Fortunato
Guarrino
Cartel
Securité
3 Panorama des solutions
PKI Depuis
l'origine du modèle PKI, les produits se sont progressivement
adaptés aux exigences sécuritaires des entreprises.
L'apparition de solutions non orthodoxes témoigne de cette
réponse pragmatique au marché.
La
mise en oeuvre d'une architecture PKI n'est pas une fin en
soi. Elle répond à des besoins techniques, administratifs ou
fonctionnels de l'entreprise. C'est la raison pour laquelle il
n'existe pas de modèle unique. On rencontre en fait une très
grande diversité de solutions PKI : externalisées, internes,
hébergées... Dans ce contexte, l'entreprise doit clairement
définir ses objectifs et étudier son besoin pour choisir le
produit le mieux adapté à ses
attentes.
Du
cahier des charges aux solutions du marché
L'aspect
technique ne doit pas être relégué au dernier plan, comme le
voudraient certains cabinets de conseil. L'expérience prouve
en effet qu'il existe un décalage flagrant entre le cahier des
charges et les solutions PKI du marché. Il faut donc étudier
cet aspect de manière concomitante. A cette fin, l'acquéreur
doit évaluer chaque produit pour mesurer les avantages, les
inconvénients et, surtout, les limites de telle ou telle
solution, avant de se lancer dans des études
organisationnelles ou dans l'écriture de procédures de
certification longues et onéreuses. D'autant qu'il existe
plusieurs sortes de technologies PKI.
Une
architecture externalisée...
La
première catégorie repose sur une architecture externalisée.
Dans cet environnement, l'aspect technique est sous-traité à
un prestataire de services, communément appelé «tiers de
confiance», qui propose sa propre solution de PKI.
Quelquefois, la composante cliente de la PKI est hébergée
directement chez l'utilisateur. La partie administrative et la
fabrication de certificats sont, en revanche, conservées chez
le tiers de confiance, qui offre un service en ligne pour les
tâches administratives. Cette solution est proposée par des
sociétés comme Certplus (joint-venture entre Gemplus,
l'américain Verisign et France Télécom), Certinomis (filiale
de Sagem et de La Poste) ou Thawte (filiale de Verisign). A
l'instar d'autres services d'externalisation, ces offres sont
principalement destinées aux banques et grands comptes, ainsi
qu'à quelques PMI. Des compagnies qui apprécient le caractère
ouvert et immédiatement opérationnel d'un système externe. En
contrepartie, elles doivent modérer leurs prétentions de
personnalisation et acquitter la dîme pour le renouvellement
des certificats.
...
ou une solution privée
A
la différence d'un système externalisé, une solution interne
impose l'acquisition d'une solution de PKI privée ainsi que la
mise en oeuvre de procédures organisationnelles et juridiques.
Le développement intra muros présente l'avantage d'adapter la
PKI au système d'information de l'entreprise, et par
conséquent d'offrir un bon niveau de personnalisation et
d'intégration. Mais ce type de solution exige une évaluation
plus rigoureuse des produits afin de maîtriser l'évolutivité
et l'interopérabilité avec les standards. L'examen de l'aspect
sécuritaire est tout aussi primordial puisque la politique de
sécurité de l'entreprise s'articulera autour du produit
retenu.
Un
modèle réservé
On
déplorera cependant que les solutions offertes ne soient pas
ouvertes et tout simplement proposées sous format binaire.
Depuis peu, pourtant, quelques produits Open Source permettent
de vérifier la qualité des moyens mis en oeuvre lors du
développement du produit. Parmi les avantages d'une PKI
interne figurent la mutualisation des architectures réseaux
existantes, l'intégration de la solution au sein du système
d'information de l'entreprise ainsi qu'une complète maîtrise
d'oeuvre. Au chapitre des inconvénients, une PKI interne
impose en amont une réflexion sur l'organisation et la mise en
place des pratiques de certification, ainsi qu'un
investissement en formation, dans la maintenance et le
matériel... Autant d'entraves qui cantonnent cette
architecture aux banques et grands
comptes.
La
PKI hébergée, une solution mixte
A
côté de ces deux types d'architecture PKI, la PKI hébergée
(Hosted PKI) a vu le jour par le biais d'outils Open Source. A
cheval sur les solutions externalisées et internes, elle offre
les mêmes avantages avec moins d'inconvénients. La Hosted PKI
permet de définir une solution personnalisée dans le cadre
défini par le client, tout en réduisant les coûts par
l'utilisation de solutions d'hébergement externalisées
hautement sécurisées. Cette solution mixte atténue les
investissements massifs et affranchit l'entreprise des coûts
de renouvellement des certificats. Autrement dit,
l'hébergement offre une infrastructure opérationnelle
sécurisée et autorise un développement «à façon» de la PKI qui
sied à une large palette d'usagers, de la PME aux grandes
entreprises.
Light
PKI pour petits budgets
En
marge de ces trois catégories de solutions, le concept de
Smart PKI, ou Light PKI, reprend l'ensemble des services de
l'approche PKI, avec une notion de confiance sans tiers. La
PKI dite «légère» fournit un logiciel comportant en natif les
fonctions de signature, chiffrement, vérification de
signature, déchiffrement. Le logiciel permet à chaque
utilisateur de générer et certifier lui-même ses clés. Cette
autocertification dispense de recourir à l'infrastructure de
gestion des clés des solutions classiques. Un affranchissement
avantageux pour les petites sociétés mais difficile à
maîtriser. De plus, la Light PKI soulève des problèmes de
confiance pour les certificats utilisateurs et repose sur des
systèmes
propriétaires.
|
