Lorsqu'un certificat expire de manière inattendue, les répercussions sont immédiates. Les applications cessent de fonctionner. Les services destinés aux clients sont interrompus. Les équipes techniques s'empressent alors de diagnostiquer la cause du problème, passant souvent des heures à remonter la piste d'une panne pour finalement découvrir qu'elle est due à un seul certificat expiré ou mal configuré.
Ces incidents ne sont pas des cas isolés. Ce sont les conséquences prévisibles de la manière dont la plupart des organisations gèrent aujourd'hui leurs certificats : manuellement, sur des systèmes fragmentés, sans visibilité centralisée. Et ils coûtent cher.
Une étude indépendante de Forrester intitulée « Total Economic Impact » (présentée dans notre premier article de cette série, « Le coût réel de PKI: ce que la gestion des certificats coûte réellement à votre entreprise ») a révélé qu'une entreprise type, calquée sur les organisations interrogées dans le cadre de l'étude, subissait entre 18 et 22 incidents liés aux certificats par an, chaque incident entraînant en moyenne une perte de 100 000 dollars en termes de perte de productivité, de perturbations pour les clients et d'impact sur le chiffre d'affaires.
La bonne nouvelle : ces interruptions peuvent être évitées. Cet article examine leurs causes profondes, analyse les risques financiers qu'elles entraînent et montre comment les entreprises parviennent à éliminer les temps d'arrêt liés aux certificats grâce à la visibilité et à l'automatisation.
Quelles sont les causes des interruptions de service liées aux certificats ?
Les incidents liés aux certificats sont rarement dus à une seule défaillance. Ils résultent d'une accumulation de lacunes en matière de visibilité, de processus et de coordination. Trois schémas expliquent la majorité de ces incidents.
Des certificats expirés dont personne ne savait qu'ils allaient expirer
La cause la plus courante d'une interruption liée à un certificat est aussi la plus simple : un certificat a expiré parce que personne n'en assurait le suivi. Les 18 à 22 incidents liés aux certificats recensés chaque année sont principalement dus à des lacunes en matière de visibilité au sein des vastes parcs de certificats distribués.
Trop d'entreprises ne disposent pas d'un inventaire fiable de tous les certificats présents dans leur environnement. Comme l'a expliqué un participant au webinaire : « La plupart des entreprises ne savent pas réellement combien de certificats elles possèdent, elles ne savent pas où ils se trouvent, ni qui en est responsable. »
Lorsque les certificats sont dispersés entre différentes équipes, différents serveurs, différents environnements cloud et différentes applications, sans suivi centralisé, les problèmes liés à l'expiration de certains certificats ne sont plus une question de « si », mais de « quand ».
Un responsable de la sécurité dans le secteur de la grande distribution a évoqué la situation avant la mise en place d'une gestion centralisée : « Avant Keyfactor, nous subissions plusieurs pannes par an qui nécessitaient beaucoup de dépannage et de travail manuel. »
Installation incorrecte du certificat
Même lorsque les équipes détectent un certificat arrivant à expiration, le processus de renouvellement lui-même comporte des risques. Le déploiement manuel des certificats est source d'erreurs, en particulier dans les environnements complexes comportant de multiples dépendances et cibles de déploiement.
Une entreprise de télécommunications a clairement décrit ce phénomène : « Même lorsque les utilisateurs renouvelaient manuellement leurs certificats, ils ne parvenaient pas à les installer correctement. Ils oubliaient un élément ou une [dépendance], ce qui entraînait une panne. »
Les erreurs d'installation constituaient un problème récurrent au sein des organisations étudiées par Forrester. Le problème ne réside pas dans le manque de compétences des équipes, mais dans le fait que le déploiement manuel à grande échelle multiplie les risques d'erreur humaine.
L'informatique fantôme et le manque de visibilité global
Dans de nombreuses organisations, la gestion des certificats est décentralisée par défaut. Chaque équipe se charge d'acquérir et de gérer ses propres certificats à l'aide de ses propres outils et processus, sans aucune coordination au sein de l'organisation.
L'étude Forrester l'a clairement souligné : « Certaines équipes ont conservé leurs propres outils et processus, ce qui a encore réduit la visibilité sur l'environnement des certificats et contribué à accroître les risques de sécurité. »
Cette fragmentation engendre des angles morts. Les certificats émis en dehors d’un cadre de gouvernance centralisé sont, dans les faits, invisibles pour les équipes de sécurité. Le vice-président senior d’un établissement bancaire a expliqué qu’il était « assez inquiet avant d’avoir une visibilité complète sur son environnement de certificats, ne sachant pas quels certificats existaient sans qu’il en ait connaissance ».
Les certificats « fantômes » constituent la catégorie la plus risquée en matière de pannes liées aux certificats, car, par définition, personne ne les surveille.
Quel est le coût réel des pannes de certificats ?
Les interruptions liées aux certificats entraînent des coûts qui vont bien au-delà du temps nécessaire à la remise en service. Le risque financier est considérable et mesurable.
