Durée de vie plus courte, réduisez les risques et automatisez la gestion de vos certificats numériques

WEBINAR TRANSCRIPT

Arnaud: Bonjour à toutes et à tous. Nous allons pouvoir commencer notre webinaire. Un petit mot d'introduction pour commencer. Déjà, merci d'être venus si nombreuses et nombreux. On attend quasiment, 100 personnes se sont inscrites donc il y a du monde.

Donc, pour rappel, notre webinaire d'aujourd'hui sera consacré à l'annonce de Google sur la réduction prochaine de la durée de vie des certificats. Donc on pense que sa mise en œuvre aura lieu courant 2024, probablement troisième trimestre, donc ça aura un impact important sur la gestion courante de vos certificats. Il faut donc s'y préparer et préparer vos organisations à y faire face.

Pour vous aider à y voir plus clair aujourd'hui, j'ai le plaisir de vous présenter nos intervenants du jour. Donc dans un premier temps Yan Desombres, Digital Brand Consultant chez CSC.

Yan: Bonjour.

Arnaud: Bonjour Yan, donc qui fera un rappel de l'annonce de Google et des solutions possibles et disponibles pour y faire face. Nous avons aussi François Marien, directeur commercial chez Sectigo.

François: Bonjour tout le monde.

Arnaud: Bonjour François. François fera un point sur les défis à venir et présentera le Sectigo Certificate Manager. Et enfin nous sommes très heureux d'avoir également le témoignage de Frédéric Vansat. Bonjour François.

Frédéric: Bonjour à tous et toutes.

Arnaud: Alors, Frédéric, responsable net op sécurité chez Worldline, qui parlera de son expérience. Et je pense que je me suis trompé de prénom, mais désolé Frédéric.

Frédéric: Oui, ce n'est pas grave.

Arnaud: Okay. Nous pouvons y aller avec Yan, sans se tromper de prénom, si tu peux lancer la présentation, c'est super, merci beaucoup.

Yan: Oui, bien sûr. Alors, dans un premier temps, on va discuter du coup du sujet qui, j'imagine, vous a encouragés à vous inscrire à ce webinaire, c'est-à-dire la réduction prévue de la durée de vie des certificats SSL, aussi appelés TLS. Donc d'où nous vient cette information ? Ça nous vient de la feuille de route de Moving Forward Together de Google Chromium du 3 mars 2023, qui a révélé leur intention de passer la durée de validité des certificats de 398 jours à 90 jours. Alors, quand ça ? On ne sait pas exactement mais probablement lors d'une prochaine mise à jour de leur politique ou alors lors d'une proposition lors du vote du forum CAB qui réunit les autorités de certification et les différents navigateurs. Donc, comme vous le comprendrez, bien sûr, ça représente un changement majeur pour les entreprises, notamment celles qui ont un nombre important de certificats et qui n'ont pas les possibilités pour automatiser la gestion.

Alors, pourquoi ce changement ? La première raison, C'est que 398 jours, c'est un temps très long en cas de certificat compromis. À 90 et à 30 jours, les cybercriminels, ils vont avoir moins de temps, soit de justement compromettre les certificats, soit en cas de compromission d'utiliser le fait d'avoir compromis le certificat.

Autre raison donnée par Google, c'est que cela va encourager le recours à l'automatisation, ça va permettre de réduire les processus d'émission longs et souvent sujets aux erreurs. On pensera notamment aux problématiques d'informations qu'il peut y avoir dans les CSR qui ne vont pas correspondre au profil SSL ou alors aux informations données dans le Kbis, donc que les autorités de certification vont aussi valider auprès d'entreprises, on va dire, comme Dun & Bradstreet.

Ça va éviter également d'avoir recours à des solutions de vérification des révocations. En effet, lorsque les entreprises révoquent des certificats, il arrive assez souvent que les navigateurs en fait ne révoquent pas complètement le certificat ou alors ne détectent pas la révocation et à ce moment-là, le site internet continue de répondre en HTTPS.

Et enfin, ça va permettre l'adoption plus rapide des solutions de sécurité émergentes. On pensera à l'évolution des algorithmes ou alors à la modification des tailles de clés. Vous vous souvenez du passage de HA1 à HA2, qui avait pris beaucoup de temps justement parce qu'à l'époque, les certificats avaient une durée de validité de cinq ans et donc il fallait attendre que ces certificats arrivent à expiration pour pouvoir changer la taille des clés de validation.

