PKI omniprésente. Savez-vous ce que cela vous coûte ?
Toutes les entreprises s'appuient sur PKI. Les certificats sécurisent vos sites web, authentifient vos appareils, protègent vos charges de travail et permettent la mise en œuvre d'une approche « zero trust ». Mais alors que PKI devenue une infrastructure fondamentale, la plupart des organisations n'ont jamais examiné de près ce que coûte réellement son exploitation.
C'est un problème, car le coût réel d'PKI presque toujours plus élevé que ce que l'on imagine.
Entre une infrastructure sur site vieillissante, des processus manuels de gestion des certificats et un personnel surchargé par des tâches opérationnelles répétitives, les entreprises dépensent bien plus pour PKI elles PKI le pensent. De plus, avec l’augmentation du nombre de certificats et la réduction de la durée de vie TLS , ces coûts ne font que s’accélérer.
Cet article analyse en détail d'où proviennent réellement PKI , ce que révèlent les données concernant le retour sur investissement de la modernisation, et comment élaborer une analyse de rentabilité que votre équipe de direction prendra au sérieux.
Où PKI les coûts réels de l'infrastructure à clé PKI ) ?
Vos PKI s'apparentent à un iceberg. Les coûts visibles (software , hardware , effectifs) ne constituent que la partie émergée. Sous la surface se cache une masse bien plus importante d'inefficacité en termes de main-d'œuvre, de dépenses excessives liées aux certificats et de freins opérationnels qui apparaissent rarement dans une seule ligne budgétaire.
Infrastructure
L'exploitation PKI implique la gestion de serveurs d'autorité de certification (CA), de modules hardware (HSM) et des licences qui relient l'ensemble de ces éléments. Pour une grande entreprise type, ce coût de base s'élève à environ 300 000 dollars par an, rien qu'en hardware en licences.
Vient ensuite la question des effectifs. PKI spécialisés PKI (en moyenne deux par organisation, à environ 187 000 dollars chacun), auxquels s’ajoutent 1,5 ETP informatiques supplémentaires chargés des tâches PKI, à environ 165 000 dollars chacun, portent le coût de base total de l’infrastructure à environ 921 000 dollars par an. Une entreprise de télécommunications a indiqué gérer entre 80 et 100 serveurs d'autorité de certification (CA) dans l'ensemble de son environnement, ce qui illustre à quelle vitesse l'infrastructure prend de l'ampleur à mesure que le volume de certificats augmente.
Ces chiffres n'ont rien d'exceptionnel. Ils reflètent le coût lié à l'utilisation d'une infrastructure PKI héritée.
Travail
Les coûts liés aux infrastructures sont, au moins, prévisibles. C'est au niveau des coûts de main-d'œuvre que les organisations sous-estiment systématiquement leurs PKI .
Pensez au temps nécessaire pour gérer manuellement les certificats. La création d’un seul certificat prend en moyenne 90 minutes. Son renouvellement prend 25 minutes. Son déploiement prend 70 minutes. À un tarif horaire moyen de 75 dollars, ces minutes s’accumulent rapidement lorsqu’il s’agit de milliers de certificats.
Les flux de travail automatisés réduisent considérablement ces délais : la mise en service passe à 2 minutes, le renouvellement à 1 minute et le déploiement à 15 minutes. Sur une période de trois ans, la valeur actuelle des économies de main-d’œuvre est considérable : 1,5 million de dollars pour la mise en service, 4,3 millions de dollars pour les renouvellements et 1,7 million de dollars pour le déploiement.
Comme l’a déclaré un vice-président senior d’une grande institution bancaire : « Le fait que nos ingénieurs se concentrent sur le déploiement et la gestion manuels des certificats dans l’ensemble de notre environnement ne nous apporte aucune valeur ajoutée. »
Cela représente 7,5 millions de dollars de coûts salariaux cumulés que les organisations doivent supporter simplement parce que les processus manuels sont devenus la norme. Pour en savoir plus, consultez l'article n° 3 : Automatisation du cycle de vie des certificats : comment gérer les certificats à l'échelle de l'entreprise
La prime liée au certificat public
Il existe un autre poste de dépense qui fait rarement l'objet de l'attention qu'il mérite : le choix du type de certificat. De nombreuses organisations ont pour habitude d'acheter par défaut des certificats publics coûteux pour des cas d'utilisation où un certificat privé ferait tout aussi bien l'affaire.
