Malgré son importance, la PKI (public key infrastructure) reste une technologie relativement peu connue du grand public, mais aussi de nombreuses organisations. Et à l’heure où l'écosystème numérique prend une part de plus en plus importante dans notre vie et que le nombre de certificats monte en flèche, il est essentiel que les équipes IT ne soient plus les seules à comprendre les conséquences d'une mauvaise gestion des certificats, et à savoir comment s’en prémunir notamment grâce à l’automatisation.
Chaque utilisateur génère a minima trois certificats
Le nombre de certificats numériques gérés par une organisation varie, mais pour établir une base de référence, chaque collaborateur est généralement responsable d'au moins trois certificats : ordinateur portable, téléphone et identifiant utilisateur (souvent lié à l’email ou accès VPN). Une organisation comptant 10 000 employés doit donc gérer a minima 30 000 certificats, devant être constamment mis à jour. Tout cela sans prendre en compte les certificats web, les appareils IoT, les conteneurs DevOps, les systèmes de contrôle industriel et les autres actifs que la PKI permet de sécuriser. Ainsi, certaines organisations génèrent et gèrent des centaines de milliers, voire des millions de certificats !
Cette utilisation exponentielle a fait de la gestion des certificats un défi majeur pour les équipes IT, car chaque certificat possède une durée de validité limitée, après laquelle il doit être renouvelé ou bien révoqué : depuis le 1er septembre 2020, le cycle de vie des certificats SSL/TLS publics a été réduit à seulement un an. Or un oubli peut avoir de graves conséquences répercutées sur l’organisation.
Une panne informatique peut être équivalente à 150 000$ perdus par heure
Selon une étude de l’Institut Ponemon en 2021, 71 % des professionnels indiquent que leur organisation ne connaît pas le volume de certificats utilisés, et 74 % expliquent que leur entreprise ne sait pas quels certificats sont utilisés, ni où les trouver ou quand ils expirent. Or une mauvaise gestion des certificats peut créer des brèches très difficilement réparables. Dans une architecture de réseau moderne, les systèmes d’information communiquent constamment avec d'autres systèmes, et il n'est pas toujours facile de savoir où une panne s'est produite. C’est un peu comme une guirlande de Noël : si une ampoule brûle, vous devez tester chaque ampoule pour savoir laquelle est défaillante. Et les défaillances de gestion de certificats fonctionnent de manière analogue. Le système ne fonctionne tout simplement plus et c'est à vous de déterminer comment et où une erreur a pu se produire.
Récemment, ces pannes ont été de plus en plus médiatisées car elles ouvraient la porte à toutes sortes de pannes ou de cyberattaques, touchant in fine des millions d'utilisateurs. À titre d’exemple, en novembre 2021, Microsoft Teams est tombé en panne à cause de certificats expirés mettant hors ligne de nombreuses fonctionnalités de Windows 11. Selon un rapport de 2020 de l’Information Technology Intelligence Consulting, 98 % des entreprises estiment que les temps d'arrêt coûtent plus de 150 000 dollars par heure. Et si les grandes entreprises, comme Microsoft, sont capables d’encaisser ces coûts, d’autres ne le peuvent pas.
Rappelons que l'interruption du site web n'est pas la seule conséquence d'une panne de certificat. Si l'ordinateur d'une pizzeria ne fonctionne plus, elle n’est plus capable de livrer. Si une commande est passée sur un site de e-commerce, une panne de certificat en aval peut empêcher le colis d'arriver jusqu'au camion. En bref, les conséquences en cascade d'une mauvaise gestion des certificats sont nombreuses, et il devient même difficile de quantifier les dommages potentiels, tant ils sont immenses.
L'importance de l'automatisation
Selon une étude McKinsey, plus de 40 % des salariés consacrent un quart de leur semaine de travail à des tâches manuelles répétitives, et 60 % estiment qu’ils pourraient gagner au moins six heures par semaine en mettant en œuvre des processus d’automatisation.
Mais l’automatisation des certificats n'a pas pour seul but de maximiser l'efficacité des équipes IT ou de faciliter leur quotidien. Il s'agit également d'éviter les conséquences des pannes de certificats, de protéger la réputation des entreprises et des organisations et leurs résultats… Et ainsi de veiller à ce qu'une technologie conçue pour protéger les identités des appareils et des utilisateurs ne finisse pas finalement par devenir un problème majeur.
La PKI a donc beau ne pas être (re)connue, son impact est ressenti par toutes les organisations et tous les secteurs. Sans la technologie PKI, Internet tel que nous le connaissons ne pourrait pas fonctionner. Alors en 2022, il est temps de délester les professionnels de l’IT et d’oublier la PKI pour de bon en optant pour l’automatisation !
Commentaire