100 000 dollars par incident (et il s'agit là d'une moyenne)
L'étude Forrester a chiffré le coût moyen d'un incident lié aux certificats à 100 000 dollars, ce montant englobant la perte de productivité des employés, la perturbation des services destinés aux clients et l'impact sur le chiffre d'affaires. Pour les organisations qui subissent souvent des dizaines d'incidents de ce type chaque année, l'exposition cumulée est considérable.
Sur trois ans, la valeur actuelle ajustée au risque des coûts liés aux incidents a atteint 3,6 millions de dollars pour l'ensemble de l'organisation. Et ces chiffres correspondent à des moyennes. Pour les organisations évoluant dans des secteurs où les temps d'arrêt entraînent des sanctions réglementaires ou contractuelles, le coût par incident peut être nettement plus élevé.
Une entreprise de télécommunications a estimé le coût d'une seule panne majeure à « plusieurs centaines de milliers par heure, voire plus ».
Comme l'a résumé un dirigeant d'entreprise : « Le retour sur investissement de Keyfactor incroyablement élevé. Il se chiffre probablement en millions de dollars par an grâce à la réduction des interruptions liées aux certificats. »
Comment les entreprises parviennent à réduire le nombre d'incidents de 95 %
La conclusion la plus frappante de l'étude Forrester n'est pas l'ampleur du problème, mais la rapidité avec laquelle les entreprises l'ont résolu. Après avoir déployé Keyfactor, l'entreprise type a réduit les incidents liés aux certificats de 85 % la première année, de 90 % la deuxième année et de 95 % la troisième année.
Un responsable de la sécurité dans le secteur de la grande distribution a déclaré : « Au cours de l’année écoulée, voire des cinq dernières années, nous n’avons eu qu’un seul cas [de certificat expiré], qui n’a entraîné qu’un temps d’indisponibilité minime. »
Ces réductions résultent d'une approche ciblant directement les causes profondes. La découverte centralisée élimine les lacunes de visibilité qui permettent aux certificats d'expirer sans que personne ne s'en aperçoive. Les renouvellements automatisés éliminent l'erreur humaine du processus de renouvellement. Le déploiement automatisé garantit que les certificats sont installés correctement et dans leur intégralité. Pour en savoir plus sur le parcours de déploiement et d'automatisation, consultez l'article n° 4 : « PKI en quelques mois, et non en plusieurs années : guide pratique pour un déploiement rapide ».
Lorsque tous les certificats sont visibles, que tous les renouvellements sont automatisés et que tous les déploiements sont validés, les causes des pannes cessent tout simplement de se reproduire.
Le risque de sécurité que vous ne voyez pas
Les pannes de certificats entraînent des temps d'arrêt. Mais les certificats créent également des failles de sécurité plus difficiles à détecter et potentiellement plus préjudiciables.
Les certificats comme vecteurs d'attaque
L'étude Forrester a révélé qu'environ 5 % des incidents de sécurité liés à des attaques externes ou internes sont dus à des failles de sécurité au niveau des certificats. Pour les organisations étudiées, cela s'est traduit par un coût cumulé de 5,086 millions de dollars, avec une probabilité de survenue de 68 %.
Sur une base annualisée, cela représente environ 96 800 dollars de risque de sécurité lié aux certificats. Après avoir déployé Keyfactor, les entreprises ont réduit cette exposition de 50 %, ce qui s'est traduit par un bénéfice annuel ajusté au risque d'environ 41 000 dollars et une valeur actuelle sur trois ans de 102 000 dollars.
Ces chiffres constituent une estimation prudente, et non un plafond. La méthodologie de Forrester prévoit un ajustement à la baisse pour tenir compte de la variabilité. Pour les organisations évoluant dans des secteurs réglementés ou gérant des données clients sensibles, la valeur réelle en matière de sécurité d'une gouvernance centralisée des certificats est probablement nettement supérieure.
Avantages en matière de conformité et d'audit
La visibilité centralisée des certificats ne se limite pas à prévenir les interruptions de service et à réduire les surfaces d'attaque. Elle transforme également le processus de mise en conformité et d'audit.
Lorsque chaque certificat est répertorié, suivi et géré à partir d'une plateforme unique, les auditeurs peuvent vérifier l'état des certificats en un temps record. L'étude Forrester a révélé que les processus d'audit avaient gagné 30 % en efficacité après Keyfactor .
Cette question revêt une importance croissante à mesure que les cadres réglementaires se durcissent. La norme PCI DSS 4.0, la directive DORA et la loi européenne sur la cyber-résilience imposent toutes des exigences en matière de gestion des actifs cryptographiques et de gouvernance des certificats. Les organisations qui ne disposent pas d’une visibilité centralisée sont confrontées à une charge d’audit croissante et à des risques de non-conformité accrus.
Un vice-président senior du secteur bancaire a décrit la valeur stratégique globale de cette solution : la visibilité Keyfactor par Keyfactor permet à son organisation de se préparer à l'ère post-quantique, en lui fournissant un inventaire précis de tous ses actifs cryptographiques avant même que la transition vers des algorithmes résistants à l'informatique quantique ne commence.
