PKI – Qu’est-ce qu’une infrastructure à clés publiques | SwissSign

Naviguer sur SwissID

Une spécialiste de la Poste Suisse pour la sécurité des données
Adrian Mueller • 21.11.2024

PKI – Qu’est-ce qu’une infrastructure à clés publiques?

Qu’est-ce qu’une PKI? La base des certificats SSL ou encore des signatures numériques – pour la sécurité et l’efficacité numériques dans les entreprises

Comment évaluer vos risques informatiques 

Le sujet de l’analyse des risques informatiques gagne sans cesse en importance dans l’environnement professionnel; en effet, aucune entreprise ne peut exister aujourd’hui sans informatique et surtout sans appareils connectés à Internet. Malgré d’indéniables avantages, l’utilisation d’une infrastructure numérique présente toutefois quelques risques qui sont susceptibles de menacer les activités de l’entreprise. Outre les attaques de type déni de service (DDos), logiciels malveillants et phishing ou les simples coupures de courant dans le centre de données, il existe aussi un risque lié aux applications exploitées par des tiers. Par ailleurs, l’utilisation inappropriée des appareils par les collaborateurs, autrement dit le «facteur humain», est tout aussi dangereuse.  

Lire l’article spécialisé: Que signifie le «facteur humain» en sécurité informatique? 

Résumé

La PKI est basée sur des procédures cryptographiques asymétriques, c’est-à-dire qu’elle utilise une paire de clés composée d’une clé privée et d’une clé publique. Outre le cryptage à proprement parler, la technologie est également utilisée pour l’authentification et la signature de documents et de données. La mise en œuvre s’effectue au moyen de structures hiérarchisées. Les certificats délivrés par les «Certification Authorities» associent une identité enregistrée à une clé publique. Les certificats ont une durée de validité, mais peuvent également être bloqués avant leur expiration. Les lois et les normes imposent les exigences à la PKI, par exemple pour l’utilisation de certificats sur Internet destinés à la sécurisation des serveurs Web ou du trafic d’e-mails.

Analyse des risques informatiques: étape par étape

Étape n°1: identifier les risques 

Pour pouvoir éviter les risques, encore faut-il les connaître. Pour cela, dressez un schéma de l’informatique de votre entreprise en tenant compte également du «Shadow IT». Il s’agit là d’appareils utilisés officieusement, de solutions de contournement et d’autres adaptations mises en place par les collaborateurs. Veillez également à ne pas oublier non plus le statut des mises à jour des appareils et autres failles de sécurité. 

En matière de risques informatiques, la chaîne est aussi forte que son maillon le plus faible. Vous devez donc identifier les maillons les plus faibles de la chaîne. Passez en revue tous les systèmes et flux de données et notez chaque risque. Vous aurez rapidement une vue d’ensemble de là où se situent les principales failles. Ces risques peuvent être de différente nature: 

  • Risques techniques: anciens appareils ou systèmes d’exploitation avec des failles de sécurité 

  • Risques physiques: dégâts des eaux dans le centre de données ou vandalisme 

  • Risques liés aux procédures: erreur humaine ou prise de conscience insuffisante de la gestion des risques

Formations sur l'infrastructure à clé publique

Afin d'acquérir une compréhension plus approfondie de la Public Key Infrastructure et de maîtriser son application dans la pratique, nous vous recommandons de suivre une formation ciblée.

La formation SwissSign PKI permet non seulement d'acquérir les bases du cryptage, mais aussi les meilleures pratiques pour une gestion sécurisée des certificats.  

S'inscrire maintenant

Étape n°2: structurer les risques 

Vous serez probablement surpris du grand nombre de risques que vous allez identifier. C’est tout à fait normal. La prochaine étape consiste donc à les structurer. Deux échelles sont importantes: 

  1. Quelle est l’ampleur du dommage possible? 

  2. Quelle est la probabilité qu’il survienne? 

Certains risques menacent l’existence de l’entreprise, tandis que d’autres ont des conséquences moins graves. L’utilisation d’appareils personnels sur le WiFi de l’entreprise constitue par exemple un grand risque. Si un appareil de ce genre n’est pas sécurisé, il peut permettre dans le pire des cas à des pirates d’accéder à l’ensemble des données des clients de l’entreprise. La deuxième échelle concerne la probabilité que le risque survienne. Par exemple, il est nettement moins probable qu’un serveur soit endommagé par une tempête de sable qu’un collaborateur télécharge par erreur un logiciel malveillant. 

