La complexité croissante des infrastructures numériques et des échanges automatisés rend les solutions de gestion des PKI incontournables. Cependant, les coûts élevés de l’automatisation, la complexité, les problèmes de conformité et la résistance au changement restent de puissants freins à son adoption.
Avec la prolifération du numérique et des réseaux dans tous les aspects de la vie quotidienne, des milliards d’objets se connectent et échangent quotidiennement des données et des charges de travail. Ceux-ci sont de plus en plus complexes à gérer, car distribués et automatisés. En effet, en adoptant le multicloud ainsi que l’automatisation, les applications communiquant et transférant des données entre elles de manière autonome, les ressources informatiques sont hébergées dans différents domaines et sur des plateformes hétérogènes. C’est donc un terrain potentiellement très fertile pour les attaquants, d’où la nécessité de mettre en place une sécurité à travers des mécanismes de certification à clés publiques ou PKI.
La PKI est essentielle pour l’authentification et la signature des utilisateurs, des serveurs, des appareils, des applications et services IoT et services, la signature de documents numériques et bien plus encore. Mais la gestion d’une PKI peut devenir rapidement impossible à faire manuellement. Selon une étude récente de Ponemon, le nombre de certificats PKI que les entreprises doivent gérer a augmenté de 43 % en 2021. Si l’on ajoute à cela la diminution de la durée de validité des certificats, les entreprises se retrouvent dépassées par la gestion des certificats PKI.
Des certificats expirant de manière inattendue
Comme le souligne une étude de Digicert, State of PKI automation 2021, l’entreprise type de cette étude gère plus de 50 000 certificats. Les types de certificats les plus courants sont les certificats d’utilisateur et de serveur, suivis par les serveurs web, les appareils mobiles et la messagerie électronique. Les entreprises gèrent un tiers de plus de certificats publics, ou émis par des autorités de certification publiques, que de certificats privés, émis par une autorité de certification interne et privée.
Selon le rapport, « il s’agit d’une forte augmentation par rapport aux années précédentes, et de nombreux éléments montrent que les entreprises ont du mal à gérer la charge de travail. En fait, deux tiers d’entre elles ont connu des pannes causées par des certificats expirant de manière inattendue. Une entreprise sur quatre a connu cinq à six pannes de ce type au cours des six derniers mois seulement ».
L’automatisation, oui, mais…
Une situation qui s’explique en partie par l’augmentation de la charge de travail. Près de deux tiers des répondants se disent assez ou extrêmement préoccupés par le temps passé à gérer les certificats. Mais il y a aussi un problème de manque de visibilité. Trente-sept pour cent des entreprises utilisent plus de trois départements pour gérer les certificats, ce qui entraîne une certaine confusion. L’entreprise type affirme que jusqu’à 1 200 certificats ne sont pas réellement gérés, et près de la moitié, soit 47 %, déclare découvrir fréquemment des certificats qualifiables de « malveillants », c’est-à-dire des certificats qui ont été mis en œuvre à l’insu du service informatique.
« Une solution évidente à ces problèmes est l’automatisation de la PKI », conclut laconiquement le rapport. Les organisations ont en effet besoin d’une technologie de sécurité facile à mettre en œuvre, transparente, économique, flexible pour divers cas d’utilisation et évolutive pour les scénarios futurs. Et c’est en définitive ce que veulent les répondants : 91 % des répondants affirment discuter au moins de l’automatisation de la PKI, et une majorité (70 %), prévoient de mettre en œuvre une solution dans les 12 mois. Un quart d’entre elles en est déjà au stade de la mise en œuvre, mais, souligne le rapport, ce n’est pas facile. Parmi les défis cités par les entreprises figurent les coûts élevés de l’automatisation, la complexité, les problèmes de conformité et la résistance du personnel et de la direction au changement.