Votre information est un capital tout aussi précieux que n'importe quelle ressource de votre entreprise. D'où la nécessité absolue d'ajouter plusieurs niveaux de protection à vos systèmes et données les plus critiques. L'infrastructure PKI vous donne accès à des méthodes avancées d'authentification et de chiffrement afin de réduire les risques pour vos réseaux.
L'infrastructure à clés publiques (PKI) repose sur un ensemble de processus, de technologies et de politiques qui permettent de chiffrer et de signer des données. Vous pouvez alors émettre des certificats ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs pour l'authentification de vos utilisateurs, de vos appareils et de vos services. Ces certificats établissent des connexions sécurisées pour vos pages web publiques, mais aussi vos systèmes privés (VPN, Wi-Fi interne, pages Wiki et autres services compatibles avec l'authentification multifacteur). Des questions?
Une infrastructure PKI privée vous permet d'émettre vos propres certificats SSL privés à partir d'une racine intermédiaire unique, souvent maintenue par une AC publique de confiance. Ainsi, vous pouvez adapter vos certificats à vos propres besoins et déployer des certificats à la demande en interne.
Contrairement aux idées reçues, la PKI répond parfaitement aux besoins d'un Internet des objets (IoT) en plein essor grâce à des moyens d'authentification critiques.
Ìý Ìý
Cinq étapes pour concevoir une infrastructure PKI évolutive
Concevoir une infrastructure PKI évolutive: entretiens
PKI: la solution de sécurité IoT
L'infrastructure à clés publiques (PKI) repose sur un ensemble de processus, de technologies et de politiques qui permettent de chiffrer ou de signer des données. Vous pouvez alors émettre des certificats ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs pour l'authentification de vos utilisateurs, de vos appareils et de vos services. Ces certificats conviennent tant aux pages web publiques qu'aux services internes privés (authentification d'appareils connectés à votre VPN, votre Wiki, votre Wi-Fi, etc.).
L'infrastructure à clés publiques (PKI) renforce considérablement le niveau de sécurité de votre réseau. C'est parce qu'elle assure trois missions clés:
Parmi les principaux cas d'usage de l'infrastructure PKI:
Le chiffrement intégral consiste à chiffrer un message sur votre appareil et à le déchiffrer sur celui de votre destinataire. Ainsi, aucun tiers ne peut intercepter vos données sensibles.
Une Autorité de certification (AC) désigne un tiers de confiance qui vérifie l'identité d'une organisation demandeuse d'un certificat ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð. Après cette vérification, l'AC émet un certificat et rattache l'identité de l'organisation concernée à une clé publique. Vous pouvez faire confiance à un certificat ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð, car il est lié au certificat racine de l'AC.
Un certificat ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð atteste de l'identité de son titulaire. Comme une carte d'identité, ce certificat a été émis par un tiers de confiance il ne peut pas être falsifié et contient des informations permettant d'identifier son détenteur.
Les clés publiques et privées servent à chiffrer et déchiffrer des informations. Seule la clé privée correspondante peut déchiffrer les informations chiffrées par une clé publique. Pour désigner l'action de cette paire de clés, on parle de cryptographie asymétrique (parce que le chiffrement repose sur deux clés différentes). Les deux clés sont mathématiquement liées, mais il est impossible de trouver l'une à l'aide de l'autre.
Un certificat racine fournit la signature qui établit la relation entre une identité et une clé publique. C'est ainsi que vous pouvez vous assurer de la validité et de la fiabilité d'un certificat.
Pour faire court, oui. ¶ºÒõ¹Ý propose des solutions pour les infrastructures PKI privées et publiques, adossées à une plateforme et une API RESTful pour vous permettre d'automatiser la gestion de certificats et de personnaliser vos workflows PKI. Jusqu'ici, peut-être n'avez-vous eu affaire qu'à une AC commerciale pour acheter des certificats SSL publics. Peut-être pensez-vous donc que les certificats privés ont le même coût que les certificats publics. Détrompez-vous. Avec ¶ºÒõ¹Ý, vous pouvez émettre un certificat ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ð privé pour une fraction du prix d'un certificat public.
Certains administrateurs et ingénieurs en sécurité pensent à tort qu'une PKI privée hébergée ne leur donnera accès qu'à certains profils de certificats – ceux approuvés par le CA/Browser Forum. En réalité, ¶ºÒõ¹Ý vous fournit tous les profils de certificats dont vous avez besoin, même s'il ne s'agit pas de profils de certificats SSL/TLS ou X.509.
Managed PKI (MPKI) désigne une solution fournie par une AC, qui vous permet d'automatiser vos processus de certificats et de personnaliser vos workflows PKI. Si votre entreprise a besoin d'un grand nombre de certificats, elle a tout intérêt à opter pour une solution MPKI afin de simplifier la gestion de ces certificats.
Vous pouvez sécuriser vos services internes (VPN, Wi-Fi, Wiki, etc.) à l'aide d'une AC interne. Les organisations ont généralement recours à Microsoft CA. Toutefois, la création et la maintenance d'une AC interne peuvent coûter cher et prendre du temps. Il est donc important d'envisager l'impact financier de chaque option avant de vous décider. De nombreuses AC offrent des solutions hébergées qui vous permettent d'économiser sur les coûts RH, matériels et logiciels liés à la création de votre propre PKI interne.
Une politique de certificats (CP) recense les différents acteurs d'une infrastructure PKI, leur rôle et leurs responsabilités. Elle indique comment utiliser les certificats, comment les nommer, comment générer les clés et énonce bien d'autres pratiques encore. En règle générale, la CP associée à un certificat X.509 est citée dans l'un de ses champs. Pour de plus amples informations sur les CP, consultez le dernier document de référence sur le sujet (RFC 3647):
Le stockage des clés, souvent appelé archivage des clés, consiste à conserver la clé privée de manière sécurisée pour parer aux pertes. Pour vous conformer à la et atteindre un niveau de sécurité maximal, nous vous recommandons de stocker vos clés à l'aide d'un module de sécurité matériel (HSM).
Un module HSM est une solution cryptographique matérielle de stockage sécurisé des clés. En règle générale, ces modules sont installés sur site et leur maintenance mobilise des ressources en interne. Cela peut s'avérer coûteux, mais des options moins chères existent. Par exemple, propose un stockage sécurisé de vos clés dans le module HSM cloud de Microsoft. Si vous êtes une petite entreprise ou que vous n'avez pas les moyens d'acheter et de maintenir votre propre module HSM, Microsoft Azure Key Vault est fait pour vous. Certaines AC publiques, y compris ¶ºÒõ¹Ý, offrent des intégrations à Microsoft Azure.
Vous devrez d'abord évaluer votre environnement, vos besoins et vos technologies existantes. Nous vous conseillons de procéder en cinq étapes:
Besoin d'aide? Contactez l'un de nos architectes PKI par e-mail à l'adresse enterprise@digicert.com.