La gestion des certificats est le processus par lequel une entreprise surveille et gère le cycle de vie de tous les certificats déployés sur un réseau.
Également appelés certificats X.509, les certificats numériques contiennent toutes les informations nécessaires à l’authentification de l’identité des personnes, des sites Web, des entreprises, et plus encore. Les certificats numériques utilisent une paire de clés privée/publique unique qui vérifie les informations circulant sur un réseau. Les certificats sont essentiels pour identifier et valider les communications et les communicateurs numériques.
Si la certification numérique peut sembler excessivement complexe, l’utilisation d’un certificat numérique est en fait un processus très simple. Le certificat est acheté auprès de l’autorité de certification (CA), qui fournit une signature numérique. Le certificat est installé sur le point de terminaison, par exemple un appareil, un serveur ou un site Web. Le certificat fonctionne jusqu’à son expiration. L’administrateur révoque le certificat et en achète un nouveau ou le renouvelle.
Les certificats ont un cycle de vie bien défini : ils sont émis, utilisés et mis hors service. Ils connaissent donc un « cycle de vie » précis. Celui-ci se compose de huit étapes, toutes liées à des processus essentiels avec un système de gestion des certificats. Bien que certaines des étapes intermédiaires puissent se dérouler dans un ordre différent de celui présenté ici, chaque certificat doit passer par chacune de ces étapes pendant toute sa durée de vie.
Lorsqu’un nouveau certificat est nécessaire, des suites de chiffrement doivent d’abord être configurées et une clé privée doit être créée, dans un processus appelé demande de signature de certificat (CSR). La CSR est envoyée, reçue et vérifiée, et l’autorité de certification procède à l’émission d’un nouveau certificat.
Une fois qu’un certificat est acquis, il est installé sur des points de terminaison, comme des serveurs, des applications et des appareils. Les chaînes de certificats sont établies et les certificats racines et intermédiaires doivent être configurés correctement pour éviter toute confusion lors des renouvellements possibles.
Au cours de l’étape de découverte, l’ensemble du réseau est analysé pour déterminer l’emplacement de chaque certificat et s’il a été correctement déployé. Une analyse de découverte permet de protéger le système contre les vulnérabilités non résolues et potentiellement exploitables en identifiant les certificats inconnus éventuellement présents.
Le renouvellement et la révocation des certificats sont plus faciles lorsque ceux-ci sont organisés dans un inventaire central. Il est également plus facile de gérer les certificats en fonction de la structure de l’équipe et des personnes qui les utilisent.
La production de rapports et la surveillance sont importantes pour deux raisons : tout d’abord, les rapports fournissent aux administrateurs des informations sur les certificats et leurs statuts, tout en donnant des réponses rapides aux questions importantes. Par exemple, quels certificats doivent être renouvelés? Combien ont été émis? Lesquels doivent être remplacés? Ensuite, ils permettent de s’assurer que le système ne présente pas d’angles morts. Les administrateurs peuvent alors anticiper et corriger les expirations de certification, évitant ainsi de manière proactive les pannes dans le processus.
Les certificats ont une durée de vie limitée et doivent être renouvelés par une autorité de certification (AC) pour rester valides. Le processus peut être automatisé à l’aide d’outils de gestion de certificats qui envoient automatiquement des certificats aux AC à des fins de renouvellement.
Il peut être nécessaire de révoquer un certificat pour certaines raisons. Cela peut être dû à une fonction de hachage dépréciée ou à un administrateur qui souhaite obtenir un autre type de certificat. Un certificat révoqué n’est plus valide, ce qui est important pour garantir qu’un ancien certificat ne soit pas utilisé par des tiers malveillants.
L’infrastructure à clé publique (ICP) est l’un des moyens les plus importants de comprendre la gestion des certificats. L’ICP est composée des rôles, des politiques, des personnes, du matériel, des logiciels et des systèmes de micrologiciels nécessaires pour sécuriser les connexions entre les réseaux privés et publics.
Les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont les types d’ICP les plus courants. Tous deux s’appuient sur un cryptosystème hybride qui utilise les deux types de chiffrement. Le certificat d’un serveur possède une paire asymétrique privée et publique, et la clé de session créée par le serveur est symétrique.
L’autorité de certification est une tierce partie qui fournit des clés et des certificats d’utilisateur final. Elle gère le cycle de vie, y compris la génération, l’expiration, la révocation et la mise à jour.
