Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Livre blanc

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL
Sommaire Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Dfis lis la gestion des certificats SSL . . . . . . . . . . . . . . . . . . . . . . . 3 Dangers lis aux certificats corrompus ou arrivs expiration . . . . . . . . . Vol d'informations personnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . Perte de clients au profit de la concurrence . . . . . . . . . . . . . . . . . . . . . Multiplication des demandes d'assistance client . . . . . . . . . . . . . . . . . . Pression accrue sur les dpartements informatiques . . . . . . . . . . . . . . . 4 4 6 6 6

Pratiques reconnues en matire de gestion des certificats SSL . . . . . . . . . 7 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Symantec Certificate Intelligence Center: recherche et gestion efficaces des certificats SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Introduction Depuis prs de 15 ans, les certificats SSL jouent un rle essentiel dans la protection des donnes achemines sur Internet ou d'autres rseaux. Des transactions financires en ligne au commerce lectronique ou au dveloppement de produits, les certificats SSL permettent aux utilisateurs du monde entier de transmettre des informations sensibles avec l'assurance que celles-ci seront protges contre toute action malveillante. Ces quinze dernires annes, le rseau Internet a considrablement volu et pourtant les certificats SSL continuent d'inspirer le mme sentiment de confiance. Quelle en est donc la raison? En deux mots, ces certificats doivent leur succs leur efficacit dans la protection des donnes en transit. Selon une estimation, il faudrait environ six trillons d'annes (soit environ un million de fois l'ge actuel de la Terre) pour venir bout du chiffrement 128bits utilis par les certificats SSL, quelle que soit la mthode employe.1 Toutefois, la vigilance tant de rigueur dans le secteur de la scurit, bon nombre d'autorits de certification dotent d'ores et dj leurs certificats SSL de la technologie de chiffrement 2048bits, ce qui vient encore renforcer la protection des transmissions de donnes en ligne. Les clients oprant des transactions sur les sites Web et systmes protgs par la scurit SSL n'en restent pas moins exposs des menaces srieuses. A cela, une raison majeure: la mauvaise gestion des certificats SSL. Les entreprises ayant grer des centaines de certificats issus de diffrents fournisseurs peuvent facilement en perdre la trace dans leur environnement. Dans ce cas, l'arrive expiration de tel ou tel certificat peut passer inaperue pendant des mois, laissant les visiteurs du site la merci des pirates. Parfois, le premier signe indiquant qu'un certificat SSL a t "perdu" est l'appel d'un client qui, constatant l'expiration d'un certificat, se demande s'il est prudent pour lui de poursuivre ses achats sur le site. Il peut s'agir aussi d'un vnement plus srieux, par exemple, un incident de phishing permettant des cybercriminels de dtourner les informations sensibles des clients. Il arrive galement qu'une faille de scurit dans les systmes d'une autorit de certification se rpercute l'chelle d'une entreprise, notamment quand celle-ci n'est pas en mesure de ragir assez rapidement en raison du manque de visibilit de son stock de certificats SSL. Dans tous les cas de figure, perdre la trace des certificats SSL peut non seulement coter trs cher mais galement nuire la rputation de l'entreprise. Fort heureusement, la recherche et la gestion des certificats SSL n'est pas ncessairement une tche complexe ou grande consommatrice de temps. Le prsent document technique passe en revue les problmes induits par une mauvaise gestion des certificats SSL. Il montre quels dangers ces problmes reprsentent pour les entreprises et comment celles-ci peuvent mettre en place un contrle efficace de leurs certificats. Dfis lis la gestion des certificats SSL L'entreprise d'aujourd'hui est un environnement complexe englobant souvent plusieurs rseaux internes et des sites Web accessibles au public. Plusieurs dizaines (voire plusieurs centaines) de certificats SSL distincts peuvent donc tre dploys au mme moment dans une entreprise donne.

