PKI souffre d'un problème d'image. Demandez à n'importe quel responsable de la sécurité combien de temps prend une PKI complète PKI , et vous obtiendrez des estimations s'étalant sur plusieurs années. Cette perception contraint les entreprises à s'en tenir à des infrastructures vieillissantes, à des processus manuels de gestion des certificats et à un risque opérationnel qui ne cesse de s'aggraver.
Dans la pratique, les entreprises qui mettent en place une automatisation adéquate de la gestion des certificats mènent à bien leur déploiement en quelques mois et constatent un retour sur investissement avant même le premier cycle de renouvellement.
Une étude « Total Economic Impact » réalisée par Forrester a révélé que l'organisation type avait amorti son investissement en moins de six mois. Les personnes interrogées ont indiqué avoir mis Keyfactor par étapes, sur une période de quelques mois. Une entreprise du secteur des télécommunications a rapidement décidé de EJBCA, en effectuant la migration de PKI centrale dans des délais qui ont démenti l’idée reçue selon laquelle cette opération prendrait plusieurs années.
Cet article explique en détail à quoi ressemble concrètement un PKI progressif PKI , à quelle vitesse les bénéfices se concrétisent, quelles ressources il faut prévoir dans le budget et quel est le calendrier prévu. Si votre équipe a repoussé PKI parce que le projet semble trop ambitieux, les données indiquent le contraire : plus vous attendez, plus cela coûte cher.
À quoi ressemble un PKI progressif d'une infrastructure à clé publique ( PKI ) ?
Une mise en œuvre de quatre mois avec des ressources dédiées
L'organisation composite prise en compte dans l'étude (l'organisation hypothétique inspirée de toutes celles qui ont été interrogées) a mené à bien Keyfactor en environ quatre mois. L'équipe a mobilisé cinq collaborateurs internes à environ 75 % de leur temps de travail pendant cette période, pour déployer EJBCA pour PKI et Keyfactor Command pour l’automatisation du cycle de vie des certificats.
Il ne s'agit pas d'un calendrier indicatif. Il reflète une mise en œuvre concrète, soumise aux contraintes habituelles d'une entreprise : une infrastructure existante à intégrer, des exigences de conformité à respecter et des parties prenantes internes à coordonner.
La clé résidait dans une approche par étapes. Plutôt que de tenter de tout migrer simultanément, l'équipe a donné la priorité aux certificats ayant un impact important, puis a étendu progressivement la couverture.
Donnez la priorité aux renouvellements à court terme
Un déploiement intelligent commence par les certificats qui revêtent le plus d'importance à l'heure actuelle. L'organisation composite a donné la priorité à la migration des certificats gérés manuellement dont la date de renouvellement était proche. Cette approche a apporté une valeur ajoutée immédiate en évitant les risques liés à une expiration imminente, cause la plus fréquente d'interruptions de service coûteuses.
En ciblant les certificats dont la date d'expiration est la plus proche, les entreprises peuvent démontrer le retour sur investissement de l'automatisation dès les premières semaines suivant le déploiement. Chaque certificat renouvelé automatiquement plutôt que manuellement permet d'éviter une interruption de service et de récupérer du temps de travail des ingénieurs.
Comment fonctionne la migration par étapes ?
L'une des objections les plus courantes à PKI est la perception qu'il faudrait abandonner du jour au lendemain l'infrastructure existante. Ce n'est pas ainsi que cela fonctionne.
Au cours d’un Keyfactor , un professionnel a déclaré : « Je ne parlerais pas de “remplacement pur et simple”, car ce serait vraiment très difficile à mettre en œuvre. Les “racines de confiance” ne se prêtent pas facilement à ce genre d’opération. Il s’agit donc généralement d’une transition progressive vers une nouvelle PKI , avec une clause de maintien des droits acquis. »
Keyfactor cette approche progressive grâce à des options de déploiement flexibles. Les entreprises peuvent opter pour des configurations SaaS, hybrides ou sur site, et conserver leurs autorités de certification existantes (notamment Microsoft ADCS) tout en migrant progressivement leurs charges de travail vers une infrastructure moderne. Les autorités de certification existantes restent opérationnelles pendant la transition, ce qui élimine le risque d'une coupure perturbatrice.