Un dirigeant d'entreprise a expliqué : « Nous avions de nombreuses interfaces utilisant des certificats publics qui pouvaient exploiter nos routes de confiance en interne, ce qui nous permettait ensuite de les émettre à un coût bien moindre. »
Un autre a formulé cette opportunité de manière plus directe : « Si je parvenais à transférer 30 % de ce que nous achetons actuellement sur le marché public vers des certificats privés, nous pourrions réaliser d’énormes économies. »
Les économies réalisées varieront d'une organisation à l'autre en fonction de la composition et du volume des certificats, ainsi que de l'infrastructure existante. Toutefois, pour les entreprises qui gèrent des centaines de milliers de certificats, le fait de faire passer ne serait-ce qu'une partie des certificats publics à une émission privée représente une réduction significative et récurrente des coûts.
Quantification du retour sur investissement de PKI
La première étape consiste à identifier où se cachent les coûts. La deuxième étape consiste à déterminer, en chiffres concrets, à quoi ressemble une meilleure approche.
Une étude indépendante de Forrester intitulée « Total Economic Impact » a analysé les résultats financiers des organisations ayant modernisé leur PKI solutions permettant d'automatiser les flux de travail courants, de consolider l'infrastructure et d'améliorer la visibilité et la gouvernance des certificats. Les conclusions de cette étude sont très convaincantes.
L'organisation composite
Pour cette étude, Forrester a imaginé une organisation type inspirée des entretiens menés. Ce modèle repose sur certaines hypothèses concernant cette organisation type, notamment :
- Elle compte environ 40 000 employés,
- Il s'appuie sur 400 000 certificats,
- Il déploie et gère les certificats à l'aide d'une infrastructure existante.
Un retour sur investissement de 356 % avec un délai de rentabilité inférieur à six mois
L'étude a révélé qu'une organisation type (20 milliards de dollars de chiffre d'affaires, 40 000 employés, 400 000 certificats gérés) avait atteint un retour sur investissement ajusté au risque de 356 % à peine trois ans après la modernisation, avec un délai de récupération inférieur à six mois. Concrètement, les bénéfices totaux ont atteint 12,7 millions de dollars en valeur actuelle, pour un coût total de 2,8 millions de dollars, soit une valeur actuelle nette de 9,9 millions de dollars sur trois ans.
Il ne s'agit pas là de projections théoriques. Ce sont des chiffres ajustés en fonction des risques et fondés sur des résultats concrets. Pour en savoir plus, consultez l'article n° 4 : « PKI en quelques mois, et non en plusieurs années : guide pratique pour un déploiement rapide ».
D'où proviennent ces économies ?
Ces 12,7 millions de dollars d'économies se répartissent en six catégories, chacune reflétant un aspect différent de la réduction PKI :
- Consolidation des infrastructures :1,4 million de dollars (remplacement de PKI sur site existante PKI des services fournis dans le cloud)
- Renouvellement des certificats :4,3 millions de dollars (automatisation du processus le plus volumineux et le plus chronophage)
- Émission de certificats :1,5 million de dollars (réduction de plus de 95 % du délai d'émission)
- Déploiement des certificats :1,7 million de dollars (réduction du temps de déploiement de 70 minutes à 15)
- Réduction du nombre d'incidents :3,6 millions de dollars (moins de pannes liées aux certificats et résolution plus rapide). Pour en savoir plus, consultez l'article n° 2 : « Les pannes liées aux certificats peuvent être évitées : comment réduire PKI et éliminer les temps d'arrêt ».
- Amélioration du niveau de sécurité :102 000 $ (meilleure flexibilité en matière de cryptographie et meilleure préparation à la conformité)
La catégorie de gains la plus importante, à savoir les renouvellements de certificats, reflète le volume considérable d'opérations de renouvellement au sein du parc de certificats d'une entreprise, ainsi que le gain de temps considérable généré par l'automatisation.
À quoi ressemble cet investissement ?