Un responsable de la sécurité dans le secteur de la grande distribution a mis en avant l'aspect opérationnel : un tableau de bord centralisé offrant une visibilité sur les certificats dans tous les pays, ce qui permet une gouvernance cohérente à l'échelle mondiale.
Comment Keyfactor vous aider
La plateforme Keyfactors'attaque à chacune des causes profondes évoquées dans cet article :
- Découvrez et répertoriez tous les certificats.
Keyfactor Command offre une vue d’ensemble unifiée de toutes les autorités de certification, des environnements cloud et des terminaux réseau. Finis les certificats fantômes, finis les angles morts. - Automatisez les renouvellements pour éviter toute expiration.
La gestion automatisée du cycle de vie des certificats élimine la cause la plus courante des interruptions de service : les certificats qui expirent parce que personne n'en assurait le suivi. - Automatisez le déploiement pour éviter les erreurs d'installation.
L'approvisionnement et le déploiement automatisés suppriment les étapes manuelles, éliminant ainsi les erreurs de configuration susceptibles de provoquer des interruptions de service, même après un renouvellement réussi. Pour en savoir plus sur l'automatisation à grande échelle, consultez l'article n° 3 : Automatisation du cycle de vie des certificats : comment gérer les certificats à l'échelle de l'entreprise - Améliorez votre niveau de sécurité et votre préparation aux audits.
Une gouvernance centralisée renforce la sécurité cryptographique, réduit la surface d'attaque et rend la vérification de la conformité nettement plus efficace.
Téléchargez l'étude complète « Total Economic Impact » de Forrester pour découvrir la méthodologie détaillée et les conclusions précises qui sous-tendent ces résultats.
Vous avez des questions ? Nous avons les réponses.
Quel est le coût moyen d'une interruption de service liée à un certificat ?
Une étude indépendante menée par Forrester a révélé que le coût moyen d'un incident lié à un certificat s'élève à 100 000 dollars, ce chiffre tenant compte de la perte de productivité des employés, des perturbations subies par les clients et de l'impact sur le chiffre d'affaires. Dans les secteurs soumis à des pénalités contractuelles ou réglementaires, le coût par incident peut être nettement plus élevé.
Combien de pannes liées aux certificats les entreprises subissent-elles chaque année ?
L'étude Forrester a recensé entre 18 et 22 incidents liés aux certificats par an pour une organisation calquée sur les entreprises interrogées. Ces incidents étaient principalement dus à des certificats périmés, à des erreurs d'installation et à un manque de visibilité global sur le parc de certificats.
Quelles sont les principales causes des interruptions de service liées aux certificats ?
Trois causes profondes sont à l'origine de la majorité des incidents : l'expiration de certificats parce que personne n'en assurait le suivi, une installation incorrecte lors du renouvellement manuel, et des certificats « fantômes » gérés en dehors d'un cadre de gouvernance centralisé. Ces trois problèmes relèvent de la visibilité et des processus, et non de défaillances technologiques.
En combien de temps les entreprises peuvent-elles remédier aux interruptions liées aux certificats ?
Les entreprises ayant déployé Keyfactor les incidents liés aux certificats de 85 % la première année, de 90 % la deuxième année et de 95 % la troisième année. Cette amélioration résulte de l'automatisation de la détection, du renouvellement et du déploiement, qui élimine les causes profondes des interruptions de service.
En quoi les vulnérabilités des certificats constituent-elles un risque pour la sécurité ?
Environ 5 % des incidents de sécurité liés à des attaques externes ou internes sont dus à des vulnérabilités liées aux certificats. Les certificats périmés, mal configurés ou non répertoriés peuvent offrir des failles aux attaquants. La gestion centralisée des certificats réduit ce risque en garantissant que chaque certificat est visible, à jour et correctement géré.
Quels sont les cadres de conformité qui exigent une gestion des certificats ?
La norme PCI DSS 4.0, la directive DORA et la loi européenne sur la cyber-résilience prévoient toutes des exigences relatives à la gestion des actifs cryptographiques et à la gouvernance des certificats. Une visibilité centralisée sur les certificats et l’automatisation de leur cycle de vie aident les organisations à se conformer à ces exigences tout en réduisant la charge liée aux audits d’environ 30 %.
Comment Keyfactor -t-il les interruptions de service liées aux certificats ?
Keyfactor Command détecte et recense tous les certificats, qu'ils proviennent d'autorités de certification, d'environnements cloud ou de terminaux. La gestion automatisée du cycle de vie prend en charge les renouvellements et les déploiements, éliminant ainsi les processus manuels à l'origine de la grande majorité des pannes. Les entreprises disposent ainsi d'une source unique et fiable d'informations sur l'ensemble de leur parc de certificats.
Quel est le retour sur investissement de la prévention des interruptions de service liées aux certificats ?
À elle seule, la réduction du nombre d'incidents représente une valeur actuelle ajustée au risque de 3,6 millions de dollars sur trois ans. Si l'on y ajoute les améliorations apportées au dispositif de sécurité (102 000 dollars en valeur actuelle) et les économies opérationnelles plus générales prises en compte dans notre analyse des coûts, le retour sur investissement total de PKI atteint 356 %.
