Il y a seulement dix ans, la gestion des certificats SSL \u00e9tait consid\u00e9r\u00e9e comme une question secondaire par de nombreuses entreprises. Les certificats avaient une dur\u00e9e de validit\u00e9 de plusieurs ann\u00e9es, leur renouvellement \u00e9tait pr\u00e9visible et les acteurs malveillants n\u02bcexploitaient pas la confiance \u00e0 l\u02bc\u00e9chelle que nous connaissons aujourd\u02bchui.<\/p>\n\n\n\n
Mais \u00e0 mesure que le monde num\u00e9rique s\u02bcest d\u00e9velopp\u00e9 gr\u00e2ce aux plateformes cloud, aux microservices et \u00e0 l\u02bcautomatisation, les vuln\u00e9rabilit\u00e9s dans les processus de d\u00e9livrance des certificats repr\u00e9sentent un risque de s\u00e9curit\u00e9 accru si elles sont exploit\u00e9es par des cybercriminels. En r\u00e9ponse, le secteur a renforc\u00e9 les r\u00e8gles de validation, rendu les contr\u00f4les automatis\u00e9s indispensables et supprim\u00e9 progressivement la v\u00e9rification des adresses e-mail WHOIS.<\/p>\n\n\n\n
Pourtant, de nombreuses entreprises continuent \u00e0 fonctionner avec des flux de travail manuels, jonglent entre plusieurs fournisseurs de certificats et utilisent un ensemble fragment\u00e9 de types de validation inadapt\u00e9s \u00e0 l\u02bcenvironnement actuel des menaces. Cela ressort clairement de notre rapport, \u00ab Le paysage du SSL<\/a> \u00bb, qui montre comment les organisations g\u00e8rent les certificats aujourd\u02bchui. Il souligne \u00e9galement pourquoi une approche plus strat\u00e9gique est essentielle, car les organisations s\u02bcappuient de plus en plus sur les certificats pour presque tous les points de contact num\u00e9riques, les transactions et les interactions avec les utilisateurs.<\/p>\n\n\n\n Le secteur \u00e9volue rapidement vers des cycles de vie plus courts pour les certificats. D\u02bcici 2029, la dur\u00e9e de validit\u00e9 des certificats SSL\/TLS passera de 367 jours \u00e0 seulement 47 jours, et la r\u00e9utilisation de la validation du contr\u00f4le de domaine (DCV) sera r\u00e9duite \u00e0 une br\u00e8ve p\u00e9riode de 10 jours. Cela signifie que les organisations doivent se pr\u00e9parer \u00e0 renouveler leurs certificats pr\u00e8s de huit fois plus souvent.<\/p>\n\n\n\n Cette transition co\u00efncide avec une sophistication croissante des menaces. Les certificats DV, peu co\u00fbteux et faciles \u00e0 obtenir, dominent d\u00e9sormais 73,5 % du march\u00e9. Si personne ne pr\u00e9tend que les DV ne sont pas s\u00fbrs, ils offrent aux cybercriminels un moyen facile de faire passer des domaines malveillants pour des sites web l\u00e9gitimes. Cette augmentation des usurpations d\u02bcidentit\u00e9 de marques laisse pr\u00e9sager un futur paysage de menaces qui pourrait potentiellement se transformer en crise.<\/p>\n\n\n\n Avec des cycles raccourcis et une augmentation de la fraude num\u00e9rique, les organisations ne peuvent plus consid\u00e9rer les certificats comme des \u00e9l\u00e9ments administratifs secondaires. Vous devez plut\u00f4t les aborder comme des actifs strat\u00e9giques directement li\u00e9s \u00e0 la s\u00e9curit\u00e9, \u00e0 la confiance dans la marque et \u00e0 la continuit\u00e9 op\u00e9rationnelle.<\/p>\n\n\n\n De nos jours, la plupart des organisations choisissent des certificats DV rapides et peu contraignants. Mais bien qu\u02bcils soient rapides et peu co\u00fbteux, ils n\u02bcauthentifient pas l\u02bcorganisation elle-m\u00eame, ils ne valident que le propri\u00e9taire du domaine, qui pourrait \u00eatre un acteur malveillant. Cela rend les utilisateurs plus vuln\u00e9rables aux attaques par usurpation d\u02bcidentit\u00e9 et les marques moins prot\u00e9g\u00e9es.<\/p>\n\n\n\n Le paysage SSL pr\u00e9sente la r\u00e9partition actuelle du march\u00e9 comme suit :<\/p>\n\n\n\n Les navigateurs ayant supprim\u00e9 la \u00ab barre verte \u00bb qui indiquait autrefois que les certificats VE (EV) offraient le plus haut niveau de confiance sur les sites Internet, on observe une baisse de l\u02bcutilisation des VE. Mais cela ne diminue en rien la s\u00e9curit\u00e9 et la valeur commerciale de leur authentification rigoureuse.