La modernisation a un coût, mais l'investissement est modeste par rapport aux bénéfices escomptés. L'étude de Forrester a mis en évidence les coûts suivants pour l'organisation type :
- Frais annuels liés à la plateforme SaaS :485 000 $
- Services professionnels (mise en œuvre) :53 500 $
- Effectifs internes (2,5 ETP à 156 000 $ en moyenne) :soutien opérationnel continu
Le coût total, exprimé en valeur actuelle sur trois ans, s'est élevé à 2,8 millions de dollars, ce qui a généré le rendement de 356 % mentionné plus haut.
Le coût de l'inaction ne cesse d'augmenter
Même si PKI liés à votre infrastructure PKI vous semblent aujourd'hui gérables, deux tendances ne font qu'aggraver le problème.
Le nombre de certificats est en hausse
Les organisations participant à l'étude ont fait état de taux de croissance du nombre de certificats de 8 % la première année, 10 % la deuxième année et 12 % la troisième année. À ce rythme, un parc de 400 000 certificats passe à plus de 475 000 en seulement deux ans.
Chaque certificat supplémentaire entraîne des tâches supplémentaires de provisionnement, de renouvellement et de déploiement. Sans automatisation, cette croissance se traduit directement par une pression sur les effectifs.
Comme l'a fait remarquer l'un de nos clients : « La meilleure preuve de la valeur que nous avons tirée de Keyfactor la possibilité de multiplier par dix l'utilisation des certificats avec le même nombre de ressources. »
TLS d'une durée de validité de 47 jours vont faire leur apparition
Le CA/Browser Forum s'oriente vers une durée de validité TLS de 47 jours d'ici 2029, contre une durée maximale de 398 jours qui était encore en vigueur récemment et qui a été ramenée à 200 jours à compter de mars 2026. Ce changement multipliera par environ huit la fréquence de renouvellement de chaque TLS de votre environnement.
Pour les organisations qui gèrent encore les renouvellements manuellement, ce changement transforme un simple problème de charge de travail en une véritable crise de personnel. À raison de 25 minutes par renouvellement manuel, le calcul ne tient tout simplement pas la route.
Un responsable de la sécurité dans le secteur de la grande distribution l'a décrit ainsi : « Toutes les fonctionnalités d'automatisation offertes par Keyfactor nous Keyfactor la visibilité et l'automatisation dont nous avons besoin pour faire face à ces évolutions du secteur. »
Comment élaborer votre propre analyse de rentabilité pour PKI
Les données ci-dessus constituent une base solide. Voici comment les exploiter pour élaborer une analyse de rentabilité adaptée à votre organisation.
Définissez votre base de référence actuelle en matière de coûts
Commencez par recenser les coûts liés à votre PKI : serveurs d’autorités de certification (CA), modules de sécurité matériels (HSM), licences et PKI dédié PKI . Les analyses comparatives de Forrester (300 000 dollars pour hardware, 921 000 dollars pour l’infrastructure de base totale) constituent des points de référence utiles à des fins de comparaison. Si vos chiffres se situent dans la même fourchette, votre structure de coûts est probablement similaire.
Évaluer le coût de la gestion manuelle des certificats
Déterminez le nombre total de certificats dont vous disposez, puis appliquez les repères temporels issus de l'étude Forrester pour estimer votre charge de travail :
| Action | Processus manuel | Processus automatisé | Réduction du temps |
|---|---|---|---|
| Provisionnement | 90 minutes par certificat | 2 minutes | 97.8% |
| Renouvellement | 25 minutes | 1 minute | 96.0% |
| Déploiement | 70 minutes | 15 minutes | 78.6% |
Multipliez le gain de temps par votre taux horaire interne et le volume de certificats pour calculer la valeur annuelle de l'automatisation à votre échelle.
Cadrer le débat sur le retour sur investissement à l'intention des dirigeants
Les analyses de rentabilité les plus convaincantes présentent PKI comme un investissement visant à améliorer l'efficacité de l'entreprise, et non comme un poste budgétaire lié à la sécurité. Mettez en avant le délai de rentabilité (moins de six mois) et la valeur actuelle nette (9,9 millions de dollars pour l'organisation type). Reliez ces chiffres à votre propre volume de certificats et à votre trajectoire de croissance.
Comme l'a résumé un dirigeant d'entreprise : « Le retour sur investissement de Keyfactor incroyablement élevé. Il se chiffre probablement en millions de dollars par an. »
Keyfactor vous aider
La plateforme Keyfactorcouvre chacune des catégories de coûts présentées dans cet article :
- Remplacer PKI existante PKI PKI gérée et hébergée dans le cloud.
