Il y a seulement dix ans, la gestion des certificats SSL était considérée comme une question secondaire par de nombreuses entreprises. Les certificats avaient une durée de validité de plusieurs années, leur renouvellement était prévisible et les acteurs malveillants nʼexploitaient pas la confiance à lʼéchelle que nous connaissons aujourdʼhui.
Mais à mesure que le monde numérique sʼest développé grâce aux plateformes cloud, aux microservices et à lʼautomatisation, les vulnérabilités dans les processus de délivrance des certificats représentent un risque de sécurité accru si elles sont exploitées par des cybercriminels. En réponse, le secteur a renforcé les règles de validation, rendu les contrôles automatisés indispensables et supprimé progressivement la vérification des adresses e-mail WHOIS.
Pourtant, de nombreuses entreprises continuent à fonctionner avec des flux de travail manuels, jonglent entre plusieurs fournisseurs de certificats et utilisent un ensemble fragmenté de types de validation inadaptés à lʼenvironnement actuel des menaces. Cela ressort clairement de notre rapport, « Le paysage du SSL », qui montre comment les organisations gèrent les certificats aujourdʼhui. Il souligne également pourquoi une approche plus stratégique est essentielle, car les organisations sʼappuient de plus en plus sur les certificats pour presque tous les points de contact numériques, les transactions et les interactions avec les utilisateurs.
Les nouveaux changements entraînent des pressions opérationnelles supplémentaires
Le secteur évolue rapidement vers des cycles de vie plus courts pour les certificats. Dʼici 2029, la durée de validité des certificats SSL/TLS passera de 367 jours à seulement 47 jours, et la réutilisation de la validation du contrôle de domaine (DCV) sera réduite à une brève période de 10 jours. Cela signifie que les organisations doivent se préparer à renouveler leurs certificats près de huit fois plus souvent.
Cette transition coïncide avec une sophistication croissante des menaces. Les certificats DV, peu coûteux et faciles à obtenir, dominent désormais 73,5 % du marché. Si personne ne prétend que les DV ne sont pas sûrs, ils offrent aux cybercriminels un moyen facile de faire passer des domaines malveillants pour des sites web légitimes. Cette augmentation des usurpations dʼidentité de marques laisse présager un futur paysage de menaces qui pourrait potentiellement se transformer en crise.
Avec des cycles raccourcis et une augmentation de la fraude numérique, les organisations ne peuvent plus considérer les certificats comme des éléments administratifs secondaires. Vous devez plutôt les aborder comme des actifs stratégiques directement liés à la sécurité, à la confiance dans la marque et à la continuité opérationnelle.
Les certificats faciles à obtenir pourraient vous rendre vulnérable
De nos jours, la plupart des organisations choisissent des certificats DV rapides et peu contraignants. Mais bien quʼils soient rapides et peu coûteux, ils nʼauthentifient pas lʼorganisation elle-même, ils ne valident que le propriétaire du domaine, qui pourrait être un acteur malveillant. Cela rend les utilisateurs plus vulnérables aux attaques par usurpation dʼidentité et les marques moins protégées.
Le paysage SSL présente la répartition actuelle du marché comme suit :
- DV : 73,5 %
- VO (validation de lʼorganisation) : 24,6 %
- VE (validation étendue) : 1,9 %
Les navigateurs ayant supprimé la « barre verte » qui indiquait autrefois que les certificats VE (EV) offraient le plus haut niveau de confiance sur les sites Internet, on observe une baisse de lʼutilisation des VE. Mais cela ne diminue en rien la sécurité et la valeur commerciale de leur authentification rigoureuse.
Le rapport « Le paysage du SSL » a également révélé que de nombreuses équipes informatiques ne disposent souvent pas dʼune politique claire définissant quand utiliser DV, OV ou EV. Cela conduit à une sécurité incohérente entre les domaines et les sous-domaines.
