Le compte à rebours est lancé pour Keyfactor Tech Days | Réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • PKI
  • Vous avez des indicateurs PKI ? Voici les plus importantes que vous devez connaître.

Vous avez des indicateurs PKI ? Voici les plus importantes que vous devez connaître.

PKI

Si vous avez passé un peu de temps sur le site PKI , vous avez probablement beaucoup entendu parler de l'agilité cryptographique ces derniers temps, mais qu'est-ce que cela signifie vraiment ? 

L'agilité cryptographique consiste à adapter les éléments de votre programme PKI , tels que les algorithmes de signature et les forces des clés, pour tenir compte des évolutions à venir. Par exemple, on parle beaucoup en ce moment de se préparer à l'informatique quantique, ce qui implique de mettre à jour et de renforcer vos clés pour qu'elles restent conformes aux normes en constante évolution. 

En fin de compte, l'agilité en matière de crypto-monnaies se résume à quatre domaines critiques : 

  1. Assurer la visibilité de l'ensemble de vos clés et certificats
  2. Contrôler ces éléments pour s'assurer qu'ils sont conformes aux bonnes politiques.
  3. Automatisation du renouvellement des certificats pour éviter les pannes par rapport aux renouvellements manuels manqués
  4. Orchestrer ces polices et renouvellements à travers toutes vos différentes chaînes d'outils DevOps ou pipelines en intégrant des solutions comme Istio et HashiCorp.

 

Tous ces domaines sont importants, mais la visibilité est le point de départ le plus important. En effet, si vous ne connaissez pas l'état de votre cryptographie, les opérations PKI deviennent extrêmement difficiles. En ce qui concerne la visibilité, voici les dix mesures les plus importantes à suivre.

1) Statut d'expiration

capture d'écran de l'écran des rapports

Ce qu'il faut suivre : La visibilité de l'état d'expiration de chaque certificat, y compris la date d'expiration et les personnes qui doivent être informées avant que cela ne se produise, peut faire une énorme différence pour votre programme PKI . Sinon, vous courez le risque de pannes de réseau, et ce risque se multiplie avec le nombre croissant d'identités dans l'entreprise.

Pourquoi le suivre ? L'expiration des certificats est la principale raison pour laquelle les organisations commencent à gérer le cycle de vie des certificats, en particulier lorsqu'une panne renforce l'importance de ces activités.

Il est important de noter que les certificats expirés peuvent entraîner bien plus que de simples pannes. Dans cet exemple, l'entreprise avait un certificat expiré sur un serveur qui surveillait le trafic réseau. Le certificat ayant expiré, il ne signalait pas l'exfiltration de données qui avait entraîné la diffusion sur l'internet d'informations personnellement identifiables concernant les clients. Une fois que l'entreprise a remplacé le certificat (ce qui a pris environ 19 mois après son expiration), elle a commencé à constater le vol. Il s'agit d'un exemple où le certificat n'a pas provoqué de panne et où, en raison d'un manque de visibilité sur l'état d'expiration, l'entreprise n'a pas immédiatement remarqué que quelque chose n'allait pas.

Comment le suivre ? La meilleure façon d'avoir une visibilité sur l'état d'expiration est d'utiliser un rapport qui donne un aperçu de tous vos certificats et de leur date d'expiration, ce qui vous permet de donner la priorité à ceux pour lesquels vous devez prendre des mesures. Cette visibilité vous permet également de planifier les renouvellements qui prendront plus de temps (par exemple, dans les cas où vous ne savez pas qui est responsable d'un certificat ou vous ne savez pas comment le remplacer sur l'application qui l'utilise).

2) Taille et force de la clé

PKI Métriques - Taille clé Force

Ce qu'il faut suivre : Il est également essentiel de comprendre la taille et la force de toutes vos clés et de tous vos certificats. Cette visibilité peut vous aider à déterminer si vos clés sont faibles et à éviter ainsi de devenir vulnérable à une attaque.