1. http://www.inet2000.com/public/encryption.htm

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Bien souvent, il s'agit en outre d'une combinaison de certificats diffrents les uns des autres et issus d'autorits de certification bien distinctes. Par exemple, une entreprise installera les certificats SSL d'un fournisseur aussi rput que fiable sur son site Web accessible la clientle et dploiera des certificats auto-signs ou de marques valeur ajoute sur son Intranet. Certaines autorits de certification fournissent des outils permettant de grer leurs propres certificats mais ceux-ci procurent rarement la visibilit suffisante pour suivre l'ensemble des certificats d'un environnement, toutes autorits de certification confondues. Loin de faciliter l'administration, les divers portails de gestion rendent le suivi d'un grand nombre de certificats SSL issus d'autorits de certification diffrentes plus problmatique encore. Les administrateurs doivent constamment surveiller leurs certificats SSL sur des systmes multiples et regrouper leurs propres rapports pour obtenir une vue complte de leur stock de certificats. Pour comble de difficult, les politiques de scurit mises en place par les entreprises exploitant des rseaux distribus varient parfois d'un groupe l'autre. Par exemple, le Groupe A aura besoin de certificats SSL Extended Validation pour protger les donnes dont il assure la gestion, tandis que le Groupe B fera appel un autre type de certificats SSL, provenant d'une autorit de certification diffrente. Ou bien, autre scnario plus courant encore, le Groupe A aura besoin de certificats SSL 2048bits tandis que le Groupe B se contentera de certificats 1024bits. S'ajoutant des politiques diversifies et aucun moyen unique d'obtenir une vue complte des certificats SSL dploys dans l'entreprise, ces incohrences peuvent tre la cause de risques pour la scurit et du non-respect des exigences rglementaires ou internes. Le problme est rendu encore plus aigu lorsque les employs en charge de la scurit SSL changent de poste ou quittent l'entreprise. A moins que ceux-ci ne dressent la liste prcise des certificats SSL dont ils assuraient la gestion et transmettent cette information aux autres membres de l'quipe, ces certificats risquent de passer inaperus lorsque de nouveaux membres prennent la relve. Le quipes informatiques d'une entreprise tant surcharges de travail et souvent cours de ressources, non seulement le suivi manuel des certificats SSL constitue un fardeau pour ces dernires mais il est propice l'erreur humaine. Tous ces facteurs crent un environnement dans lequel des certificats SSL peuvent tre perdus ou passer inaperus. La marche de l'entreprise peut s'en trouver perturbe et les risques pour la scurit des clients accrus. Dangers lis aux certificats corrompus ou arrivs expiration La prsence d'un certificat SSL corrompu ou arriv expiration dans un environnement rseau peut avoir de graves rpercussions. Un seul de ces certificats peut suffire pour exposer l'entreprise (et, plus grave encore, ses clients) aux agissements de cybercriminels. Les exemples ci-aprs ne reprsentent que quelques-uns des risques encourus en prsence d'un certificat SSL corrompu ou obsolte. Vol d'informations personnelles Grce aux nombreux titres de journaux qui, d'anne en anne, rendent compte des violations de donnes, et aux efforts de sensibilisation des associations de consommateurs, le grand public est plus que jamais conscient du danger que

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

reprsente le vol d'identit. Une tude rcente a montr que 64% des amricains se sentaient "trs concerns" ou "extrmement concerns" par ce risque, 31 % d'entre eux se dclarant "extrmement concerns".2 Dans ce contexte, le risque que reprsentent les attaques de phishing est une proccupation majeure. Dans ce type d'attaque, un pirate dtourne l'identit d'une entreprise lgitime (en profitant d'une faille de scurit due l'absence ou l'expiration de certificats SSL) et cre un faux site Web semblable, voire parfaitement identique, au site rel. Des clients peu mfiants accdent ce site et y saisissent des informations confidentielles, telles que leurs numros de carte de crdit ou de scurit sociale. Le site factice transmet alors directement ces donnes au pirate qui, ventuellement, les vend d'autres cybercriminels. Mme lorsqu'il s'agit d'incidents mineurs, les attaques de phishing ou les violations de donnes peuvent exacerber les inquitudes et constituer une srieuse menace pour l'entreprise. Au-del de ces pertes immdiates, le phishing et les violations de donnes peuvent galement entacher la rputation de l'entreprise et semer le doute parmi les clients et les prospects quant au niveau de confiance qui peut lui tre accord. Les experts estiment qu'aprs une violation de donnes, pas moins de six mois sont ncessaires pour stabiliser les ventes et rtablir la confiance des clients dans le rseau de l'entreprise3. Et mme aprs tout ce temps, la rputation de la socit reste souvent fragile.

Des violations de donnes de plus en plus coteuses Si le tort caus la rputation d'une entreprise est parfois difficile valuer, l'impact conomique de telles violations est plus simple dterminer. Selon une rcente tude amricaine, le cot moyen des violations de donnes est valu 7,2millions de dollars par vnement, soit environ 214dollars par enregistrement compromis,4 des chiffres qui, selon les prvisions, devraient continuer de crotre.