Alors, une fois qu'on sait ça, évidemment, on va vouloir regarder du côté des solutions. Avant de regarder sur les solutions, il y a un certain nombre de questions à se poser. La première de ces questions, ça va être de regarder quelle est la taille de mon portefeuille de certificat. Est-ce que l'automatisation complète du processus est nécessaire en fonction de cette taille ou bien est-ce qu’un processus simplifié est suffisant ? Également, est-ce que vous souhaitez principalement gérer des certificats TLS, donc les certificats publics, ou bien l'étendre à d'autres types de certificats, les certificats internes, du S/MIME etc.

À l'heure actuelle, pour vos certificats internes, est-ce que vous avez une PKI interne et pour la gestion de ces certificats internes ? Et si oui, est-ce que vous envisagez de faire évoluer ce modèle ? Donc, avec ces questions, on peut identifier, enfin on peut déjà éclairer un petit peu votre besoin. Et du coup, chez nous, on va avoir deux solutions à vous proposer.

La première solution, ça va être le CSC Domain Manager. Donc, le CSC Domain Manager, il va permettre de simplifier la gestion des certificats, donc notamment dans une facilitation de la validation des certificats, on sera à la première phase qui s'appelle DCV, Domain Check Validation, qui peut se faire via validation CNAME automatique si vous êtes sur nos DNS, donc les DNS CSC. Également, on va pré-valider les profils SSL sur une durée à l'heure actuelle de 13 mois, on va voir comment ça évoluera également avec la réduction des certificats. Mais en tout cas, cette pré-validation des profils SSL vous permet de ne pas avoir à revalider notamment sur les certificats OV, organization validated, le profil de votre entreprise à chaque émission de certificat, ça se fait une fois tous les 13 mois.

Et également, on va pouvoir vous proposer une API, donc pareil, dans le but de faciliter la gestion de vos certificats. Si, de votre côté, vous souhaitez créer des scripts qui vous permettent de quasiment automatiser la gestion, c'est possible. Et également, à savoir qu'on est en train de développer des plugins. Donc on en a un qui est déjà prêt pour …et un qu'on est en train de préparer pour ServiceNow.

Autre solution, cette fois-ci plus complète, qui va couvrir un scope de certificats plus large, qui va avoir une automatisation de A à Z des processus d'émission et de renouvellement des certificats, ça va être le SCM, le Sectigo Certificate Manager. Et pour vous présenter cet outil et les avantages que cela présente pour la gestion de vos certificats avec des durées réduites, je laisse la parole à notre expert Sectigo François Marien. À toi François.

François: Merci Yan. Bonjour tout le monde. Donc je suis François Marien, commercial chez Sectigo en charge des territoires France et Benelux. Et donc je suis embauché chez Sectigo, qui est une autorité de certification publique, donc qui délivre des certificats reconnus par les navigateurs et les systèmes d'exploitation. Aujourd'hui, je vais plus vous parler d'un produit qui est un produit de Certificat Lifecycle Management, le SCM pour Sectigo Certificate Manager, qui est un outil qui permet d'automatiser de A à Z la gestion des certificats et de manière agnostique, c'est-à-dire qu'on va pouvoir intégrer différents types de certificats, différentes autorités de certification, donc voilà, dans le cadre de la promesse de Sectigo qui est le Delivering Digital Trust.

On va commencer par un état des lieux de la situation actuelle qui est concrète et que vous allez probablement partager qui est que des ressources de cybersécurité sont aujourd'hui sur-sollicitées. On est dans un environnement qui évolue, évidemment, qui n'a rien à voir avec celui qui existait il y a cinq ans. Aujourd'hui, vos besoins grossissent et ils grossissent avec un besoin de sécurité, ils grossissent avec les besoins de vos activités donc vous avez de plus en plus de couches de sécurité qui s'additionnent, qui dépendent des utilisateurs que vous avez intégrés, des vendeurs avec lesquels vous interagissez et c'est votre travail de faire cohabiter toutes ces couches. Vous avez notamment la nécessité de vous assurer que vos employés sont correctement formés pour l'utilisation des outils avec lesquels ils interagissent.

Ces sujets de complexité sont exacerbés lorsqu'on parle de migration. Aujourd'hui, migrer des solutions, ça représente des projets, des process très lourds et qui peuvent être très importants. Toute cette complexité, elle est à gérer avec un paramètre de ressources qui est forcément limité, des ressources humaines évidemment et également des ressources financières. Humaines parce que même si vous souhaitiez équiper vos équipes avec les profils les plus évolués et les plus performants, encore faut-il trouver ces profils, encore faut-il qu'ils puissent être disponibles. Les bons profils, c'est évidemment des ressources qui sont rares et en plus de ça, même si les budgets de sécurité informatique de manière générale grossissent avec le temps, évoluent, ils sont toujours limités et c'est nécessaire évidemment de faire un maximum d'efficacité avec ces budgets.