Pourquoi le suivre ? Chaque fois que l'informatique progresse, les algorithmes qui sous-tendent les clés cryptographiques doivent évoluer. Étant donné la fréquence de ces évolutions, il est important de s'assurer que l'on peut adapter rapidement la taille et la force des clés, en perturbant le moins possible l'infrastructure existante.

En outre, une clé très faible peut indiquer que vous disposez d'une clé si ancienne qu'elle n'est peut-être même plus utilisée, étant donné que de nombreuses applications refusent tout simplement les certificats basés sur des normes aussi basses. Par conséquent, le suivi de la taille et de la force des clés peut également aider à identifier les cas de prolifération.

Comment le suivre ? Le rapport idéal pour cette mesure évalue la taille et la force des clés afin de fournir une vue d'ensemble des points de vulnérabilité. Par exemple, le problème est-il que la force de votre clé est trop faible ou que votre algorithme de signature est faible ? Les réponses à ces questions devraient vous permettre de savoir où vous devez ajuster vos paramètres pour maximiser la force de vos clés afin de ne pas avoir à les mettre à jour à nouveau dans un court laps de temps.

3) Algorithmes de signature

PKI Métriques - Algorithmes de signature

Ce qu'il faut suivre : Les algorithmes de signature sont le fondement de la confiance et de la sécurité pour PKI. Comme pour la taille et la force des clés, il est essentiel de suivre les algorithmes de signature et de préparer la migration si l'algorithme est obsolète.

Un exemple bien connu est la migration de SHA-1 à SHA-2. À l'époque, même si l'algorithme de signature SHA-1 était obsolète, de nombreuses applications n'étaient pas encore en mesure d'utiliser les nouveaux certificats SHA-2, de sorte que ces projets de migration ont nécessité une approche très réfléchie, basée sur les applications qui consommaient ces certificats.

Pourquoi le suivre ? Même si les hachages de grande taille sont généralement plus sûrs car ils sont moins vulnérables aux attaques par collision, la définition de "grande taille" change constamment. Par exemple, nous attendons actuellement l'avis du NIST sur la cryptographie et l'informatique quantiques. Il pourrait se produire demain quelque chose qui nous obligerait à appliquer rapidement des changements, et nous devons nous y préparer.

Dès que quelqu'un mettra la main sur un ordinateur quantique capable de casser les algorithmes SHA-2, tout le monde devra réémettre des certificats avec un algorithme beaucoup plus puissant. Il est donc essentiel de pouvoir suivre ce qui a été mis à jour et d'automatiser le remplacement de ces algorithmes rapidement à grande échelle (à l'adresse Keyfactor, nous avons réémis et déployé des millions de certificats en 24 heures).

Il est intéressant de noter que nous trouvons parfois des dispositifs IoT conçus sans tenir compte de l'agilité cryptographique, car les certificats ont une durée de vie de 20 ans et toute mise à jour nécessite d'aller manuellement sur chaque dispositif et de remplacer le certificat. Non seulement cela représente un coût énorme, mais les changements d'algorithmes au fil du temps rendront ces appareils extrêmement vulnérables.

Comment le suivre ? Les rapports les plus utiles indiquent combien d'applications ont été migrées, combien n'ont pas été migrées et ce qu'il faut faire pour que les applications restantes soient migrées. Dans des cas comme la migration de SHA-1 vers SHA-2, qui était centrée sur l'incapacité des applications à utiliser l'algorithme de signature mis à jour, ce rapport est également utile pour aider les propriétaires d'applications à comprendre quelles sont les mises à jour de sécurité qu'ils doivent effectuer.

4) Délivrance d'une autorité de certification (AC)

PKI Paramètres - Délivrance d'une autorité de certification

Ce qu'il faut suivre : Il est essentiel de connaître toutes les autorités de certification (AC) utilisées par votre organisation (qu'elles soient publiques ou privées) et de garder un œil sur les certificats qu'elles émettent. De nombreuses équipes sont chargées de trois ou quatre autorités de certification publiques qui s'intègrent dans l'ensemble de l'entreprise, ainsi que d'une autorité de certification interne. Avec toutes ces autorités de certification en jeu, vous avez besoin d'une vue d'ensemble des activités à tout moment.