Les fournisseurs populaires peuvent manquer de fonctionnalités adaptées aux entreprises
Notre rapport a révélé que les fournisseurs SSL les plus utilisés (Let’s Encrypt, Google et Amazon) émettent collectivement 66 % de tous les certificats analysés. Ces fournisseurs excellent dans lʼémission de grands volumes de certificats à faible coût, mais vous ne réalisez peut-être pas quʼils ne sont pas conçus pour répondre aux besoins complexes des entreprises.
Plus inquiétant encore, ces mêmes fournisseurs apparaissent également le plus souvent sur les domaines frauduleux supprimés par les équipes chargées de lʼapplication de la loi. Lorsque les attaquants et les entreprises utilisent les mêmes émetteurs grand public, il devient encore plus difficile de les différencier.
Unifier la stratégie avec des fournisseurs rationalisés
Selon nos recherches, environ 60 % des organisations font appel à trois fournisseurs SSL ou plus. Cette fragmentation entraîne :
- De multiples flux de travail de renouvellement.
- Des alertes dʼexpiration déconnectées.
- Un risque accru dʼerreur humaine.
- Une probabilité plus élevée de pannes.
- Plus de points de défaillance à mesure que les délais de renouvellement se raccourcissent.
Une approche multi-fournisseurs peut sembler flexible, mais en réalité, elle crée davantage de complexité et de risques. Et lorsque la durée de validité des certificats est réduite à 47 jours, la gestion décentralisée peut devenir un exercice dʼéquilibre insoutenable.
Lʼutilisation dʼune stratégie de fournisseur unique rationalise les renouvellements, réduit les risques et simplifie lʼassistance. Elle est également essentielle pour maintenir la disponibilité dans une ère où les cycles de renouvellement sʼaccélèrent.
Franchir une nouvelle étape vers lʼautomatisation
Tableaux manuels. Processus ad hoc. Certifications ponctuelles. Ces approches ne peuvent tout simplement pas sʼadapter à lʼavenir du SSL. Sans automatisation, les organisations pourraient être confrontées à des pannes et des temps dʼarrêt entraînant des efforts de dernière minute coûteux pour rétablir le fonctionnement.
Il est simple de mettre en place un flux de travail automatisé. Tant que vos équipes sʼaccordent sur des pratiques standardisées et cohérentes en matière de certificats, vous pouvez documenter toutes les connaissances institutionnelles dès le début afin dʼéviter les lacunes causées par le roulement du personnel ou les opérations cloisonnées. Des fournisseurs compétents et axés sur les entreprises peuvent alors vous aider à décider sʼil convient dʼadopter des plateformes dʼautomatisation à grande échelle ou des solutions modulaires basées sur des API, en fonction de ces pratiques existantes.
Une automatisation partielle pourrait également laisser des angles morts dangereux. Un flux de travail complet, depuis le moment où vous faites une demande jusquʼau point final du renouvellement, garantira que rien ne passe entre les mailles du filet.
En bref : une stratégie qui couvre tous les domaines
Pour résumer, une stratégie SSL pérenne nécessite :
- De choisir soigneusement les types de certificats.
- De regrouper les fournisseurs.
- De sʼassocier à des fournisseurs de niveau entreprise.
- Dʼautomatiser le cycle de vie complet des certificats.
- De planifier de manière proactive des cycles de renouvellement raccourcis.
Les certificats SSL touchent tous les aspects de lʼinfrastructure numérique. Ils constituent donc le fondement de la confiance, de la sécurité, de lʼintégrité de la marque et de lʼexpérience client. Même un seul avertissement « site non sécurisé » peut pousser vos clients à se tourner vers vos concurrents. Il est temps de repenser votre stratégie, avant que les délais de renouvellement raccourcis et le durcissement des règles de validation ne créent une cybertempête parfaite de risques évitables.
Lisez « Le paysage du SSL » pour découvrir ce qui change et comment une stratégie adaptée peut protéger votre entreprise.