Arnaud: François, j'ai une première question.

François: Oui.

Arnaud: Alors, c'est une question de Marie-Christine de CIVC. Les certificats valident jusqu'à 398 jours et installés actuellement seront-ils concernés et automatiquement expirés ?

François: Alors, il se peut qu'on devra réémettre les certificats en cours. On ne sait pas exactement, on est encore un petit peu dans le flou par rapport à cette annonce. C'est juste une annonce aujourd'hui de la part de Google qui souhaite donc réduire la durée de validité des certificats. Par le passé, en effet, des certificats qui étaient émis, on a vu la réduction de la durée de vie des certificats, c'est une tendance qui existe depuis longtemps. Les certificats auparavant étaient valables cinq ans et puis trois ans, puis deux ans. Et oui, en effet, on a dû réémettre les certificats pour qu'ils correspondent à ce que le CAB Forum avait décidé. Donc oui, il y aura probablement des réémissions de certificats pour qu'ils puissent convenir ou être conformes à ce que le CAB Forum a décidé.

Du coup, cette conformité, justement, c'est un élément à prendre en compte de votre part. Alors, la conformité, c'est déjà assurer que vous êtes dans un environnement, c'est une chose d'être sécurisé, c'est une autre chose de pouvoir prouver qu'on est sécurisé, de pouvoir le montrer soit en interne au board de direction ou à différents services, Legal, Compliance, ce genre de choses, mais également à des organismes extérieurs, des auditeurs par exemple qui auraient besoin de s'assurer que ce que vous avez fait est conforme et bien en adéquation avec les règles dans lesquelles vous pouvez évoluer. Ces règles peuvent être très diverses et dépendre de vos industries, de vos secteurs d'activité. Il y a énormément d'acronymes que vous allez pouvoir trouver pour être en règle avec ce qu'il faut. Et en effet, ça va être votre devoir de pouvoir montrer rapidement que ce que vous avez fait est en adéquation avec tout ça.

Et quand on parle de réglementation, on a aussi cette notion de crypto agilité, le besoin d'être rapidement agile et de pouvoir vous adapter aux situations qui évoluent. De nouvelles idées, il y en a tous les jours pour mettre à risque vos systèmes d'information. Yan en a parlé, le changement par exemple, la dépréciation du HA1 vers le HA2, c'était il y a quelques années. À ce moment-là, tous les certificats ont dû être réémis. Donc il a fallu savoir déjà quel était votre portefeuille de certificats concernés, savoir où ils étaient installés et gérés, donc connaître l'origine de tous vos certificats et pouvoir rapidement être capable de les réinstaller, de les réémettre comme il faut.

On parle de plus en plus du quantum, du post-quantum mais à côté de ça, la vulnérabilité, même si ça remonte à il y a quasiment une dizaine d'années, mais la vulnérabilité…a marqué les esprits et c'est des choses qui peuvent arriver, donc cette crypto agilité est très importante et pèse sur votre réflexion, en tout cas votre charge de travail.

Du coup, ces challenges amènent un changement aujourd'hui. C'est un changement qui est remonté par Gartner qui suit de très près l'industrie. Ce changement, c'est la volonté de consolider les éditeurs de sécurité. Trois entreprises sur quatre, en effet, selon ce sondage de Gartner, indiquent qu'elles souhaitent aller vers une stratégie de consolidation des éditeurs et pour 65 % de ces personnes et de ces organisations, c'est dans le but de réduire ou améliorer, en tout cas, leur position face au risque.

Alors, je vais vous donner un peu plus d'explications sur le slide suivant. Cette complexité qu'on a vue, évidemment, elle amène un risque. Et cette consolidation, le but, c'est de réduire cette surface de risque, de réduire par exemple les doublons qui seraient non nécessaires et qui rajoutent une couche de sécurité non indiquée. Le but de cette consolidation, il n'est pas seulement mené dans un but de réduction des coûts mais plutôt pour faire face à des situations complexes aujourd'hui, des espèces de Frankenstein où tout est interdépendant et où les risques de réactions en chaîne, en cascade, font peser un risque pour vos organisations.

