Naviguer dans la maturité de la gestion des certificats : Une feuille de route pour une réussite à long terme

Dans le paysage numérique actuel, les organisations ont besoin d'aide pour assurer la visibilité et le contrôle de leurs clés et certificats numériques. 

Une entreprise moyenne gère 255 000 certificats et clés, souvent répartis entre plusieurs unités commerciales. Leur gestion en silos par le biais de processus manuels coûte aux équipes une bande passante importante et présente un risque d'indisponibilité. 

Perfectionnement Infrastructure à clé publique (PKI) et Gestion du cycle de vie des certificats (CLM) ne se fait pas du jour au lendemain et n'est pas non plus un effort unique. Selon le rapport de Keyfactor Rapport 2023 sur l'état de l'identité des machines:

•  77 % des organisations admettent que les certificats numériques continuent de provoquer des pannes et des temps d'arrêt non planifiés.
• Moins de la moitié des organisations disposent d'une stratégie globale de gestion des identités machine appliquée de manière cohérente à l'ensemble de l'entreprise. 
• 62% des organisations ne savent pas combien de clés et de certificats elles possèdent.

Il existe cinq niveaux de maturité pour CLM , décrits dans le livre de maturité de la gestion du cycle de vie des certificats (Certificate Lifecycle Management Maturity ebook) de Keyfactor. Ce blog explore les niveaux 1 et 2, dans lesquels de nombreuses organisations se trouveront probablement. Pour approfondir ce que signifie être au niveau 3 ou 4, et avoir une idée de ce à quoi ressemble une pratique CLM pleinement mature au niveau 5, decharger le livre électronique sur le modèle de maturité CLM .

Au niveau 1, les équipes s'efforcent de faire face au volume croissant et à la prolifération des certificats dans l'ensemble de l'organisation, en grande partie parce qu'elles exécutent CLM avec des processus fortement manuels.  

Les équipes de niveau 1 gèrent les certificats à l'aide de solutions manuelles telles que des feuilles de calcul, des rappels de calendrier ou des scripts pour informer les propriétaires de certificats de leur expiration imminente. Il n'y a pas d'automatisation, et la maintenance des ressources PKI prend du temps et est sujette à des erreurs. 

L'inconvénient de la gestion manuelle, basée sur une feuille de calcul, de PKI est qu'elle dépend de la capacité du personnel à savoir où vérifier les certificats existants. Les certificats inconnus et non suivis constituent toujours une menace. Au fur et à mesure que le volume des identités des machines augmente et que les cycles de vie des certificats recommandés se raccourcissent, le niveau 1 devient beaucoup moins tenable.

Les organisations de niveau 1 devraient faire le point sur leurs certificats et leur site PKI afin d'identifier les flux de travail qui pourraient être facilement automatisés et de commencer à mettre en place un processus à l'échelle de l'organisation concernant les clés et les certificats.

Questions à poser

• Quelles sont les unités opérationnelles et les applications qui s'appuient sur des certificats ?
• Combien d'autorités de certification (AC) émettent activement des certificats dans notre environnement et combien sont utilisées ?
• Combien de temps est consacré à la délivrance et à la mise à jour des certificats dans tous les services ?

Les organisations de niveau 2 ont fait de grands progrès dans la gestion des certificats connus en abandonnant les processus manuels. Cependant, la menace d'un certificat non détecté se cachant dans les profondeurs du système est toujours très réelle. 

La gestion des certificats étant répartie entre plusieurs départements et des outils disparates, la visibilité et les rapports sont toujours fragmentés et cloisonnés. 

Pour résoudre ce problème, les équipes doivent s'efforcer d'améliorer leurs capacités de découverte. Elles ont besoin d'outils de découverte basés sur le réseau et d'outils de découverte locaux (c'est-à-dire des agents et des orchestrateurs) pour savoir où les certificats résident dans le réseau, quelles applications les utilisent et où la clé privée est stockée. 

Le véritable objectif est la centralisation. La centralisation de CLM dans l'ensemble de l'organisation permet non seulement d'améliorer la visibilité et le contrôle, mais aussi de consolider la propriété de CLM et d'aligner la gouvernance et les meilleures pratiques dans l'ensemble de l'organisation. 

Questions à poser

• Combien de rapports faut-il pour créer une vue d'ensemble de CLM à travers plusieurs AC ? Quels sont les rapports manquants ?
• Si un certificat est sur le point d'expirer, comment s'assurer que son propriétaire le renouvellera à temps ?
• Est-ce que je sais où chaque certificat est utilisé, ou est-ce que je sais seulement d'où il a été émis ? 

Au cinquième et dernier niveau de maturité de CLM , les organisations ont atteint l'automatisation zéro-touche de CLM et une véritable crypto-agilité. Les organisations de niveau 5 ont établi un inventaire complet de tous les certificats dans leur environnement, quelle que soit la source ou la destination du certificat. Même si un petit pourcentage de certificats n'est pas automatisé, 100 % des certificats sont connus.

Au niveau 5, la sécurité de PKI est tellement intégrée dans le flux de travail DevOps qu'elle est pratiquement invisible et discrète pour les développeurs. Les silos d'utilisation de PKI ont été complètement démantelés. Les équipes de sécurité de l'information jouent un rôle actif dans le tissu DevSecOps, en aidant les ingénieurs à relever la barre de la qualité, de la rapidité et de la sécurité.

Si le niveau 5 vous semble impossible à atteindre, ne vous inquiétez pas. En vous concentrant sur la maturation d'un niveau à l'autre, vous atteindrez la pleine maturité sur CLM de la manière la plus efficace possible.

Pour donner le coup d'envoi à l'évolution de CLM au sein de votre organisation, envisagez les étapes suivantes :

1. Constituez votre équipe: Commencez par évaluer les parties prenantes impliquées dans CLM et intégrez-les dans le processus. La collaboration et la communication entre les équipes sont essentielles pour une gestion réussie de CLM .
2. Comprendre les cas d'utilisation: Acquérir une compréhension complète des différents cas d'utilisation qui requièrent CLM au sein de votre organisation. Cette connaissance permettra d'identifier les domaines critiques qui nécessitent une attention et une amélioration.
3. Cartographiez votre infrastructure CLM : Créez une carte détaillée de l'ensemble de votre infrastructure CLM . Cet exercice permettra de clarifier l'état actuel de votre site CLMet d'identifier les domaines dans lesquels des améliorations sont nécessaires.
4. Suivi des progrès: Élaborez un plan pour suivre vos progrès vers la maturité CLM . Établissez des jalons mesurables et évaluez continuellement vos progrès, en procédant à des ajustements si nécessaire.

Toute organisation peut atteindre la forme la plus élevée de maturité CLM - et elle devra le faire pour garder une longueur d'avance sur l'augmentation du volume de certificats et des cas d'utilisation, ainsi que sur les nouvelles menaces de sécurité.

Les niveaux 1 et 2 sont destinés à trier les inefficacités qui affectent les équipes et à discerner une vision spécifique à l'organisation pour la maturité CLM . Les niveaux 3 et 4 permettent de combler le fossé vers une pratique évolutive et résiliente de CLM .

Quel que soit le niveau de maturité d'une organisation ( CLM ), l'ebook sur le modèle de maturitéCLM peut fournir une feuille de route pour l'aider à passer à l'étape suivante. 

En adoptant l'automatisation, en encourageant la collaboration et en mettant en œuvre des pratiques robustes sur le site CLM , les organisations peuvent établir une base solide pour les futures politiques de gestion des certificats.