La plateforme EJBCAKeyfactorpermet de supprimer l'infrastructure d'autorité de certification (CA) sur site et les 1,4 million de dollars de coûts associés en faisant évoluer PKI un modèle SaaS entièrement géré. - Automatisez le cycle de vie des certificats avecKeyfactorCommand.
Réduisez de plus de 95 % la charge de travail liée à la création, au renouvellement et au déploiement, et réalisez ainsi une économie totale de 7,5 millions de dollars sur l'ensemble du cycle de vie des certificats. - Bénéficiez d'une meilleure visibilité pour optimiser vos dépenses liées aux certificats.
Découvrez dans quels cas les certificats publics peuvent être remplacés par des certificats émis en interne et adaptez votre stratégie en matière de certificats.
Répondez à ce questionnaire de deux minutes pour estimer votre retour sur investissement et accéder à l'étude complète de Forrester.
Vous avez des questions PKI ) ? Nous avons les réponses.
Quel est le coût total de possession (TCO) lié à la mise en œuvre d'PKI ?
Pour une grande entreprise type, le coût annuel de référence s'élève à environ 921 000 dollars rien qu'en coûts d'infrastructure, ce qui inclut hardware, les licences et le personnel dédié. Ce chiffre ne tient pas compte des coûts de main-d'œuvre liés à la gestion manuelle des certificats, qui peuvent représenter plusieurs millions supplémentaires sur une période de trois ans.
Quel retour sur investissement les entreprises peuvent-elles espérer tirer de PKI ?
Une étude indépendante menée par Forrester a révélé que les entreprises ayant modernisé leurs systèmes grâce à Keyfactor un retour sur investissement ajusté au risque de 356 %, avec des bénéfices totaux s'élevant à 12,7 millions de dollars en valeur actuelle, contre 2,8 millions de dollars de coûts totaux sur trois ans.
En combien de temps PKI est-elle rentabilisée ?
L'étude Forrester a mis en évidence un délai de rentabilité inférieur à six mois. La combinaison d'économies immédiates sur les infrastructures et d'une réduction rapide des coûts de main-d'œuvre permet d'obtenir un retour sur investissement rapide.
D'où proviennent les économies les plus importantes ?
L'automatisation du renouvellement des certificats représente la principale source d'économies, avec une valeur actuelle de 4,3 millions de dollars, suivie par la réduction du nombre d'incidents (3,6 millions de dollars), l'automatisation du déploiement (1,7 million de dollars), l'automatisation de la mise en service (1,5 million de dollars) et la consolidation de l'infrastructure (1,4 million de dollars).
En quoi la réduction de la durée de validité TLS va-t-elle influer sur PKI ?
Le CA/Browser Forum prévoit de ramener la durée de validité TLS à 47 jours d'ici 2029, contre 398 jours actuellement. Cela multipliera par huit environ la fréquence des renouvellements, rendant la gestion manuelle des certificats impossible à une échelle d'entreprise sans automatisation.
Combien coûte PKI ) ?
D'après l'étude Forrester, l'entreprise type consacrait chaque année 485 000 dollars aux frais liés à la plateforme SaaS, 53 500 dollars aux services professionnels et disposait d'un soutien continu assuré par 2,5 ETP internes. Le coût total sur trois ans, en valeur actuelle, s'élevait à 2,8 millions de dollars.
Comment élaborer une analyse de rentabilité pour PKI ?
Commencez par recenser les coûts actuels PKI votre PKI et le nombre de certificats. Appliquez les références de Forrester en matière de temps (90 minutes par provisionnement manuel contre 2 minutes en automatisé) pour estimer les économies de main-d'œuvre à votre échelle. Axez la discussion sur l'efficacité opérationnelle et mettez en avant le délai de rentabilité et la valeur actuelle nette (VAN).
Les certificats privés peuvent-ils remplacer les certificats publics pour réaliser des économies ?
Dans de nombreux cas, oui. Les entreprises utilisent souvent des certificats publics coûteux pour des interfaces internes alors qu’un certificat privé suffirait. Le fait de remplacer ne serait-ce qu’une partie des certificats publics par des certificats privés peut permettre de réaliser des économies significatives et récurrentes, en fonction de la composition et du volume de vos certificats.