Donc, le réel levier de consolidation, c'est vraiment améliorer, réduire la complexité à laquelle vous faites face afin de réduire le risque. Alors, c'est impossible d'imaginer que tout sera consolidé et que vous aurez qu'un seul ou quelques éditeurs. Ceci dit, là, on parle des certificats SSL. Sur les certificats SSL, la solution SCM notamment vous permet de consolider tout ça et d'avoir une seule console qui vous permet de tout gérer. Cette console, donc, le produit, le nom, c'est le Sectigo Certificat Manager, évolue dans les produits qui s'appellent Certificate Lifecycle Management. C'est une solution centrale qui vous permet d'avoir une visibilité sur l'ensemble de vos portefeuilles de certificats, peu importe le type de certificats, afin d'automatiser de bout en bout la gestion du cycle de vie de ces certificats SSL, enfin certificats…

C'est une solution qui est donc CA Agnostic. CA Agnostic, ça veut dire qu'elle peut s'intégrer avec différentes autorités de certification, les autorités de certification qui sont publiques comme Sectigo évidemment qui est une autorité de certification mais également DigiCert, Entrust, et également des autorités de certification qui sont privées. Vous pouvez par exemple augmenter, enfin, gérer vos PKI Microsoft avec cette solution ou gérer des PKI privées qui seraient sur Amazon Web Service ou Google Cloud Platform.

L'intérêt de cette plateforme, c'est d'avoir un point central qui vous permet d'avoir une visibilité sur l'ensemble de vos certificats. Il est très important de pouvoir du coup identifier tous les certificats SSL, peu importe où ils peuvent être installés, où ils ont pu être commandés, afin de, on parlait d'agilité cryptographique, mais d'avoir une agilité sur la gestion de ces certificats et de pouvoir agir sur ceux-ci en cas de besoin.

Alors, je vais vous montrer un petit peu plus en détail les fonctionnalités de la plateforme. Quand on parle de certificats, il y en a de différentes sortes. Evidemment, les certificats publics, c'est ceux que vous mettez sur vos sites web qui sont accessibles via des navigateurs, également les certificats privés pour gérer vos communications internes, les certificats TLS, SSL, des certificats S/MIME très utilisés pour la signature et le chiffrement d'e-mails, les certificats utilisateurs pour par exemple des connexions de VPN ou de Wi-Fi. Alors ça, des certificats utilisateurs, c'est plutôt PKI privés. Et les certificats devices également avec des autorités privées pour assurer l'authentification des appareils qui se connectent ou échangent entre eux.

Voilà un peu le scope des certificats qui peuvent être gérés. Les fonctionnalités de la plateforme, évidemment c'est la gestion de ces certificats. Donc, la gestion, ce sont les actions très basiques de demande de certificat, donc génération d'un certificat, émission du certificat SSL évidemment et puis l'installation de ce certificat avec des étapes qui peuvent être de remplacement de ces certificats en cas de modification de ceux-ci ou renouvellement évidemment de ces certificats. Lorsqu'on parle de certificats valables 90 jours, ces 90 jours, en tout cas Google est assez clair là-dessus, une étape vers une réduction encore future de ces certificats pour arriver finalement, technologiquement on estime que ce serait jouable d'avoir des certificats valables entre sept et dix jours à peu près.

Donc, le renouvellement de ces certificats, ça va être évidemment une tâche très importante. Et cette plateforme permettra aussi d'identifier qui a demandé le certificat SSL, à quel moment évidemment, où il a pu être installé, quelles sont les équipes qui le gèrent, quelles sont les équipes qui sont en contact avec ce certificat. La plateforme aussi vous permet d'avoir des outils de découverte des certificats SSL, de s'assurer que le portefeuille de certificats que vous gérez est bien celui qui, enfin, est à jour et qu'il n'y a pas de certificat que vous ne maîtrisez pas.

Il y a un exemple qui remonte à deux ans, je pense, qui n'a pas tellement touché le marché français mais beaucoup le marché UK, c'est le fournisseur de service, le FAI O2 qui, lors d'un soir d'un match de la Ligue des Champions, a eu un impact de certificat alors qu'il était sur l'un de ces domaines mais qui n'était pas géré directement par lui, qui était géré par l'un de ses fournisseurs. Et voilà, le certificat a expiré et pendant une heure et demie, les utilisateurs O2 n'avaient pas la possibilité d'avoir accès à leur service et notamment le match de la Ligue des Champions. Donc ça a causé vraiment beaucoup de bruit outre-Atlantique parce que c'était un certificat qui n'était pas dans leur scope de gestion. Malgré le fait que c'est un certificat qui concernait directement leur service, ils ne l'avaient pas identifié et du coup ils ont eu beaucoup de mal à savoir qui le gérait et comment remédier à la situation.

