En mars dernier, Google a proposé de ramener la durée de vie de ses certificats de 398 à 90 jours. Si cette mesure reste pour l'instant hypothétique, le poids de Chrome sur le marché des navigateurs (deux-tiers du total) et la tendance générale qui voit la durée de vie des certificats réduire depuis plus d'une décennie, rendent cette perspective probable. Si cette rotation plus rapide des certificats, notamment TLS, doit augmenter le niveau de sécurité, elle se traduira par une gestion beaucoup plus exigeante de ces composants au sein des entreprises.
Or, précisément, selon une étude menée par l'éditeur spécialiste de la gestion des identités Venafi auprès de 800 professionnels de la sécurité aux Etats-Unis, au Royaume-Uni, en France et en Allemagne, les entreprises ne sont pas prêtes à sauter le pas, et à gérer des renouvellements de certificats aussi fréquents. Pour 73% des professionnels interrogés, la proposition de Google risque tout bonnement de provoquer le chaos.
Un intérêt reconnu, une perspective redoutée
Plus de neuf spécialistes sur dix font part de leurs préoccupations quant à cette rotation accélérée des certificats : augmentation des coûts (citée par 44% des sondés), gestion de l'expiration des certificats (41%), pression sur les compétences spécialisées (40%) ou encore volume de certificats à gérer (40%). La perspective inquiète d'autant plus que, selon une autre étude Venafi, 83 % des organisations subissent encore au moins une panne de certificat par an. Avec des certificats ayant une période de validité d'un an !
Malgré ces inquiétudes, les spécialistes de la sécurité ne contestent pas l'intérêt d'une telle mesure. 76% d'entre eux reconnaissent, de façon générale, la nécessité de réduire la durée de vie des certificats. Mais la même proportion pense que cette mesure va fragiliser la sécurité de leur organisation et provoquer des pannes.
Fragilité sur des fonctions essentielles
« La gestion complète du cycle de vie des certificats n'est pas une mince affaire, commente Venafi. Le nombre d'identités de machines dépasse actuellement celui des identités humaines d'un facteur 45 pour 1, un écart qui ne fera que se creuser à mesure que la transformation numérique s'accélère. Avec la réduction de la durée de vie des certificats TLS à 90 jours, les entreprises seront confrontées à des niveaux de complexité encore plus ahurissants dans la gestion du cycle de vie complet des certificats. » D'autant que près d'un tiers des entreprises gère encore ses certificats avec des logiciels maison ou des tableurs.
Les principaux défis que mettent en avant les spécialistes de la sécurité interrogés disent d'ailleurs bien les lacunes sur des fonctions essentielles de la gestion des certificats : automatisation de la gestion du cycle de vie (32%), identification des propriétaires de certificats (31%), validation de la pertinence de l'inventaire (29%), distinction entre certificats internes et externes (29%), découverte des certificats TLS (28%).
Quand le renouvellement des certificats empoisonne les entreprises
1
Réaction
Google envisage de réduire à 90 jours la durée de vie des certificats, contre 398 actuellement. Un choc pour la plupart des entreprises, qui avouent qu'elles vont peiner à encaisser une telle vitesse de rotation.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Bon, ceci-dit, avec Let'Encrypt, on est habitué : mais le robot qui gère le renouvellement est bien au point.
Signaler un abus