Pourquoi le suivre ? La visibilité de l'émission des AC est importante pour détecter toute activité inhabituelle, inquiétante ou cachée. Par exemple, une organisation pensait disposer de 1 000 à 2 000 certificats, mais une analyse de l'inventaire Keyfactor a révélé la présence de plus de 200 000 certificats. Nous avons découvert qu'un serveur de l'environnement redémarrait toutes les six heures et qu'à chaque redémarrage, il demandait un certificat, et ce depuis deux ans sans que personne ne s'en aperçoive.

Comment le suivre ? Un rapport peut vous indiquer le nombre de certificats émis quotidiennement par chaque autorité de certification, ce qui vous permet d'identifier les tendances et d'anticiper les problèmes. Si votre équipe s'attendait à émettre deux ou trois certificats par jour, mais qu'elle en voit le triple, vous pouvez identifier l'autorité de certification à l'origine de ce pic et mener une enquête plus approfondie, car cela pourrait être le signe d'une activité malveillante. D'une manière générale, le fait de constater ces pics et toute autre chose sortant de l'ordinaire est un excellent indicateur que quelque chose ne va pas et justifie un examen plus approfondi.

5) Demandeurs et propriétaires de certificats

PKI Mesures - Demandeurs de certificats

Ce qu'il faut suivre : Ensuite, vous devez savoir qui demande des certificats et qui les possède. Bien que cela paraisse simple, la distribution de certificats peut très vite devenir compliquée, à l'instar de ce moment classique d'Oprah : "Vous obtenez une voiture, et vous obtenez une voiture !

Pourquoi le suivre ? Vous devez savoir qui a demandé un certificat et qui le possède, car en cas d'expiration d'un certificat ou d'interruption des opérations, vous devez savoir à qui vous adresser pour le renouvellement. En général, lorsque des pannes se produisent, c'est parce que quelqu'un n'a pas prêté attention à un certificat ou parce qu'il n'y avait pas de processus de renouvellement en place.

Et il suffit d'un seul certificat pour provoquer une panne, comme dans le cas de la panne de Microsoft Teams qui s'est produite peu après l'arrivée de COVID. Ce n'était qu'un certificat qui a expiré, mais cela a été un coup dur pour Microsoft à un moment où Zoom commençait à devenir dominant.

Comment en assurer le suivi ? La meilleure façon de suivre les demandes et la propriété des certificats est d'introduire un rapport qui offre une vue détaillée de qui a demandé un certificat, qui le possède, où il se trouve et qui doit être informé de l'expiration et du renouvellement à venir.

6) Certificats auto-signés

PKI Métriques - Certificats autosignés

Ce qu'il faut suivre : Au fur et à mesure que les équipes DevOps se développent, la plupart des organisations constatent une augmentation rapide des certificats auto-signés mis en place par l'équipe d'ingénierie pour suivre le rythme plus rapide du développement. Un certificat auto-signé n'est pas vraiment public ou privé - il s'agit en fait d'une autorité de certification intégrée à un certain outil, et il est essentiel de comprendre où ils se trouvent.

Pourquoi le suivre ? De nombreuses organisations essaient de comprendre comment elles peuvent rendre les certificats auto-signés conformes à leur politique PKI . Pour ce faire, elles intègrent souvent leur programme PKI à HashiCorp Vault ou à une autorité de certification sur leur maillage de services Istio. Ces intégrations peuvent rapidement devenir incontrôlables, mais elles permettent de savoir exactement où se trouvent les certificats. Autrement, les équipes de sécurité n'ont probablement qu'une visibilité limitée, voire nulle, sur l'endroit où l'équipe d'ingénierie a émis des certificats auto-signés.