Et ensuite, sur la droite de ce slide, on a toutes les intégrations, toutes les interactions que la plateforme permet d'avoir avec différents environnements. Alors, évidemment, en termes de standard, pour l'automatisation, ce qui est beaucoup utilisé et ce qu'on recommande énormément pour les certificats SSL, TLS, c'est le protocole…qui est un protocole ouvert et de plus en plus intégré par les différents endpoints et toute l'industrie…il est vraiment très très poussé et on considère que c'est une bonne chose et on recommande grandement d’utiliser ce standard protocole lorsque vous le pouvez. Pour les certificats utilisateurs ou devices, on est plus sur un autre protocole escape. Les autres standards, x509 évidemment pour les certificats SSL ou IDaaS, une norme européenne qui caractérise certains types de certificats. Évidemment, la plateforme est disponible aussi en REST API.

Et ensuite, en termes de partenaires technologiques, ceux que vous voyez, Microsoft, Apple, ServiceNow, Citrix etc., sont des partenaires avec lesquels Sectigo interagit directement pour intégrer nativement chez ces partenaires une solution d'intégration avec la plateforme Sectigo. Un point qui est très important aussi, c'est la endpoint, c'est la possibilité du coup de déployer des certificats SSL directement sur vos endpoints pour faire en sorte que le seul point d'accès, ce soit la SCM d'où vous allez demander, faire une demande de certificat mais sans avoir à accéder au endpoint manuellement, c'est-à-dire la plateforme va communiquer avec ces endpoints pour la création et la gestion de ces certificats.

Donc voilà un petit peu toutes les interactions qu'on peut avoir. Également la phase de DevOps où on peut s'intégrer avec différents outils pour la gestion en masse de certificats. Voilà, je vais terminer avec un petit récap de gestion de la plateforme.

Arnaud: François, est-ce que je peux te couper une seconde ? Oui, on a une question d'Arnaud qui doit partir à 11h30. Du coup, je me permets de la poser tout de suite entre deux slides. Donc la question est la suivante : « bonjour, concernant le coût du certificat, aujourd'hui le coût est annuel au moment du renouvellement. Si on passe à 90 jours, le montant sera-t-il divisé par quatre ? En clair, est-ce que le coût annuel reste inchangé ? Merci. »

François: C'est une bonne question. Alors, on va évoluer sur le modèle tarifaire des certificats. En tout cas, sur la plateforme, le modèle, c'est d'avoir un volume de certificats actifs pendant un moment donné. Disons, pendant un an ou trois ans, vous avez la possibilité d'avoir X volumes de certificats actifs. Après, qu'ils soient valables pendant un an, ces certificats, ou 180 jours ou 90 jours, peu importe. On va réfléchir en termes de nombres de certificats actifs au même moment pour une valeur qui est donnée. Donc la durée des certificats ne sera plus tellement un critère de pricing, ce sera le portefeuille de certificats actifs à un moment donné. Tu as peut-être une autre question, Arnaud ?

Arnaud: J'en ai deux autres, oui. Du coup, j'enchaîne. Donc une question de Quentin : « la vérification de sécurité de Google s'appliquera uniquement sur les certificats délivrés par une autorité publique ou également sur les certificats délivrés par une autorité interne, exemple DCS, Microsoft ?’»

François: Non, alors du coup, ça, le CAB Forum, donc c'est un organisme, CAB, c'est CA pour Certificate Authority, B pour Browser, donc les navigateurs et les autorités qui se mettent d'accord entre elles, il y a aussi les systèmes d'exploitation, sur les règles à tenir pour l'émission de certificats publics uniquement. Donc là, on parle bien de certificats publics. Sur les certificats privés, vous pouvez continuer d'avoir des certificats valables sur la durée que vous souhaitez. Alors, on vous recommande d'avoir des durées qui ne restent pas trop longues parce que, comme disait Yan, plus le certificat est long, plus s'il est compromis, le risque que la compromission soit exploitée est grand. Mais non, cette règle ne concerne que les certificats publics.

Arnaud: Okay. Il y en a une qui est un peu similaire : « dans le cadre d'une PKI privée, est-ce que la nouvelle expiration s'applique au certificat root ? »

François: Alors, du coup, là on est encore sur le domaine privé donc il n'y a pas de limitation sur la partie privée. Cela ne concerne que les certificats publics.

