonctionnent en apposant une signature numérique au code au moment de sa publication. Le développeur signe le code avec sa clé privée, et tout utilisateur ou système qui exécute le code peut vérifier cette signature à l’aide de la clé publique correspondante.
La découverte de certificats consiste à analyser un réseau et tous les actifs et infrastructures connectés, afin de trouver les certificats actifs utilisés par le matériel, les logiciels, les machines virtuelles et les utilisateurs humains.
L’émission de certificats consiste à demander et à recevoir en toute sécurité de nouveaux certificats de la part d’une autorité de certification.
Parfois appelé « déploiement », le provisionnement des certificats consiste à installer les certificats sur les appareils, applications ou services concernés.
La surveillance des certificats est le processus qui permet de suivre leur utilisation afin de s’assurer qu’ils sont utilisés uniquement aux fins prévues, par des entités autorisées et disposant des droits requis à cet effet.
Le renouvellement consiste à renouveler ou à réémettre les certificats qui sont sur le point d’expirer.
La révocation est l’invalidation intentionnelle des certificats avant leur date d’expiration. La révocation est généralement déclenchée lorsqu’un certificat est compromis (par exemple, si le certificat ou la clé privée associée ont été volés).
Les certificats sont également révoqués lorsqu’ils ne sont plus exacts, par exemple après un changement de domaine.
Lorsqu’un sujet doit révoquer son certificat, il demande à l’autorité de certification émettrice de l’ajouter à une liste de révocation de certificats (CRL). Comme son nom l’indique, la CRL est une liste de certificats non valides. Si quelqu’un ou quelque chose tente de s’identifier à l’aide du certificat révoqué, que ce soit par malveillance ou par accident, l’autre partie verra le certificat dans la CRL et le rejettera.
La destruction des certificats consiste à détruire en toute sécurité les certificats qui ont expiré ou qui ne sont plus nécessaires, y compris les sauvegardes ou les clés associées.
Les outils CLM, également connus sous le nom de solutions de gestion des certificats, permettent de simplifier, de sécuriser, de rationaliser et d’automatiser une grande partie du cycle de gestion des certificats. En fait, de nombreux aspects essentiels de la gestion des certificats, comme la découverte des certificats actifs dans un réseau et leur renouvellement avant leur expiration, sont pratiquement impossibles sans ces outils.
Les fonctionnalités courantes des outils CLM incluent :
Découverte et inventaire automatisés des certificats, accompagnés de détails clés tels que le propriétaire, le lieu d’installation et la date d’expiration.
Génération dynamique, à la demande, pour une sécurité accrue et un accès simplifié aux certificats.
Des CSR entièrement ou partiellement automatisés, notamment la capacité de générer de nouvelles paires de clés, la transmission sécurisée des CSR, l’intégration avec des systèmes de CA fiables et la création de certificats autosignés.
Provisionnement à distance afin que les certificats puissent être installés directement sur les appareils et services concernés, et ce à partir d’un seul et même panneau de commande central.
Des journaux de contrôle et de conformité pour suivre l’utilisation et la validité des certificats, détecter toute expiration imminente et identifier des vulnérabilités telles que les normes cryptographiques faibles ou obsolètes.
Notifications liées à l’expiration des certificats et renouvellement automatique pour éviter les pannes.
Les identités non humaines représentent une part croissante du réseau d’entreprise. Les estimations varient de 45:1 à 92:1, mais en moyenne, le nombre d’identités non humaines au sein d’un système informatique dépasse largement celui des identités humaines.
Ces NHI reposent sur des certificats pour l’authentification et le contrôle des accès. La gestion manuelle de tous ces certificats est non seulement inefficace, mais aussi impossible à mettre à l’échelle.
Sans un processus CLM formel et sans les outils adéquats, les certificats peuvent passer inaperçus, exposant les entreprises à toutes sortes de risques.
Expiration des certificats, vol et fraude
Pour des raisons de sécurité, les certificats ne restent valides que pendant de courtes périodes, et ces périodes sont de plus en plus courtes. En mars 2029, de nouvelles normes du CA/B Forum entreront en vigueur, exigeant le renouvellement des certificats SSL/TLS tous les 47 jours.
Si le renouvellement des certificats est géré manuellement, les délais peuvent facilement être dépassés, ce qui entraîne des temps d’arrêt et des vulnérabilités en matière de sécurité. Les certificats expirés peuvent perturber l’accès des utilisateurs légitimes et créer des ouvertures pour les utilisateurs illégitimes, comme la possibilité de transmettre de faux certificats d’exploiter les comportements de type « fail open ».
(Dans ce contexte, « fail open » signifie que, si la validité du certificat ne peut pas être vérifiée, le système continuera à autoriser le trafic jusqu’à ce que la non-validité soit établie. De nombreux systèmes de certificats sont définis sur fail open par défaut, car il peut être coûteux de lire une CRL ou d’effectuer d’autres contrôles de validité à chaque fois qu’un certificat est utilisé.)
Le renouvellement automatique est donc autant une solution de sécurité qu’une solution opérationnelle. Les outils CLM aident à garantir le temps de fonctionnement tout en réduisant le risque que des acteurs de la menace volent ou utilisent à mauvais escient des certificats valides.
Inventaire et observabilité
Dans les environnements hybrides et multicloud axés sur le DevOps, où les certificats peuvent exister sur site, à distance, de manière éphémère et dans une infrastructure cloud, il peut être difficile de suivre tous les certificats de l’entreprise.
Les outils CLM permettent une analyse régulière et complète des certificats nouveaux et existants à travers les applications, services et infrastructures. Ces outils peuvent également gérer les inventaires, en créant une nomenclature cryptographique (CBOM) pour répertorier les algorithmes, les clés et les certificats.
Un inventaire complet des certificats peut répertorier le propriétaire, l’objectif, le point de terminaison, l’émetteur, la voie de renouvellement, la trajectoire de déploiement et le rayon d’action potentiel en cas d’expiration inattendue du certificat.
Préparation quantique
L’informatique quantique représente un cas d’utilisation émergent de la CLM. À mesure que les capacités quantiques progressent, elles menacent de compromettre les méthodes de chiffrement traditionnelles et d’éroder la confiance numérique. Les outils CLM aident les entreprises à répondre aux changements quantiques en adoptant rapidement de nouvelles normes de chiffrement et en révoquant rapidement les certificats périmés qui reposent sur des méthodes de chiffrement obsolètes.
Les entreprises commencent à planifier la cryptographie post-quantique à travers leur environnement de certificats, avec des solutions désormais axées sur l’infrastructure à clé publique sécurisée quantiquement (PKI) et sur des algorithmes émergents comme CRYSTALS-Kyber pour le chiffrement des clés, et CRYSTALS-Dilithium et Falcon pour les signatures numériques.
Mais les entreprises doivent savoir où se trouvent leurs certificats, et quel chiffrement est utilisé, pour que ces transitions réussissent. Un certificat ignoré peut être précisément ce dont les attaquants ont besoin pour entrer.
Grâce à une découverte et un inventaire complets, combinés à des renouvellements et révocations automatisés, les outils et processus CLM aident les entreprises à s’assurer que les certificats respectent les normes les plus récentes en matière de sécurité cryptographique.
Ressources
IBM Cloud Pak for Network Automation est un Cloud Pak qui automatise et orchestre les opérations d’infrastructure réseau.
Les solutions de mise en réseau cloud d’IBM assurent une connectivité haute performance pour alimenter vos applications et vos activités.
Consolidez le support du centre de données avec IBM Technology Lifecycle Services pour la mise en réseau cloud et plus encore.