PKI Verschlüsselung

Le cryptage «asymétrique» quant à lui n’utilise pas un secret commun, mais une paire de clés. Celle-ci se compose de la clé «privée» («Private Key») et de la clé «publique» («Public Key») qui en découle. La clé publique s’appelle ainsi parce qu’elle peut être publiée de manière accessible à tous. La clé publique permet de crypter les données. La clé privée doit, comme son nom l’indique, rester secrète. La clé privée permet de décrypter les données codées avec la clé publique.

Les premières méthodes asymétriques ont été développées dans les années 1970 et nécessitaient déjà des ordinateurs. L’échange de clés publiques peut se faire de manière ponctuelle, y compris entre des participants ou des parties qui ne se connaissent pas et qui n’ont pas échangé de clés au préalable. Cette méthode est donc prédestinée aux groupes d’utilisateurs ouverts qui interagissent sur Internet.

Procédure à clés publiques 

Les procédures asymétriques ou à clés publiques sont basées sur des opérations mathématiques qui peuvent être calculées relativement facilement dans un sens, tandis que l’inversion génère une charge de calcul tellement élevée qu’elle est impossible à réaliser dans la pratique. On parle également de «fonctions à sens unique» ou de «one-way functions». 

RSA

La méthode asymétrique la plus répandue et la plus connue est la méthode RSA. RSA est l’acronyme de «Rivest, Shamir, Adlman» – les inventeurs de la méthode. La fonctionnalité à sens unique de la procédure RSA est basée sur le fait que deux nombres premiers peuvent être facilement multipliés entre eux. Celui qui ne connaît que le produit, c’est-à-dire le résultat de la multiplication, a beaucoup de mal à décomposer à nouveau ce nombre en deux facteurs à nombres premiers.. Cette «factorisation» devient impossible si les nombres choisis sont suffisamment grands. La clé privée est dérivée des deux nombres premiers, à partir du produit de la clé publique.

PKI dans la pratique: signature numérique ou preuve d’identité

Comme décrit ci-dessus, le cryptage fonctionne avec la clé publique et le décryptage avec la clé privée. La procédure peut également être appliquée inversement, c’est-à-dire que le détenteur de la clé privée «crypte» les données avec celle-ci. Comme personne d’autre n’y a accès, cette action peut être clairement attribuée au détenteur et ce «cryptage» peut être vérifié à l’aide de la clé publique. Cette procédure est appelée signature numérique et ouvre d’autres possibilités d’application:

  • Signature électronique infalsifiable de documents ou de données en général. Celle-ci peut par exemple être effectuée de manière similaire à la signature manuscrite ou sous forme de «scellé» par une organisation.

  • Authentification, c’est-à-dire la preuve que quelqu’un est celui qu’il prétend être (similaire à la présentation d’un document d’identité dans le monde physique).

PKI dans la pratique: les certificats comme liens enregistrés d’une clé publique à une identité

Les explications ci-dessus ont porté sur les bases techniques et cryptographiques. Reste à savoir comment déterminer à qui appartient une paire de clés. C’est là que les certificats à clés publiques entrent en jeu. Ils sont délivrés par un tiers digne de confiance, une «Trusted Third Party», et lient une clé publique à une identité, c’est-à-dire au détenteur de la clé privée correspondante. Il peut s’agir d’une personne, d’une organisation, d’une adresse technique, d’une machine ou d’un appareil.

«X.509» s’est imposé comme norme technique pour le format de ces certificats. La norme X.509 est gérée par l’Organisation internationale de normalisation (ISO) en collaboration avec l’Union internationale des télécommunications (UIT), toutes deux basées à Genève.