À quelle vitesse la valeur s'accumule-t-elle ?
Amortissement en moins de six mois
Les arguments financiers en faveur d'un déploiement rapide sont convaincants. L'étude de Forrester a révélé que l'entreprise type avait amorti son investissement en moins de six mois, avec des bénéfices de 4,25 millions de dollars la première année, contre des coûts d'environ 1,3 million de dollars pour cette même année.
Les avantages commencent à se faire sentir avant même que le déploiement ne soit entièrement achevé. Dès que les premiers certificats sont gérés de manière automatisée, les équipes récupèrent le temps qu’elles consacraient auparavant au suivi manuel, au renouvellement et à la gestion des incidents. Pour découvrir l’analyse financière complète qui explique ce retour sur investissement de 356 %, consultez notre premier article de cette série : « Le coût réel de PKI: ce que la gestion des certificats coûte réellement à votre entreprise ».
Des avantages qui augmentent d'année en année
Le caractère cumulatif de PKI constitue l'un de ses principaux arguments financiers. L'étude Forrester a mis en évidence une progression des bénéfices, passant de 4,25 millions de dollars la première année à 5,08 millions la deuxième année, puis à 6,18 millions la troisième année.
Cette croissance est structurelle, et ses avantages se répercutent à tous les niveaux de l'organisation. À mesure que de nouveaux certificats sont migrés vers la plateforme et que le parc global de certificats augmente de 8 à 12 % par an, chaque certificat supplémentaire automatisé renforce encore davantage le gain de temps. Les processus manuels, dont la charge de travail augmentait de manière linéaire avec le volume de certificats, sont remplacés par une automatisation qui absorbe cette croissance avec un effort supplémentaire minime.
Pour en savoir plus sur la manière dont l'automatisation prend de l'ampleur à mesure que votre parc de certificats s'étend, consultez l'article « Automatisation du cycle de vie des certificats : comment gérer les certificats à l'échelle de l'entreprise ».
Éléments à prévoir dans le budget : ressources internes pour la mise en œuvre et la gestion courante
Au cours de la phase de mise en œuvre, qui durera quatre mois, il faudra prévoir de mobiliser cinq équivalents temps plein à environ 75 % de leur temps de travail. Ces ressources se chargeront de l'intégration, de la configuration, de la migration initiale des certificats et de la validation.
Une fois le déploiement effectué, la gestion courante nécessite environ 2,5 ETP, dont le coût moyen global s'élève à 156 000 dollars par ETP. Leurs activités comprennent la poursuite du développement de l'automatisation, l'intégration de nouvelles équipes et de nouveaux cas d'utilisation, le retrait des infrastructures héritées et le maintien d'une visibilité globale sur l'ensemble des certificats.
Ce modèle de dotation en personnel représente une réduction significative par rapport au niveau de référence d'avant la modernisation. L'étude Forrester a montré que les organisations ont pu libérer du temps PKI , auparavant consacré aux opérations manuelles liées aux certificats, à la maintenance de l'infrastructure et à la gestion des incidents.
Comment Keyfactor vous aider
L'approche de déploiement Keyfactorest conçue pour permettre une migration progressive et à faible risque, répondant ainsi aux besoins des équipes de sécurité des entreprises.
- Une approche « SaaS-first » alliant flexibilité hybride.
Commencez par une plateforme hébergée dans le cloud, puis évoluez vers des configurations sur site ou hybrides en fonction des besoins de votre environnement. Aucune mise en place d'infrastructure n'est nécessaire pour démarrer. - Prise en charge d'une migration progressive en parallèle des systèmes existants.
Utilisez Keyfactor Microsoft ADCS ou d'autres autorités de certification existantes pendant la phase de transition. Il n'est pas nécessaire de mettre hors service l'infrastructure existante dès le premier jour. - Un accompagnement continu de la part de nos partenaires tout au long du déploiement.
Comme l'a décrit l'un de nos clients : « Nous avons bénéficié d'un accompagnement constant de la part de Keyfactor nous assurer que, quelle que soit la conception ou l'architecture que nous mettions en place, elle serait évolutive. » La mise en œuvre est un partenariat, pas un simple transfert de responsabilité. - L'automatisation immédiate est la solution la plus efficace pour les certificats ayant le plus grand impact.