Il s’agit du niveau le plus élevé de la hiérarchie d’autorités de certification. Les autorités de certification racine restent hors ligne de manière sécurisée. Pour qu’une certification d’entité finale soit approuvée, l’autorité de certification racine doit être intégrée au système d’exploitation, au système, au navigateur ou à tout point de terminaison qui valide le certificat.
L’objectif principal d’une autorité de certification subordonnée est d’autoriser et de définir les types de certificats demandés. Ces autorités de certification résident entre les certifications d’entité racine et d’entité finale.
Il s’agit des certificats installés sur les machines, les périphériques, les serveurs et le matériel cryptographique.
Une application client désigne le logiciel utilisateur final qui demande et utilise des certificats pour des activités électroniques. Une ICP gérée a également besoin de services fonctionnant avec d’autres composants, lesquels fournissent des services pour des applications de commerce électronique. Ces services incluent l’utilisation de votre propre appareil, la signature de code, la gestion des accès, les serveurs de courriel S/MIME, les signatures électroniques juridiquement contraignantes et l’enregistrement automatisé.
Ce référentiel fournit un mécanisme évolutif pour stocker et distribuer des certificats, des listes de révocation de certificats et des certificats croisés aux utilisateurs finaux de l’ICP. Ce composant doit être réactif en raison de sa position centrale dans l’ICP.
Les processus d’entreprise doivent exploiter les systèmes numériques pour fonctionner, notamment au vu du nombre croissant d’appareils connectés, et chaque système connecté a besoin d’un certificat pour assurer la sécurité. Les administrateurs doivent être en mesure de s’assurer qu’il n’y a pas de certificats indésirables, et la gestion manuelle de ces processus est souvent impossible. Les systèmes de gestion spécialisés permettent de suivre les certificats, d’avertir lorsqu’ils sont expirés ou sur le point d’expirer, d’identifier les certificats inconnus et de favoriser une communication plus sécurisée sur les réseaux d’une organisation.
De plus, certaines des violations de sécurité les plus dommageables de l’histoire ont été causées ou exacerbées par des certificats expirés. Par exemple, une violation de l’agence d’évaluation de crédit Equifax est passée inaperçue pendant près de trois mois en 2017 parce qu’un certificat expiré empêchait une inspection appropriée du trafic réseau. L’incident a compromis les informations personnelles de 147 millions de personnes. Equifax n’est pas la seule entreprise concernée. LinkedIn, Microsoft, Ericsson et plus récemment, Google Voice ont toutes subi les conséquences d’une absence de mise à jour des certificats.
Les certificats expirés peuvent causer des pannes imprévues du système ou ouvrir des failles dans votre sécurité numérique, permettant ainsi à des personnes malveillantes d’accéder à votre réseau. Cela peut facilement entraîner une interruption du service, une atteinte à la réputation, une divulgation des données sensibles de l’entreprise et des clients, ainsi que de lourdes amendes et pénalités pour les entreprises qui laissent leurs certificats expirer.
Il est absolument essentiel de renouveler les certificats avant qu’ils n’expirent. Cependant, avec des milliers de certificats en jeu, les entreprises sont confrontées à la tâche presque insurmontable de mettre à niveau et de renouveler des certificats auprès de plusieurs autorités de certification tout en respectant des périodes de maintenance planifiée pour éviter d’interrompre les services vitaux. Et plus problématique encore, les certificats eux-mêmes manquent d’un contexte vital pour aider les entreprises à hiérarchiser les certificats critiques, à identifier les propriétaires de services ou même à déterminer quels certificats doivent être renouvelés.
Pour garantir un renouvellement des certificats dans les délais, les organisations ont besoin d’un inventaire des certificats unique, centralisé et facile à utiliser. ServiceNow rend cela possible : en exploitant les mécanismes de configuration et de visibilité ServiceNow existants pour identifier les certificats, les entreprises peuvent conserver un enregistrement clair de tous leurs certificats, en déployant peu d’efforts.
Ensuite, en intégrant une automatisation avancée sous forme de flux de travail optimisés, les entreprises peuvent optimiser le processus de renouvellement, en demandant automatiquement les approbations, en signant les tâches et en traitant de manière efficace les certificats expirés. Et tout au long du processus, le tableau de bord de gestion des certificats ServiceNow fournit un aperçu rapide, complet et clair de l’ensemble des certificats.
Avec ServiceNow, vous pouvez accorder à vos certificats essentiels l’attention qu’ils méritent et éviter les dangers, les dommages à la réputation et les pénalités qui résultent de l’expiration de ces certificats.
Anticipez les problèmes avant qu’ils ne surviennent grâce à ServiceNow.