Ouvrir le système d'information de l'entreprise à ses membres opérant à l'extérieur, ou à des tiers, accroît sa vulnérabilité. D'où la nécessité d'authentifier les utilisateurs avant d'autoriser l'accès aux ressources de l'entreprise et de garantir la confidentialité des données échangées. Les algorithmes de chiffrement de type asymétrique satisfont à ce dernier besoin en empruntant un jeu de deux clés. La première, dite «publique», est transmise sans souci de confidentialité à destination d'éventuels interlocuteurs. La seconde clé, «privée», reste au bercail dans l'attente d'un message à déchiffrer en conjonction avec la clé publique. Problème : rien ne préserve la clé publique d'une interception frauduleuse. Un intrus peut tout à fait s'interposer entre les entités émettrice et destinataire pour introduire sa propre clé publique et fausser les communications ultérieures. Cette faille oblige à valider l'identité des propriétaires des clés publiques échangées par le biais d'un certificat électronique qui atteste de la paternité de chaque clé publique... Une sorte de «carte d'identité» délivrée par une autorité d'enregistrement impartiale comparable à une préfecture dépendant d'une tutelle de certification qui ferait office de ministère de l'Intérieur.

Cette infrastructure de gestion des clés publiques, appelée Public Key Infrastructure (PKI), s'applique autant à une opération d'authentification, à un traitement de cryptographie ou à la création d'une signature électronique. En théorie, une telle hiérarchisation du contrôle apparaît idéale. Mais la pratique révèle de vraies lourdeurs, notamment la procédure administrative d'enregistrement, qui passe par l'envoi d'une paperasse abondante ou le déplacement physique du demandeur de ce certificat. En outre, le contrôle du certificat en phase d'exploitation implique l'usage d'une clé publique qui doit elle-même être certifiée. Cette gestion kafkaïenne explique à elle seule le piétinement du concept PKI. D'autant que la mise en oeuvre sur le terrain se chiffre en milliers, voire en dizaines de milliers d'euros. Pour rentrer dans leur frais, les promoteurs d'offres PKI ont décidé d'alléger cette «usine à gaz» en affectant une partie du traitement à une carte à puce ou à un boîtier de cryptologie hébergé. Ces intermédiaires masquent ainsi la complexité des opérations de création de clés et de certificats.

Une PKI est une infrastructure technique fondée sur un ensemble de composants matériels et logiciels qu'il faut intégrer entre eux pour assurer l'enregistrement des utilisateurs, la distribution des objets de sécurité, la prise en compte des révocations, le renouvellement des certificats... Il s'agit aussi d'une «infrastructure de services» sur laquelle les applications vont venir s'appuyer pour sécuriser les accès, le stockage et, éventuellement, assurer la non-répudiation. La PKI touche donc un très grand nombre d'acteurs dans l'entreprise : utilisateurs finaux, développeurs d'applications, responsables de la sécurité, exploitants... Lorsqu'on entame la mise en place d'une PKI, il convient de n'oublier aucune des facettes structurantes du projet. (Voir pages 52-53.)

Pour calculer complètement le budget d'un projet de PKI, il faut agréger de multiples postes de dépenses, depuis les études préalables, qui sont assez complexes, jusqu'aux coûts de fonctionnement... Sans oublier les coûts de construction de l'infrastructure : matériels et logiciels, prestations d'intégration, mais surtout travaux de formalisation et de communication pour obtenir une bonne insertion de la PKI dans l'organisation de l'entreprise. Quelle que soit la stratégie fournisseur retenue (réalisation en interne à partir de produits du marché ou construction et exploitation externalisées), les postes de coûts les plus importants restent les mêmes : définition des services à apporter aux applications, formalisation des processus organisationnels, politique de certification, déploiement de ces processus dans l'entreprise. (Voir pages 54-55.)

Les infrastructures de clé publique impliquent plusieurs acteurs, à commencer par les autorités de certification comme le français Certinomis (filiale de La Poste et de Sagem), Verisign (((IBM, à vérifier ? ? ?XXX))) ou Thawte. A ces protagonistes s'ajoutent une multitude d'éditeurs de solutions spécialisées sur le créneau PKI, tels que Baltimore, Entrust, RSA Security, mais aussi des acteurs plus généralistes, comme Microsoft ou IBM. Le choix entre les outils de ces fournisseurs dépendra du type d'architecture PKI retenue, elle-même définie en fonction de la taille de l'entreprise, de son activité et de ses exigences sécuritaires. Au bout du compte, la PKI sera soit externalisée, soit exploitée en interne. En marge de cette alternative apparaissent d'autres solutions plus légères, comme la Smart PKI ou la Hosted PKI, qui atténuent la complexité et modèrent les coûts. (Voir pages 56-57.)

La finalité universelle du modèle PKI, surdimensionné par rapport aux besoins de sécurité des entreprises, entrave son essor. Les entreprises veulent avant tout préserver leurs informations sensibles, se protéger des intrus et valider les échanges avec l'extérieur. Elles recherchent des instruments fiables, simples à administrer, peu coûteux et indépendants des infrastructures externes. Les solutions de type Light PKI, bâties sur des cartes à puce, répondent à ce cahier des charges en adaptant les mécanismes de confiance à l'échelle d'une communauté ciblée. L'intégration de fonctions sécuritaires évoluées (signature, chiffrement, vérification...) dans le microprocesseur de la carte simplifie le développement des applications. Cela permet en outre d'enrichir les principes de base du standard PKI en autorisant par exemple la délégation d'une signature de façon temporaire et restrictive en termes de droits.