Commencez par les certificats dont la date d'expiration est la plus proche ou par les processus nécessitant le plus d'interventions manuelles. Les avantages se font sentir dès le premier renouvellement automatisé.
Il s’agit du dernier article de notre série en quatre parties consacrée à PKI . Tout au long de cette série, nous avons examiné les coûts cachés des PKI héritées, les risques évitables liés aux interruptions de certificats, l’impact de l’automatisation à l’échelle de l’entreprise, et enfin la démarche concrète permettant un déploiement rapide. L’étude « Total Economic Impact » de Forrester apporte une validation indépendante à chacune de ces conclusions. Téléchargez le rapport TEI complet de Forrester pour consulter l’analyse détaillée, ou contactez Keyfactor discuter de la feuille de routePKI de votre organisation.
Vous avez des questions sur PKI rapide d'une infrastructure PKI ? Nous avons les réponses.
Combien de temps dure généralementPKI Keyfactor ?
La plupart des entreprises mènent à bien leur Keyfactor initial Keyfactor en environ quatre mois. L'entreprise type de l'étude Forrestera suivi une approche par étapes, en commençant par les certificats ayant le plus grand impact, puis en étendant progressivement la couverture.
Dois-je remplacer mes autorités de certification actuelles pour utiliser Keyfactor?
Non. Keyfactor aux autorités de certification existantes, y compris Microsoft ADCS. En général, les entreprises exploitent Keyfactor leur infrastructure existante pendant une phase de transition progressive, plutôt que de procéder à une migration radicale qui perturberait leurs activités.
Combien de ressources internes sont nécessaires pour la mise en œuvre ?
Selon l'estimation composite de Forrester, cinq équivalents temps plein (ETP) ont été affectés à environ 75 % de leur temps de travail pendant la phase de mise en œuvre de quatre mois. Une fois le déploiement terminé, la gestion courante nécessite environ 2,5 ETP.
À partir de quand les entreprises commencent-elles à constater un retour sur investissement avec Keyfactor?
Le retour sur investissementest atteint en moins de six mois. Les bénéfices commencent àse concrétiser dès que les premiers certificats sont générés automatiquement, avant même que le déploiement complet ne soit achevé. Selon l'étude Forrester, les bénéfices pour la première année s'élevaient à 4,25 millions de dollars.
Quel est Keyfactor pour une grande entreprise ?
L'abonnement SaaS annuel, couvrant jusqu'à un million de certificats, s'élève à environ 485 000 dollars, auquel s'ajoute un forfait unique de 53 500 dollars pour les services professionnels. Il n'y a pas de frais par certificat, ce qui permet de maintenir des coûts prévisibles même lorsque votre parc de certificats s'agrandit.
Peut-on Keyfactor fonctionner dans mon environnement sur site existant ?
Oui. Keyfactor des options de déploiementen mode SaaS, hybride,appliance sur site. La plupart des entreprises commencent par le mode SaaS et évoluent vers des configurations hybrides selon leurs besoins, mais le déploiement entièrement sur site est pris en charge.
Comment la migration par étapes se déroule-t-elle concrètement ?
En général, les organisations commencent par automatiser les certificats dont les dates de renouvellement sont les plus proches, puis intègrent progressivement d’autres types de certificats, d’équipes et de cas d’utilisation. Les autorités de certification existantes continuent de fonctionner tout au long de la transition. Les racines de confiance sont transférées vers la nouvelle plateforme selon un régime de droits acquis, plutôt que d’être remplacées brusquement.
Qu'advient-il de notre PKI PKI une fois l'automatisation mise en place ?
PKI réduit le temps que votre équipe consacre au suivi manuel des certificats, à leur renouvellement et à la gestion des incidents. L'étude Forrester a mis en évidence des gains significatifs en termes d'efficacité du travail. La plupart des organisations réaffectent les ressources techniques ainsi libérées à des initiatives de sécurité à plus forte valeur ajoutée, plutôt que de réduire leurs effectifs.