Arnaud: Très bien. Merci. Une question de Nicolas : « comment est-ce que la SCM communique avec les endpoints ? Est-ce qu'il y a un serveur SCM en interne ou bien un tunnel VPN entre Sectigo et notre infrastructure ? »

François: Alors, c'est une bonne question. Alors, sans rentrer trop dans la technique, il y a différentes manières en effet de faire une liaison entre la plateforme qui est une plateforme Cloud accessible uniquement, voilà, une plateforme SAS et votre infra qui est soit Cloud soit SAS, mais en tout cas qui n'est pas au même endroit. Alors, soit on va avoir des protocoles qu'on va utiliser pour faire communiquer les serveurs avec la plateforme. C'est ce qu'on voyait avec…ou SCEP. Après, on va avoir d'autres manières de le faire, des agents que vous allez pouvoir installer sur vos environnements et qui vont assurer la communication avec notre plateforme. On a aussi des connecteurs qui vont permettre par exemple lorsque vous avez une PKI Microsoft qui est chez vous en interne et que vous souhaitez garder, on va mettre un connecteur qui va permettre de communiquer avec notre plateforme. Mais voilà, il faudrait un peu plus de temps qu'on n'a pas aujourd'hui pour vous expliquer plus en détail techniquement les différentes possibilités mais ça va dépendre des cas d'usage et des infrastructures qu'on va rencontrer chez les clients.

Arnaud: Okay. Merci François. Un petit rappel de l'heure, il est 29, il faudra qu'on laisse un petit peu de temps à Frédéric.

François: Alors, je vais finir en résumant les fonctionnalités principales de la plateforme. Des outils de découverte pour savoir exactement ce que vous avez chez vous, quel est votre portefeuille de certificats, tous types de certificats, publics, privés, utilisateurs, devices, serveurs ; la possibilité de gérer, soit de gérer une AC privée existante ou en créer une de toutes pièces pour vos usages internes ; l'intégration de la PKI Microsoft qui est très utilisée aujourd'hui, on s'en rend compte dans les organisations qu'on voit et ça peut être plus simple d'augmenter une certification existante plutôt que de repartir à zéro sur une toute nouvelle PKI privée ; l'automatisation des certificats donc l'automatisation de bout en bout, de A à Z. Vous allez sur la plateforme, vous indiquez l'URL, le domaine, le FQDN sur lequel vous voulez le certificat, le serveur sur lequel il est installé, il doit être installé et nos outils d'automatisation font le reste. Voilà les fonctionnalités principales.

L'idée, c'est pour vous donner de l'agilité sur la gestion de vos certificats SSL. Cette agilité, elle va être nécessaire lorsque Google est le CAB Forum appliquera la réduction de la durée de vie de ces certificats. C'est une bonne idée de réfléchir dès maintenant à la manière dont vous pouvez gérer ça et la possibilité d'intégrer l'ensemble de vos certificats. Donc, ce qui est concerné par la réduction de vie, ce sont des certificats publics mais si vous pouvez en même temps améliorer la gestion de vos certificats privés via cette plateforme SCM, je pense que ça vous permettra de gagner un petit peu en simplicité et en facilité sur au moins ce périmètre des certificats. Voilà, je ne sais pas s'il y a d'autres questions ou si on passe directement aux témoignages.

Arnaud: Oui, une dernière question de Quentin donc qui était en lien avec la question précédente : « comment le browser peut faire la différence entre un certificat public et un certificat privé ? Est-ce basé sur la liste des AC publiques connues ? »

François: C'est exactement ça. Dans les navigateurs, il y a un magasin de certificats et dans le système d'exploitation, ceux qui sont approuvés par le CAB Forum apparaissent dans les navigateurs et donc sont reconnus par défaut alors que si c'est du privé, c'est vous qui avez créé cette racine et donc par définition, elle n'est pas présente dans les navigateurs sauf si vous l'avez déployée manuellement ou automatiquement mais sauf si vous l'avez déployée dans un environnement que vous connaissez, auquel cas après on peut lui faire confiance. Mais si ce n'est pas le cas, c'est ça qui fait la différence.

Arnaud: Très bien. Merci François. Je crois qu'il n'y a pas d'autres questions. Du coup, on peut passer à notre dernière intervenant, donc Frédéric Vansat qui est responsable …sécurité chez Worldline, qui vient donc nous parler de son expérience. Donc bienvenu Frédéric et merci de votre participation. Du coup, j'ai trois questions pour vous. La première, quels étaient les enjeux pour Worldline au moment du choix ? Et peut-être nous rappeler aussi depuis combien de temps vous avez mis en place cette solution.