PERTE DE PRODUCTIVIT

OPPORTUNITS DE VENTES MANQUES

APPLICATIONS INTERNES

PASSAGE LA CONCURRENCE

APPLICATIONS EXTERNES

APPELS AU SUPPORT TECHNIQUE

ATTEINTE L'IMAGE DE LA MARQUE ET PERTE DE CRDIBILIT

UTILISATEURS IGNORENT LES AVERTISSEMENTS

APPELS AU SUPPORT CLIENT

Consquences en cas d'expiration inattendue d'un certificat SSL et avertissements mis par les navigateurs

2. 3. 4.

"Identity theft fears weigh on Americans" (La peur du vol d'identit saisit les Amricains) par Tim Greene, Network World, 12/04/2010 "Sony Data Breach Exposes Users to Years of Identity-Theft Risk" (La faille de scurit chez Sony expose pour des annes les utilisateurs au risque de vol d'identit) par Cliff Edwards et Michael Riley, BusinessWeek.com, 3/05/11 "Cost of a data breach climbs higher" (Le cot des violations de donnes est en hausse), Ponemon Institute, ponemon.org, 8/03/11

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Perte de clients au profit de la concurrence L'expiration des certificats SSL constitue un autre sujet de proccupation pour les entreprises. L'expiration d'un certificat SSL peut nuire l'activit de l'entreprise de diverses autres manires. Le plus souvent, elle provoque tout simplement une baisse de trafic lorsqu'une fois informs de cette expiration par des messages d'avertissement, les clients quittent votre site afin de poursuivre leurs achats de produits et services sur des sites protgs par des certificats SSL valides.4 Ne sachant pas toujours comment fonctionne exactement le chiffrement cl publique, les clients se fient habituellement aux marques de scurit SSL visibles (telles que la barre verte "Extended Validation" et le Sceau de confiance SSL) pour savoir s'ils peuvent naviguer en toute scurit sur un site donn.5 Dans le cas d'un site marchand, ou autre type de site accessible au public, l'expiration de certificats SSL engendre une perte de confiance des clients qui se traduit par une baisse de chiffre d'affaires. Multiplication des demandes d'assistance client Aujourd'hui, bon nombre de socits offrent divers outils en ligne, menus tlphoniques automatiss et autres options de libre-service permettant aux clients d'obtenir des rponses leurs questions. Cependant, lorsqu'un client en visite sur un site a un doute quant la scurit de ses donnes personnelles, soit il cesse toute transaction (comme nous l'avons vu plus haut), soit il contacte l'assistance clientle. Le cot par appel varie selon les secteurs d'activit mais il est un fait certain: si les appels sont nombreux, le cumul de ces cots peut reprsenter une somme importante au fil du temps. Non seulement les appels d'assistance trop nombreux grvent les ressources financires d'une entreprise mais ils alourdissent la charge du centre d'appel et dtournent le personnel qui, pendant ce temps, n'est pas en mesure de rpondre des demandes de clients plus lucratives. Les cots et inconvnients lis aux appels l'aide des clients peuvent facilement tre vits par une mise jour permanente du dispositif de scurit, notamment des certificats SSL. Pression accrue sur les dpartements informatiques Tout comme les clients, qui contactent l'assistance clientle en cas de doute sur la scurit d'un site Web, les employs font souvent appel au dpartement informatique lorsque des messages leur signalent l'expiration de certificats SSL. Ces demandes d'assistance constituent un fardeau supplmentaire pour des dpartements informatiques dj dbords. Parfois, les employs se contentent d'ignorer les avis d'expiration, ce qui a pour effet de laisser les ressources concernes sans protection en cas d'attaque. Cela cre galement un prcdent ennuyeux du point de vue du respect des rgles de scurit, car cela donne l'impression que le personnel a tendance ngliger les procdures de scurit internes. Ces deux scnarios peuvent tre vits en assurant la mise jour des certificats de scurit SSL dans toute l'entreprise.