L’identité doit être correctement enregistrée

L’identité figurant sur le certificat doit toujours être vérifiée et enregistrée de manière correcte et traçable. Les toutes nouvelles avancées cryptographiques et techniques ne servent à rien si les processus d’enregistrement peuvent être contournés. L’enregistrement ou la «validation» correcte est donc un point au moins aussi important que les contrôles techniques, et il convient d’y consacrer les moyens nécessaires. Nous ne parlons pas ici de paperasserie ou de mesures inutiles.

Hiérarchie PKI: Certification Authority 

Une PKI pour les certificats X.509 dispose d’une structure hiérarchique stricte. Il s’agit d’une «arborescence» au sens de l’informatique ou de la théorie des graphes, avec une racine ou «Root» comme élément le plus élevé, et des feuilles ou «Leafs» comme éléments les plus bas. Un organisme qui délivre des certificats est une «Certification Authority», également appelée «Certificate Authority» (CA).

La Root CA ne délivre que peu de certificats pour les «Sub CA» subordonnées. Celles-ci délivrent à leur tour les certificats Leaf, c’est pourquoi elles sont également appelées «Issuing CA». Les certificats Leaf sont généralement utilisés par les utilisateurs finaux, c’est-à-dire les clients de la CA.

Il existe des relations de confiance entre les différents éléments ou organisations. Comme décrit ci-dessus, la CA émettrice a vérifié l’appartenance de l’identité au certificat. Techniquement, la CA met en œuvre cette relation de confiance en signant numériquement les données du certificat. Les certificats Root sont généralement enregistrés dans un «Rootstore». Un Rootstore est une base de données de certificats Root de confiance. Les Rootstores sont préremplis selon des règles prédéfinies et livrés dans les systèmes d’exploitation, les navigateurs ou les clients de messagerie. Grâce aux relations de confiance décrites et à leur enchaînement («transitivité»), ce concept permet de faire confiance à des millions de certificats d’utilisateur final émis par la Root CA lorsqu’elle est digne de confiance.

SwissSign: Certification Authority suisse

Toutes les opérations ont lieu chez nous en Suisse et toutes les données sont stockées en Suisse. Nous sommes l’organisation suisse qui prend part aux discussions lorsque les grandes sociétés de navigation du monde entier se réunissent pour définir les règles concernant les nouveaux certificats SSL/TLS et e-mail.

Validité des certificats X.509

Tous les certificats ont une durée de validité définie, c’est-à-dire un début et une fin de validité. Il peut toutefois arriver qu’un certificat ne puisse plus être utilisé avant la fin de validité initialement fixée. Les raisons peuvent être, par exemple, que les informations d’identité ne sont plus correctes, que le certificat a déjà été remplacé ou, dans le pire des cas, que la clé privée n’est plus sécurisée. C’est pourquoi les fournisseurs de CA proposent des services de blocage (ou «révocation») de certificats.

Les informations correspondantes sur le statut des certificats («valide ou bloqué?») sont publiées par une CA. Techniquement, cela signifie qu’une liste de certificats révoqués est publiée (appelée «Certificate Revocation List» ou CRL).

Le «Online Certificate Status Protocol» (OCSP) est une autre méthode permettant de connaître le statut de validité ou de blocage des certificats individuels. Ce dernier perd toutefois en importance, en particulier pour les certificats SSL/TLS, car il est techniquement complexe et sujet à des dysfonctionnements et parce qu’il existe des problèmes concernant la vie privée, notamment en cas de mauvaise manipulation.

Pourquoi vous avez besoin de Public Key Infrastructures – PKI

Les entreprises utilisent la PKI comme suit afin de profiter de la sécurité de la PKI et d’accélérer leurs processus. Avec nos produits, nous proposons à SwissSign une solution optimale à cet effet.

 

Certificats SSL ou TLS (SSL: Secure Socket Layer, TLS: Transport Layer Security)

Lorsqu’une connexion cryptée est établie avec un serveur Web sur Internet, celui-ci doit s’authentifier. Il faut bien noter qu’une connexion cryptée, mais établie avec le mauvais serveur comme partenaire de communication, n’est pas confidentielle. L’utilisation de la clé publique dans le certificat pour le cryptage est également possible, mais n’est plus considérée comme une bonne pratique. L’utilisation de SSL/TLS représente la norme dans les navigateurs Internet modernes.

