Alors que les entreprises adoptent une approche numérique, une décision clé s'impose : le choix d'une solution d'infrastructure à clé publiquePKI. L'PKI constitue l'épine dorsale de nombreux mécanismes de sécurité, permettant l'authentification, les signatures numériques et les communications cryptées.
Cependant, lorsqu'il s'agit de choisir entre une PKI publique ou privée, il n'existe pas de solution unique, en particulier avec l'évolution de réglementations telles que eIDAS 2.
Dans ma prochaine présentation aux Keyfactor Tech Days, j'approfondirai l'évolution de la confiance numérique et des certificats publics TLS, S/MIME, Code Signing et Qualified Trust Services, en explorant les tendances émergentes qui vont remodeler le paysage de la cybersécurité.
Le rôle du TLS public et de l'PKI privée
Les certificats publics TLS , également connus sous le nom de "WebPKI", sont la forme la plus courante de confiance que les gens reconnaissent lorsqu'ils visitent un site web. Reconnus par les navigateurs les plus répandus, ces certificats authentifient et chiffrent les services publics, garantissant ainsi que les utilisateurs se connectent à des sites légitimes. Le TLS public est simple - facile à mettre en œuvre, universellement accepté et suffisant pour une utilisation quotidienne.
Toutefois, en raison de l'absence d'autres cadres de confiance publics et de hiérarchies d'PKI publiques "dédiées à des cas d'utilisation", la WebPKI a également été utilisée, historiquement, par d'autres que les navigateurs les plus répandus. Les fournisseurs de systèmes d'exploitation et d'autres fournisseurs de software application/fournisseurs de services ont proposé des solutions software utilisant les AC racine de la WebPKI comme ancres de confiance pour leurs cas d'utilisation d'authentification du serveur (et du client) TLS . SMTP, IMAP, LDAP, FTP et de nombreux autres protocoles/cas d'utilisation ont pu "activer TLS" en utilisant des certificats TLS publics. Quel est l'avenir de ces cas d'utilisation "hors navigateur" ?
L'PKI privée, en revanche, est souvent choisie par les entreprises dont les besoins en matière de sécurité sont plus personnalisés. Une autorité de certification (AC) privée assure un contrôle total des politiques de sécurité, des clés cryptographiques et de la conformité réglementaire. Pour les entreprises qui gèrent des données sensibles, une PKI privée offre une autonomie et une flexibilité que les solutions publiques ne peuvent égaler.
eIDAS (Electronic Identification, Authentication and Trust Services) est un cadre de l'Union européenne qui définit des normes pour les signatures numériques et les transactions électroniques. La véritable avancée d'eIDAS réside dans le poids juridique qu'il confère : les signatures numériques ne sont plus seulement sûres, elles sont juridiquement contraignantes. Avec eIDAS 2, ce cadre évolue pour apporter des exigences de conformité plus strictes, mais aussi de nouveaux services de confiance et des portefeuilles d'identité numérique qui révolutionneront la façon dont les citoyens/entités légales interagissent numériquement avec d'autres citoyens/entités légales et avec les services gouvernementaux.
PKI publique ou privée : les compromis
Le TLS public est largement reconnu et simple à mettre en œuvre, mais il manque de souplesse. Vous dépendez d'une autorité de certification tierce, de règles strictes imposées par le forum des autorités de certification/navigateurs et des politiques de magasin racine des navigateurs, qui peuvent ne pas correspondre à vos politiques de sécurité internes. Bien que pratique, ce manque de contrôle peut être contraignant et, dans certains cas, perturbant si l'on n'y est pas préparé (par exemple, lors d'un événement de révocation/remplacement massif de certificats où les certificats doivent être révoqués dans les 24 heures par l'autorité de certification tierce).
L'PKI privée, quant à elle, offre une plus grande flexibilité et un meilleur contrôle. Cependant, elle s'accompagne d'une complexité accrue.
La gestion d'une autorité de certification privée nécessite une infrastructure, une expertise, des politiques soigneusement conçues et une maintenance permanente - il ne s'agit pas d'une solution "prête à l'emploi". La question est la suivante : donnez-vous la priorité à la commodité et à la confiance générale ( TLS public), ou au contrôle et à la personnalisation ( PKI privée) ? Nous voyons de plus en plus d'AC publiques proposer des services gérés/des solutions PKI privées qui semblent offrir un bon équilibre entre flexibilité/contrôle et sécurité (les AC publiques ont déjà les compétences, l'expertise, l'infrastructure et les politiques de sécurité de base en place).
Dans les années à venir, en particulier lorsque la WebPKI introduira des politiques plus strictes (par exemple, une validité maximale des certificats de 100 ou 47 jours) qui obligeront les opérateurs de sites web à mettre en œuvre l'automatisation de la gestion du cycle de vie des certificats, quelle est la meilleure voie à suivre pour les cas d'utilisation de l PKI publique "hors navigateur" et les sites web "non accessibles à partir de l'internet public" ? Pour ceux qui ne peuvent pas automatiser la gestion du cycle de vie des certificats à temps, le passage à une PKI privée pourrait être la meilleure solution.
Regarder vers l'avenir : L'impact d'eIDAS et des PKI et privées sur la confiance numérique
L'avenir de la confiance numérique exige des décisions éclairées et avant-gardistes. Les Keyfactor Tech Days seront une excellente occasion de se réunir et d'apprendre comment rester en tête de la courbe de la cybersécurité. Dans ma session, j'explorerai la manière dont eIDAS, les PKI publiques et privées évoluent dans le paysage de la confiance numérique.
En outre, eIDAS étant déjà un cadre de confiance établi et testé avec succès pour les transactions transfrontalières, les pays non membres de l'UE adoptent des cadres identiques ou très similaires dans leur législation nationale, ce qui accélère la convergence et l'acceptation juridique des signatures numériques à l'échelle mondiale.
C'est pourquoi j'espère que vous me rejoindrez lors des Keyfactor Tech Days à Miami Beach, afin d'approfondir l'impact de ces tendances sur notre avenir numérique.
Keyfactor Tech Days - Achetez votre billet ici ! Rejoignez-nous pour un voyage inoubliable vers un avenir de confiance numérique sécurisée, évolutive et automatisée.
