Gérer PKI aujourd'hui n'est pas une mince affaire. Des feuilles de calcul ou des outils maison vous ont peut-être permis d'arriver jusqu'ici, mais les temps ont changé. Entre la nécessité d'effectuer des demandes et des renouvellements de certificats 24 heures sur 24, les audits de conformité réguliers et la chasse aux certificats frauduleux, vous avez atteint un point critique.
Si vous êtes à la recherche d'un outil de gestion des certificats, il y a de fortes chances que vous ayez connu une panne de trop - ou que vous ayez échoué à un audit. Vous n'êtes pas le seul. Des rapports récents montrent que 87 % des organisations ont connu au moins une panne liée à un certificat au cours des 24 derniers mois.
Comme beaucoup d'autres, vous avez décidé de déployer un outil de gestion des certificats, mais vous ne savez pas quelles questions poser, ni même par où commencer. Vous êtes au bon endroit.
Commencer par les exigences
Avant tout, il faut déterminer les besoins du projet. Quelques questions à se poser :
- Quelles AC (et combien) l'outil de gestion des certificats devra-t-il prendre en charge ?
- Quels sont les systèmes et applications de l'organisation qui reposent sur des certificats ?
- Quels sont les critères requis pour les différents groupes d'utilisateurs au sein de l'organisation ?
- Existe-t-il un calendrier spécifique pour l'évaluation et le déploiement ?
- Ai-je besoin d'un outil de gestion des certificats qui offre également la possibilité de gérer PKI?
Une fois que vous avez défini vos besoins, posez aux fournisseurs ces dix questions préalables à l'achat pour vous assurer que l'outil de gestion des certificats que vous choisirez répondra à vos besoins.
10 questions à poser aux fournisseurs de gestion des certificats
Question n° 1 : L'outil de gestion des certificats prend-il en charge plus d'une autorité de certification ?
Les organisations dotées d'un site interne PKI utilisent en moyenne huit autorités de certification différentes, sans compter une ou plusieurs autorités de certification publiques. Ne vous laissez pas enfermer dans des outils fournis par des AC qui ne vous permettent que d'émettre et de gérer des certificats à partir de leur propre AC. Le suivi des certificats sur plusieurs tableaux de bord d'AC nécessite un effort manuel continu qui non seulement prend du temps, mais qui est également sujet à des erreurs et à des oublis.
Question n° 2 : Quel niveau de visibilité votre outil offrira-t-il ?
Ce ne sont pas les certificats que vous connaissez qui causeront votre prochaine panne, mais ceux que vous ignorez - et un inventaire incomplet vous exposera. La découverte basée sur le réseau est un enjeu de taille. Demandez au fournisseur si sa solution peut inventorier directement les autorités de certification. Peut-elle détecter les certificats émis en dehors des processus standard (c'est-à-dire les certificats frauduleux) ? Peut-elle inventorier les magasins de clés et de certificats dans les appareils du réseau et les services en nuage ?
Question n° 3 : Comment l'outil de gestion des certificats s'intégrera-t-il à mon infrastructure existante ?
Un outil de gestion des certificats qui nécessite des modifications importantes du pare-feu existant et de la configuration des ports est susceptible de ralentir le trafic réseau et de déclencher toutes sortes d'alarmes IDS et IPS. Vous devriez demander à votre fournisseur une description détaillée des capacités de découverte et de gestion qu'il offre et - plus important encore - de la manière dont elles sont mises en œuvre dans les AC, les segments de réseau et les plates-formes IaaS.
Question n° 4 : Que se passe-t-il si je dois modifier, supprimer ou ajouter une autorité de certification à mon site PKI?
La crypto-agilité est essentielle. Si une autorité de certification ou un algorithme est compromis, il ne suffit pas de réémettre des clés et des certificats à partir d'une nouvelle autorité de certification. Le fournisseur doit faire en sorte que le processus : (1) ne perturbe pas l'entreprise, (2) soit réalisable dans des délais critiques, et (3) soit réalisable dans des écosystèmes qui contiennent des centaines de milliers de certificats à travers des systèmes et des applications distribués.
Question n° 5 : Quelles sont les possibilités d'automatisation offertes par l'outil ?
L'automatisation peut - et doit - prendre de nombreuses formes et être ce dont vous avez besoin. Un outil de gestion des certificats efficace offre une automatisation avec et sans agent, une bibliothèque d'API robuste et la prise en charge de protocoles standard tels que l'inscription automatique de Windows, ACME et SCEP. Assurez-vous que le fournisseur peut s'intégrer à vos systèmes cibles - F5, IIS, Citrix, AWS et Azure KeyVault, entre autres.