Frédéric: Bon, Worldline est un leader mondial de services de paiement. L'industrie des paiements électroniques est un monde fort compétitif et en constante évolution. Dans ce contexte, le premier enjeu est le besoin constant de haute performance et d'automatisation combinée à une exigence d'être au plus haut niveau de sécurité et de conformité. Pour la gestion des certificats, cela signifie que nous avons des milliers de certificats à gérer. Et de plus, Worldline garantit à ses clients fiabilité et sécurité, ce qui implique des renouvellements de certificats dans les temps. Donc une expiration de certificat n'est pas envisageable car cela entraînerait une perte de temps et ne serait pas à la hauteur de nos engagements de qualité pour nos clients.

Alors, le deuxième enjeu est un besoin croissant d'agilité cryptographique comme François vient de l'expliquer. Donc nous devons être en mesure de mettre en œuvre des changements dans la couche TLS à grande échelle et en peu de temps si nécessaire. Donc si une nouvelle vulnérabilité apparaît, nous devons être en mesure de la corriger rapidement, même si cela implique une mise à jour à l'échelle du système de la configuration TLS, voire même une réédition du certificat.

Enfin, le troisième enjeu, c'est bien sûr le besoin de réactivité quant à la réduction prochaine de la durée de vie des certificats publics à 90 jours, ce qui est augmentera encore plus la pression sur la gestion des certificats. Donc, l'automatisation devient indispensable, incontournable pour relever tous ces défis. Nous avons cherché une solution. Ça fait plusieurs années qu'on a commencé avec ça et après avoir soigneusement étudié les différents fournisseurs, les solutions disponibles sur le marché, enfin nous avons choisi Sectigo comme partenaire.

Arnaud: Très bien. Alors, du coup, c'était ma prochaine question. Vous avez choisi Sectigo, une raison particulière, enfin quelques raisons particulières, j'imagine, parce que ça répondait à l'ensemble des éléments que vous avez dits en intro. Quelle solution ? Donc, si vous pouvez nous en dire plus sur la solution que vous avez choisie chez Sectigo.

Frédéric: Alors, la mise en œuvre d'une solution de gestion de cycle de vie des certificats dans une entreprise comme Worldline, c'est un défi de taille. Nous disposons d'une infrastructure très très diversifiée donc il nous faut une solution extrêmement flexible et puissante. Et avec Sectigo, le Certificate Manager, le CLM, nous sommes en mesure de tirer parti de la puissance pour mettre en œuvre les solutions d'automatisation requises correspondant à nos besoins. À titre d'exemple, nous avons codéveloppé avec Sectigo une solution pour gérer de bout en bout le renouvellement automatiser des certificats sur l'infrastructure F5 de manière sécurisée.

Arnaud: Okay. Merci. Et du coup, dernière question. Quels bénéfices Worldline en a tirés ?

Frédéric: Sectigo nous a fourni la plateforme dont nous avions besoin pour gérer et automatiser un très grand nombre de certificats. On bénéficie d'une grande écoute de ses besoins, pris en compte et satisfaits par une collaboration étroite ainsi que des solutions personnalisées si besoin. C'est cette philosophie orientée vers le client qui s'est révélée très précieuse pour nous et qui à mon avis constitue un avantage pour l'équipe de Sectigo par rapport à ses concurrents.

Et bien sûr, Sectigo, c'est un acteur majeur sur le marché. Ils ont énormément d'expérience donc c'est un grand avantage. Donc c'est un partenariat qu'on apprécie beaucoup chez Worldline.

Arnaud: Super. Merci encore Frédéric. Alors, j'ai quelques questions en plus mais qui sont plus des questions globales que j'ai notées. Donc est-ce qu'il y a, voilà, alors une question pour Frédéric de la part de Stéphane : « avez-vous mis en œuvre des API ? »

Frédéric: Oui, tout à fait. On a mis en place du côté corp système en cloud et c'est connecté via API avec le système Sectigo pour la partie CLM.

Arnaud: Okay. Merci. Est-ce qu'il y a d'autres questions ? Alors, là ce sont des questions plutôt globales, enfin génériques donc ce sera plutôt pour toi, François. Donc, la première dans l'ordre : « est-ce que cette réduction de la durée de vie des certificats s'appliquera aussi aux certificats d'authentification et IDAS personnels sur clés USB ? »

François: Alors, non. C'est une autre, voilà, ils sont dans une autre norme, une autre régulation. Donc non, les IDAS ne sont pas concernés par cette réduction. En revanche, peut-être que IDAS risque d'évoluer et également. Là, récemment on a eu des changements sur les codes sign in, les certificats codes sign in et maintenant les codes sign in doivent être matérialisés sur des clés HSM. Il n'y a plus de codes sign in disponibles en Cloud. Donc voilà, ça évolue et en ce qui concerne les IDAS, je n'ai pas d'informations particulières mais en tout cas ils ne sont pas concernés par cette réduction potentielle.