<\/p>\n\n\n\n Le rapport \u00ab\u00a0<\/a>Le paysage du SSL<\/a>\u00a0\u00bb a \u00e9galement r\u00e9v\u00e9l\u00e9 que de nombreuses \u00e9quipes informatiques ne disposent souvent pas d\u02bcune politique claire d\u00e9finissant quand utiliser DV, OV ou EV. Cela conduit \u00e0 une s\u00e9curit\u00e9 incoh\u00e9rente entre les domaines et les sous-domaines.<\/p>\n\n\n\n Notre rapport a r\u00e9v\u00e9l\u00e9 que les fournisseurs SSL les plus utilis\u00e9s (Let’s Encrypt, Google et Amazon) \u00e9mettent collectivement 66 % de tous les certificats analys\u00e9s. Ces fournisseurs excellent dans l\u02bc\u00e9mission de grands volumes de certificats \u00e0 faible co\u00fbt, mais vous ne r\u00e9alisez peut-\u00eatre pas qu\u02bcils ne sont pas con\u00e7us pour r\u00e9pondre aux besoins complexes des entreprises.<\/p>\n\n\n\n Plus inqui\u00e9tant encore, ces m\u00eames fournisseurs apparaissent \u00e9galement le plus souvent sur les domaines frauduleux supprim\u00e9s par les \u00e9quipes charg\u00e9es de l\u02bcapplication de la loi. Lorsque les attaquants et les entreprises utilisent les m\u00eames \u00e9metteurs grand public, il devient encore plus difficile de les diff\u00e9rencier.<\/p>\n\n\n\n Selon nos recherches, environ 60 % des organisations font appel \u00e0 trois fournisseurs SSL ou plus. Cette fragmentation entra\u00eene :<\/p>\n\n\n\n Une approche multi-fournisseurs peut sembler flexible, mais en r\u00e9alit\u00e9, elle cr\u00e9e davantage de complexit\u00e9 et de risques. Et lorsque la dur\u00e9e de validit\u00e9 des certificats est r\u00e9duite \u00e0 47 jours, la gestion d\u00e9centralis\u00e9e peut devenir un exercice d\u02bc\u00e9quilibre insoutenable.<\/p>\n\n\n\n L\u02bcutilisation d\u02bcune strat\u00e9gie de fournisseur unique rationalise les renouvellements, r\u00e9duit les risques et simplifie l\u02bcassistance. Elle est \u00e9galement essentielle pour maintenir la disponibilit\u00e9 dans une \u00e8re o\u00f9 les cycles de renouvellement s\u02bcacc\u00e9l\u00e8rent.<\/p>\n\n\n\n Tableaux manuels. Processus ad hoc. Certifications ponctuelles. Ces approches ne peuvent tout simplement pas s\u02bcadapter \u00e0 l\u02bcavenir du SSL. Sans automatisation, les organisations pourraient \u00eatre confront\u00e9es \u00e0 des pannes et des temps d\u02bcarr\u00eat entra\u00eenant des efforts de derni\u00e8re minute co\u00fbteux pour r\u00e9tablir le fonctionnement.<\/p>\n\n\n\n Il est simple de mettre en place un flux de travail automatis\u00e9. Tant que vos \u00e9quipes s\u02bcaccordent sur des pratiques standardis\u00e9es et coh\u00e9rentes en mati\u00e8re de certificats, vous pouvez documenter toutes les connaissances institutionnelles d\u00e8s le d\u00e9but afin d\u02bc\u00e9viter les lacunes caus\u00e9es par le roulement du personnel ou les op\u00e9rations cloisonn\u00e9es. Des fournisseurs comp\u00e9tents et ax\u00e9s sur les entreprises peuvent alors vous aider \u00e0 d\u00e9cider s\u02bcil convient d\u02bcadopter des plateformes d\u02bcautomatisation \u00e0 grande \u00e9chelle ou des solutions modulaires bas\u00e9es sur des API, en fonction de ces pratiques existantes.<\/p>\n\n\n\n Une automatisation partielle pourrait \u00e9galement laisser des angles morts dangereux. Un flux de travail complet, depuis le moment o\u00f9 vous faites une demande jusqu\u02bcau point final du renouvellement, garantira que rien ne passe entre les mailles du filet.<\/p>\n\n\n\nLes nouveaux changements entra\u00eenent des pressions op\u00e9rationnelles suppl\u00e9mentaires<\/strong><\/h2>\n\n\n\n
Les certificats faciles \u00e0 obtenir pourraient vous rendre vuln\u00e9rable<\/strong><\/h2>\n\n\n\n
\n
Les fournisseurs populaires peuvent manquer de fonctionnalit\u00e9s adapt\u00e9es aux entreprises<\/strong><\/h2>\n\n\n\n
Unifier la strat\u00e9gie avec des fournisseurs rationalis\u00e9s<\/strong><\/h2>\n\n\n\n
\n
Franchir une nouvelle \u00e9tape vers l\u02bcautomatisation<\/strong><\/h2>\n\n\n\n