Comment le repérer ? Ce type d'informatique parallèle existe principalement lorsque les certificats sont difficiles à obtenir pour les développeurs. Ce dont vous avez besoin, c'est d'un rapport qui montre qui contourne vos politiques et quand. Vous pouvez ensuite utiliser cette information pour identifier les moyens d'améliorer vos processus afin de faciliter l'obtention de certificats en toute sécurité sans ralentir leurs processus.

image de la bannière montrant que Keyfactor est très bien classé par rapport à ses concurrents pour le rapport Frost & Sullivan 2024 PKI-as-a-Service Frost Radar Report

7) Certificats Wildcard

PKI Métriques - Certificats Wildcard

Ce qu'il faut suivre : Un certificat Wildcard est un certificat unique utilisé pour plusieurs sous-domaines. Il permet de réaliser d'importantes économies, mais un seul point de défaillance du certificat peut affecter plusieurs domaines de l'entreprise. Cela présente un risque énorme en termes de pannes et d'attaques.

Pourquoi le suivre ? Si vous ne savez pas quels certificats sont des jokers ou si vous ne connaissez pas toutes les applications utilisant un certain certificat joker, vous vous retrouvez dans une impasse. Plus précisément, si un problème survient avec ce certificat ou si vous devez le renouveler, vous aurez du mal à identifier toutes les applications susceptibles d'être affectées. C'est ce qui est arrivé récemment à Spotifylorsque l'ensemble du service est tombé en panne parce que l'équipe a oublié de renouveler un certificat TLS qui était un certificat générique.

Comment le suivre ? Vous avez besoin d'un rapport qui vous indique quels certificats sont des jokers et les sous-domaines auxquels chacun d'entre eux est rattaché. La meilleure façon d'y parvenir est de marquer les certificats génériques d'une certaine manière, par exemple avec un astérisque. Sans ce type de rapport, vous risquez de ne pas savoir qu'un certificat est un joker. Et même si vous le savez, vous pouvez ne pas connaître toutes les applications qui consomment le certificat, et la seule façon de l'identifier est de procéder à des analyses manuelles du réseau.

8) Certificats automatisés ou manuels

PKI Métriques - Certificats manuels automatisés

Ce qu'il faut suivre : Quels sont les certificats dont le déploiement et le renouvellement sont automatisés et quels sont ceux qui nécessitent des mises à jour manuelles ? En règle générale, plus l'automatisation est importante, mieux c'est.

Pourquoi le suivre ? Un niveau élevé d'automatisation permet une approche plus dynamique des opérations PKI et des pratiques de gestion des certificats, tandis qu'un niveau d'automatisation plus faible entraîne un risque plus élevé de pannes. En outre, les certificats automatisés permettent de respecter la durée de vie par défaut de 90 jours des certificats, car vous ne voulez pas que quelqu'un doive remplacer ces certificats manuellement tous les 90 jours.

Comment le suivre ? Tout d'abord, vous devez disposer d'un rapport indiquant les certificats automatisés et les certificats manuels. Pour aller plus loin, l'automatisation a l'avantage de créer des rapports qui indiquent le nombre de certificats renouvelés. Cela permet d'afficher le cycle de vie des certificats, de sorte que vous pouvez même les remplacer plus tôt que nécessaire.

9) LCR Santé

PKI Métriques - Révocation de certificats

Ce qu'il faut suivre : Les listes de révocation de certificats (CRL) vous indiquent si un certificat est toujours valide ou non, et elles sont au cœur de la gestion de PKI . Par exemple, si quelqu'un quitte votre entreprise, vous pouvez révoquer ses certificats, et une CRL le fait savoir pour que les autres ne fassent plus confiance à ces certificats.

Pourquoi la suivre ? La CRL se trouve dans un endroit public où tout le monde peut la consulter. Si, pour une raison quelconque, une personne ou un service ne peut pas la consulter, il ne faut pas faire confiance au certificat. Ainsi, si la CRL est expirée ou indisponible, tous les certificats émis par cette autorité de certification seront considérés comme indignes de confiance. Par conséquent, la santé des LCR est un point de défaillance unique et doit être surveillée.

