L’ouverture croissante des systèmes d’information conduit de plus en plus d’entreprises à mettre en œuvre des modèles de protection Zero Trust, qui consistent à ne jamais faire confiance et à vérifier systématiquement l’identité des utilisateurs, des machines ou des applications. Cette approche conduit à une utilisation de plus en plus importante des certificats numériques pour identifier et authentifier. Certificats dont il s’agit désormais d’automatiser la gestion du cycle de vie.
Le modèle Zero Trust : la garantie d’accès sécurisés
Dans un contexte d’accélération de la digitalisation de l’économie, du recours au télétravail et des interactions numériques entre les utilisateurs internes ou externes (clients, fournisseurs, partenaires…), le périmètre des systèmes d’information des entreprises devient de plus en plus étendu.
La protection périmétrique, qui consiste à mettre en place des barrières à l’entrée du système d’information, n’est plus suffisante. Elle est de plus en plus complétée par des stratégies de sécurité Zero Trust, qui considèrent que tous les utilisateurs, matériels IT (ordinateurs, smartphones, objets connectés…) et applications sont, par défaut, indignes de confiance. Ce qui implique de systématiquement vérifier leur identité avant de leur permettre d’accéder au réseau, applications et données de l’entreprise.
L’identité, au cœur de la démarche Zero Trust
L’objectif global d’une démarche Zero Trust est d’empêcher l’accès non autorisé aux données et aux services, tout en contrôlant de manière aussi granulaire que possible les accès au système d’information.
1- Identification, autorisation et authentification
Une stratégie Zero Trust implique de mettre en place des mécanismes d’identification, d’autorisation et d’authentification des utilisateurs, applications et équipements.
- Pour les utilisateurs, l’authentification à double facteur (ou forte), qui nécessite l’utilisation de certificats, doit être généralisée.
- L’authentification des applications et équipements se construit autour d’un socle TLS (Transport Layer Security), qui s’appuie sur des certificats numériques pour vérifier l’identité et des périphériques réseau, serveurs Web, applications, machines virtuelles, postes de travail, etc. Ces certificats sont constitués de deux clés cryptographiques pour authentifier et sécuriser les communications M2M (machine to machine), au sein du réseau, même étendu.
2- Politique du moindre privilège
Une stratégie de sécurité Zero Trust implique également la systématisation de la politique du moindre privilège : un utilisateur ou une entité (serveur, application) ne dispose d’autorisation que pour des actions et un périmètre strictement nécessaire. De cette façon, en cas de compromission d’un compte utilisateur ou d’un élément du système d’information, les risques sont limités à ce périmètre d’action.
La politique du moindre privilège peut même aller plus loin et tenant compte d’un comportement anormal pour accepter l’accès (ou non) au système d’information. Par exemple, une organisation peut considérer qu’une connexion d’un utilisateur en dehors des heures habituelles de travail est potentiellement dangereuse et ainsi lui refuser l’accès au système d’information.
Zero Trust : l’indispensable gestion des certificats numériques
Au cœur de la démarche Zero Trust, la vérification de l’identité des utilisateurs et de tous les éléments du système d’information, équipements physiques et services applicatifs requiert donc l’utilisation de certificats. Et par voie de conséquence le déploiement d’une Public Key Infrastructure (PKI), qui permet à l’organisation de délivrer ces certificats numériques, d’établir l’identité des machines de confiance et de chiffrer les communications sur le réseau. En d’autres termes, PKI et stratégie Zero Trust sont indissociables.
En parallèle, les certificats ont une durée de vie de plus en plus réduite. Depuis plus d’une dizaine d’années, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) préconisait une durée de vie pouvant aller jusqu’à trois ans. Mais de leur côté, les navigateurs web les plus utilisés dans le monde imposent un rythme de renouvellement bien plus bien soutenu, avec une durée de vie maximale de 13 mois. Une durée sur laquelle l’ANSSI devrait prochainement s’aligner dans ses recommandations à paraître en 2022.
La multiplication du nombre de certificats à gérer dans le cadre d’une stratégie Zero Trust, couplée au raccourcissement de la durée de vie des certificats, complexifie fortement la gestion des certificats numériques.
La question de la gestion du cycle de vie des certificats
Pour les organisations, le risque que des certificats arrivés à échéance ne soient pas renouvelés augmente, et avec lui les risques d’interruptions de service ou d’impossibilités d’accéder au système d’information.
Se pose alors la question d’automatiser la gestion du renouvellement et de vérification de la conformité des certificats à l’aide d’un outil de gestion des certificats (Certificate Lifecycle Management, CLM).
Ces solutions permettent de centraliser le monitoring et de gestion des certificats et des PKI, et automatisent notamment :
- La découverte et la cartographie de l’ensemble des certificats ;
- L’approbation des demandes de certificats numériques ;
- La détection d’éventuelles anomalies (certificats expirés ou non-conformes) :
- Le renouvellement et la révocation des certificats numériques, pour éviter tout risque de certificats expirés ou au contraire valides alors qu’ils ne devraient plus l’être, offrant un accès au système d’information à une entité qui n’en a plus le droit.
Infographie sur la conformité des certificats numériques publics du secteur mutualiste et assurantiel
Face au développement numérique et aux nouveaux usages, sécuriser son système informatique est essentiel. Les certificats numériques permettent aux organisations de se protéger contre les menaces....
PKI & CLM : le duo indispensable pour gérer les certificats numériques
Avec l’augmentation du nombre de certificats numériques, les PKI (Public Key Infrastructure) ont tendance à se multiplier, rendant la gestion des certificats toujours plus complexe. Véritables «...
Sécuriser ses applications : pourquoi et comment réaliser un audit de son parc de certificats numériques ?
Les certificats électroniques sont le moyen le plus sûr pour établir des canaux de confiance entre les différents nœuds et réseaux d’une organisation. Une mauvaise configuration de certificat ou un...