Vers notre offre de certificats

 

Secure E-Mail ou S/MIME

Les certificats X.509 sont utilisés pour sécuriser le trafic d’e-mails sur Internet. La norme technique correspondante est connue sous le nom de S/MIME (Secure/Multipurpose Internet Mail Extensions). Les applications sont les suivantes: - S/MIME permet de signer des e-mails et de garantir ainsi l’authenticité de l’expéditeur. À l’ère du spam et du phishing, une telle signature est une preuve précieuse qu’un e-mail provient réellement de l’expéditeur supposé. - Le certificat d’un détenteur d’une adresse e-mail permet de crypter un message qui lui est adressé, de sorte que seul celui-ci peut lire l’e-mail.

Vers notre offre de certificats e-mail

 

Signature du document par des personnes

Comme pour la signature papier dans le monde physique, une personne peut donner son consentement au moyen d’une signature électronique sous un document. La «Signature électronique qualifiée» (SEQ) est réglementée par la loi comme l’équivalent de la signature manuscrite dans le monde physique, mais d’autres types de signature peuvent également être utilisés en fonction des exigences ou des prescriptions de forme.

Vers notre offre de signatures numériques

 

Sceaux électroniques en tant qu’expéditeur d’une organisation

Le sceau électronique constitue un cas particulier de la signature électronique. Les sceaux sont des signatures apposées au nom d’une organisation ou d’une personne morale. Les sceaux sont particulièrement adaptés aux applications automatisées qui échangent des factures ou d’autres documents commerciaux importants. Lors d’une révision, le sceau d’un créancier permet par exemple de prouver qu’une facture provient de ce créancier et que le montant de la facture et le montant de la TVA indiqués sont corrects.

Vers notre offre de signatures numériques

 

Internet of Things

L’«Internet of Things» (IoT), en français «Internet des objets», se compose d’appareils physiques, généralement équipés de capteurs, qui communiquent avec des services en ligne. On peut citer à titre d’exemple les appareils Smart Home, par exemple pour le «Smart Metering» permettant de mesurer la consommation ou la production d’électricité. Des certificats sont utilisés pour l’authentification sécurisée des appareils et des services en ligne.

Vers notre offre de certificats pour les appareils

 

PKI Windows

Des certificats gérés dans Microsoft Active Directory (AD) sont également utilisés dans un réseau Windows interne à l’entreprise. Une telle PKI Windows peut être exploitée en interne ou obtenue sous forme de service cloud.

Vers notre offre de Managed PKI: SSL/E-Mail

 

Horodatage

L’horodatage des documents électroniques a pour but de prouver l’existence d’un document électronique à un moment donné. Pour ce faire, le prestataire exploite un service qui reçoit les demandes et renvoie les confirmations d’heure ou les horodatages. Il convient de noter que les documents ne doivent pas être divulgués au service; la transmission d’identifiants uniques de document (appelés «hachages») est suffisante. L’horodatage est utilisé pour l’archivage des documents électroniques.

Vers notre offre d’horodatages

Voici comment les PKI sont réglementées pour une confiance et une sécurité maximales

La fiabilité d’une CA et des certificats qu’elle délivre dépend de son niveau de sécurité. Ce niveau de sécurité doit être pleinement respecté, dans tous les domaines. Il existe des lois et des normes, c’est-à-dire des règlements, qui définissent les exigences à cet égard et en ce qui concerne son audit. Celles-ci comprennent:

  • La gouvernance, c’est-à-dire le système de contrôle et de réglementation de la CA. Elle comprend des mesures techniques et organisationnelles visant à protéger l’exploitation, la surveillance, la maturité des processus et les règles de responsabilité.

  • La force et le type d’enregistrement (p. ex. la preuve de la possession d’un nom de domaine pour lequel un certificat SSL/TLS est délivré par le demandeur).