Comment en assurer le suivi ? Créez un rapport indiquant les certificats révoqués et ajoutez la possibilité de voir qui révoque ces certificats. Il est important de noter que les certificats peuvent être révoqués pour toutes sortes de raisons : Ils peuvent être compromis, ne plus être nécessaires ou avoir été remplacés.

10) Certificats inconnus

PKI Métriques - Certificats inconnus

Ce qu'il faut suivre : Les mesures précédentes sont toutes des éléments que vous pouvez facilement trouver en analysant votre réseau ou différents points finaux. La dernière mesure consiste à trouver tous les certificats de votre environnement que vous ne connaissez pas, afin de les intégrer dans votre base de données pour éliminer les angles morts et permettre l'établissement de rapports.

Pourquoi le suivre ? Avant de pouvoir analyser les certificats pour obtenir des informations spécifiques, il faut d'abord connaître tous les certificats existants. Ce qui est pire que de ne pas gérer un certificat connu, c'est de ne pas gérer un certificat inconnu, d'où la nécessité de disposer d'un inventaire complet de tous les certificats existants.

Comment le repérer ? Recherchez dans votre environnement tous les ports ouverts susceptibles d'héberger des certificats. Si vous savez où se trouvent les magasins de certificats, même si vous ne connaissez que le nom du serveur, vous devriez pouvoir configurer l'automatisation ou un orchestrateur pour explorer ce serveur et rechercher les magasins de certificats. Vous pouvez ensuite rassembler tout ce que vous trouvez dans une seule base de données sur laquelle vous pouvez établir des rapports. Ce faisant, recherchez des éléments tels qu'une erreur d'orthographe dans le nom de votre entreprise sur un certificat, car cela pourrait être le signe d'une activité malveillante.

Tout mettre bout à bout

PKI Tableau de bord

Bien qu'il ne s'agisse là que de dix des nombreuses mesures à suivre sur PKI , elles offrent ensemble une grande visibilité qui peut aider votre équipe à atteindre l'agilité cryptographique. Et maintenant ? Il est temps de tout regrouper pour faciliter la visualisation. Nous vous recommandons de commencer par les tableaux de bord suivants :

  • Rapport mensuel à l'intention des dirigeants : Ce rapport donne aux dirigeants un aperçu de l'activité d'émission au cours du mois écoulé par rapport au mois précédent. Cela donne un aperçu rapide de la santé de l'AC et permet aux dirigeants de voir rapidement s'il y a des signaux d'alarme qui doivent être examinés (comme un grand nombre de certificats devant expirer dans les 2 à 4 semaines à venir, ce qui pourrait présenter un risque d'interruption). Il aide également les dirigeants à comprendre ce qu'il faut prévoir lorsqu'il s'agit de faire évoluer l'architecture PKI . Par exemple, devez-vous mettre en place une autre autorité de certification pour faire face à une augmentation du nombre de certificats ?
  • PKI Rapport d'état : Créez une vue d'ensemble des paramètres de santé de PKI , tels que l'émission, l'expiration, la force clé et l'activité de l'AC, pour les cadres les plus techniques. Ce rapport est plus détaillé tout en offrant une vue d'ensemble de tout ce qui se passe. Il devrait également vous permettre de filtrer des éléments tels que les collections de certificats par département et d'afficher ou d'ajuster les alertes d'expiration. Dans l'ensemble, il s'agit d'une bonne vue d'ensemble pour un cadre occupé qui comprend la valeur que les certificats apportent à la sécurité de l'organisation et qui lui permet de planifier des améliorations, comme l'introduction d'une plus grande automatisation pour réduire les risques et libérer le temps de l'équipe de sécurité pour qu'elle se concentre moins sur les renouvellements et plus sur les activités à valeur ajoutée.

 

Vous souhaitez en savoir plus sur l'importance de ces indicateurs et sur la manière de commencer à les suivre ? Cliquez ici pour visionner notre webinaire sur les dix principaux indicateurs PKI pour plus de détails et de conseils.