Arnaud: Okay. Merci. Une question concernant la mise en œuvre. Donc pas plus d'informations précises sur la mise en place de cette réduction de durée de vie des certificats à l'heure actuelle. Là, en intro, j'indiquais plutôt Q3 2024.

François: Oui, c'est un petit peu, Q3 2024 ça va être short. On estime que ce sera plutôt dans 12, 18 mois. C'est la semaine prochaine, je crois, qu'il y a un point avec le CAB Forum. Alors, Sectigo a un siège au CAB Forum donc on est présents et je crois que c'est soit fin de cette semaine, soit la semaine prochaine. Et normalement, Google devait sortir un peu du bois et en dire un petit peu plus sur le calendrier qu'ils aimeraient faire appliquer. Donc voilà, ça va bouger rapidement mais on estime qu'ils devraient au moins 12 mois au minimum donc on parle plus de fin 2024, voire début 2025.

Présenter: Okay. Merci. Une question de Thomas : « bonjour, c'est une solution uniquement Cloud ou également en prem ? »

François: Alors, la SCM, c'est Cloud uniquement. Après, elle s'intègre avec des environnements prem. Mais non, l'accès à la plateforme est uniquement en Cloud.

Présenter: Okay. Merci. J'enchaîne mais c'est super, il y a beaucoup de questions. Alors, celle-là, c'est une question qui risque de prendre un peu plus de temps. Il faudrait peut-être organiser une réunion. « Pourriez-vous me donner les avantages qu'offre SCM par rapport à Let's Encrypt ? »

François: Alors, oui, en effet, ça va prendre un peu plus de temps. En fait, la SCM vous permet de gérer tous types de certificats, on ne s'arrête pas qu'aux certificats TSL, SSL, c'est les certificats devices, les certificats utilisateurs, les certificats S/MIME quand Let's Encrypt gère les certificats SSL uniquement. Donc voilà, on est sur une solution qui permet de gérer plus de profils de certificats. Voilà l'une des raisons. Après, Let's Encrypt, Sectigo pousse sur ce programme, le finance largement. On estime que c'est une bonne chose, ça permet d'avoir du certificat SSL partout et également sur, voilà, des services qui ont besoin de flexibilité et de rapidité. Donc Let's Encrypt est une bonne initiative. Après, la SCM est plus complète et permet, voilà, des possibilités de découverte, permet également l'intégration avec des PKI Microsoft, avec des environnements DevOps, voilà.

Yan: Sur les niveaux de validation des certificats aussi, Let's Encrypt, ils ne font que du DV si je ne me trompe pas.

François: Oui, c'est ça. En effet, c'est un point important. La CSM ne délivre que des certificats à la validation d'organisation. C'est-à-dire que pour bénéficier de cette plateforme, on doit, nous, auditer les organisations qui sont derrière, les valider et valider évidemment les domaines. Et du coup, tous les certificats qui sont émis depuis la plateforme sont des certificats qui identifient le propriétaire des sites des domaines.

Arnaud: Okay. Alors, il ne nous reste plus qu'une minute et j'ai encore deux questions et il y a quelques questions sondages auxquelles on vous demandera de répondre, s'il vous plaît. Donc, je vais passer vite fait sur les questions. Donc Christophe. Bonjour, on utilise déjà Let's Encrypt avec le client Acme Serp bot, on pourra donc utiliser Serp Bot pour demander et renouveler les certificats CSC ?

François: Alors, Serp Bot, c'est un client Acme oui, et du coup vous pouvez utiliser avec la SCM. Je ne pense pas que ce soit le cas avec CSM, je pense que non. Mais oui, vous pouvez utiliser Serp Bot pour l'automatisation et l'utilisation d'Acme.

Yan: C'était peut-être une question par rapport à l'API que CSC propose, non ? Non, je ne sais pas. Mais c'est une question qu'on peut prendre et voir en interne.

Arnaud: Oui, alors on a eu, j'ai eu deux autres questions concernant l'API. Merci Jean-Charles d'ailleurs pour vos questions. Je vais, du coup, là, on arrive à la fin. Donc du coup je prends ces questions-là. Il y a une dernière question de Julien aussi pour l'automatisation. Alors, on vous répond en direct par email. Merci à François, Frédéric et Yan pour vos présentations. Merci à vous toutes et à vous tous pour votre participation. Je pense qu'on peut désormais envoyer le questionnaire et je souhaite à toutes et à tous une excellente fin de journée.

François: Merci à tous. Au revoir.

Yan: Merci à tous. Au revoir.

Frédéric: Merci.