  • Le cas échéant, prescriptions relatives au token cryptographique utilisé, c’est-à-dire à la protection de la clé privée appartenant au certificat numérique (p. ex. enregistrement dans du matériel certifié).  

Les régulateurs et réglementations pertinents pour nous chez SwissSign sont les suivants:

  • CA/Browser Forum pour la réglementation des certificats SSL/TLS et e-mail sur Internet

  • Directives ou politiques des éditeurs de navigateurs, de clients de messagerie et de systèmes d’exploitation, c’est-à-dire de Google, Microsoft, Apple et Mozilla

  • Loi fédérale suisse sur les services de certification dans le domaine de la signature électronique et d’autres applications de certificats numériques «SCSE»

  • Règlement de l’UE sur l’identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur «eIDAS» Adobe Approved Trust List (AATL)

  • Normes spécifiques à la PKI de l’Institut européen des normes de télécommunication (ETSI)  

 

En tant qu’opérateur suisse qui conserve 100% des données en Suisse, SwissSign doit naturellement aussi respecter toute la législation suisse non spécifique à la PKI. Étant donné que SwissSign est également certifiée eIDAS conformément au règlement européen et qu’elle a établi une large base de clients dans l’espace européen, diverses réglementations européennes sont également pertinentes, en plus du règlement eIDAS mentionné, comme le règlement général sur la protection des données (RGPD).

Pourquoi les entreprises devraient-elles utiliser une PKI?

La PKI offre aux entreprises un moyen fiable de sécuriser et d’accélérer numériquement leur communication et leurs processus. Pour les responsables informatiques, opter pour une PKI est un investissement durable. Cela crée de la sécurité, de l’efficacité et de la confiance dans tous les processus commerciaux numériques.

Ce que vous devriez faire maintenant

 

1. Simplifiez la gestion de vos certificats pour TLS/SSL et e-mail : Avec notre Managed PKI (MPKI), vous pouvez gérer de manière autonome et individuelle les certificats de vos collaborateurs, clients et partenaires en fonction de vos besoins et économiser par rapport à l'achat de certificats individuels.

Commander MPKI maintenant

2. Notre formation PKI pour les professionnels de l'informatique s'adresse aux personnes qui gèrent une PKI ou qui souhaitent mieux comprendre les bases, les applications et les meilleures pratiques dans l'entreprise. En 2025, nous proposerons à nouveau notre formation de deux jours pour une « plongée en profondeur » dans la méthodologie de cryptage moderne.

Inscrivez-vous dès maintenant

3. Faites-vous conseiller sur la manière d'optimiser votre PKI-Set Up - êtes-vous plus avantageux avec une MPKI ? Devriez-vous investir dans un Certificate Lifecycle Management ?

Demandez conseil maintenant

4) Si vous avez appris quelque chose de notre article, envoyez-le à d'autres personnes de votre organisation, enregistrez le lien pour plus tard ou partagez-le sur LinkedIn 👇

Vers l'aperçu

Cela pourrait aussi vous intéresser

Torsten Kahlstadt • 17.12.2024

Qu’est-ce que la sécurité intégrale?

Il s’agit d’un concept de sécurité global qui intègre des mesures organisationnelles, personnelles, juridiques et réglementaires, en plus des deux piliers de la sécurité physique et de la sécurité informatique. Nous vous expliquons également comment SwissSign le met en œuvre en tant que Trust Service Provider.
Cybersécurité
Tobias Bertschi • 01.10.2024

Passkeys: connexion sans mot de passe

Les passkeys rendent non seulement le processus de connexion plus facile pour les utilisateurs, mais assurent également une plus grande sécurité. Comment cette technologie fonctionne-t-elle?
Cybersécurité Identité
SwissSign • 30.08.2024

DV, OV ou EV?

Pour un site Web professionnel, vous avez dans tous les cas besoin d’un certificat SSL. Mais quel niveau de validation choisir: domain validation (DV), organisation validation (OV) ou extended validation (EV)?
Cybersécurité Certificats

SwissSign

Ressources

Connaissances

Support

Une spécialiste de la Poste Suisse pour la sécurité des données

Logo de «La Poste», vous accédez au site de «La Poste».