5. http://www.verisign.fr/ssl/ssl-information-center/ecommerce-trust-ssl/

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Pratiques reconnues en matire de gestion des certificats SSL Fort heureusement, il existe des services qui facilitent la recherche et la gestion des certificats SSL dans toute l'entreprise. Certaines solutions sont supposes rduire la charge lie la gestion SSL mais ne permettent pas de rechercher des certificats indpendamment des autorits de certification mettrices. D'autres permettent ce type d'analyse mais sont dpourvues d'une interface utilisateur intuitive facilitant la navigation. Voici quelques-unes des fonctions cls prendre en considration pour rechercher la solution qui rpond le mieux vos besoins: Possibilit d'analyser automatiquement votre environnement: bien qu'il soit possible d'analyser les rseaux manuellement, cette approche prend bien trop de temps et de ressources humaines pour tre applicable l'chelle de l'entreprise. Veillez slectionner un service qui permette votre quipe d'effectuer des analyses automatiques capables de dtecter tous les certificats SSL, quel que soit son fournisseur. Interface conviviale: les informations difficilement accessibles ou lisibles ne vous sont d'aucune utilit; c'est pourquoi vous devez rechercher un outil qui facilite la navigation et prsente les donnes de telle sorte qu'elles soient aisment comprhensibles au premier coup d'il. Capacits de dlgation: dans un environnement d'entreprise typique, la gestion de la scurit est confie plusieurs employs. Il est donc essentiel de trouver une solution de recherche de certificats qui permette aux administrateurs d'octroyer plusieurs niveaux d'accs et de dlguer des tches divers employs, d'un bout l'autre du rseau. Alertes et reporting: l'arrive expiration d'un certificat SSL rend les donnes vulnrables, aussi est-il important de trouver un service qui envoie des alertes avant que le renouvellement ne devienne urgent. Etre en mesure de gnrer des rapports faciles lire et comprendre est galement essentiel. Avec des fonctionnalits de reporting avances, vous disposerez d'une vue approfondie et complte des certificats de votre rseau et votre quipe transmettra plus efficacement les informations importantes aux autres membres du personnel (les cadres de la socit, par exemple). Flexibilit et volutivit: les rseaux d'entreprise tant des environnement dynamiques en constante volution, votre service de recherche de certificats devra tre dot de paramtres configurables tels que la dure de l'analyse, les adresses IP configurer, etc. Ce service devra en outre tre volutif, en prvision d'une croissance future. Rapidit: l'analyse d'un rseau ne peut tre efficace que si elle est rapide. Si cette analyse prend trop de temps, le statut de certains certificats SSL risque de changer avant qu'elle ne s'achve. Il en rsultera une vue inexacte du stock de certificats SSL.

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Conclusion Les certificats SSL jouent un rle essentiel dans la protection des donnes en transit. En dpit de son efficacit et de sa fiabilit, la scurit SSL reste en partie permable aux attaques pour une raison bien simple: la mauvaise gestion des certificats SSL. Dans un environnement comptant de nombreux certificats issus d'autorits de certification diffrentes, une vue exhaustive de la scurit SSL est indispensable. Connatre le statut de tous les certificats dploys sur les sites et rseaux permet de mieux matriser les cots de service client mais aussi d'allger l'administration de la scurit SSL. Les quipes informatiques surcharges de travail disposent ainsi de plus de temps pour les autres projets stratgiques de l'entreprise. Une gestion rigoureuse des certificats SSL permet galement de prvenir des risques beaucoup plus graves, tels qu'un incident de phishing majeur ou toute autre violation de donnes. De tels incidents peuvent non seulement s'avrer trs coteux mais aussi ternir pour longtemps votre rputation auprs des clients. Symantec Certificate Intelligence Center: Recherche et gestion efficaces des certificats SSL Le Symantec Certificate Intelligence Center aide les administrateurs rechercher et grer les certificats SSL plus efficacement. Offrant une visibilit largie et de puissants moyens de gestion, le Symantec Certificate Intelligence Center facilite le suivi des certificats SSL. Son interface intuitive permet aux administrateurs de configurer des analyses automatiques autorisant une recherche rapide des certificats, quelle que soit l'autorit mettrice. Les utilisateurs peuvent galement configurer des alertes qui prviennent les administrateurs lorsque l'expiration des certificats SSL devient imminente.

Le tableau de bord convivial du Symantec Certificate Intelligence Center

Solution volutive, le Symantec Certificate Intelligence Center s'adapte aux changements rapides du rseau tandis que l'entreprise se transforme et prend de l'ampleur. Les fonctionnalits de reporting avances procurent en outre aux responsables une visibilit complte de la scurit SSL, au travers de donnes simples comprendre et transmettre dans toute l'entreprise. Pour dcouvrir comment le Symantec Certificate Intelligence Center peut simplifier la recherche et la gestion de vos certificats SSL, rendez-vous sur le site http://www.verisign.fr/ssl/symantec-certificate-intelligence-center/index.html

Continuit de l'activit et protection des donnes: l'incontournable gestion des certificats SSL

Informations supplmentaires Visitez notre site Web http://www.verisign.fr Pour contacter un spcialiste produit 0800 90 43 51 ou +41 (0) 26 429 77 24 A propos de Symantec Symantec est un leader mondial des solutions de scurit, de stockage et de gestion des systmes pour aider les particuliers et les entreprises scuriser et grer leur environnement informatique. Nos logiciels et services permettent d'assurer une protection plus complte et plus efficace contre davantage de risques diffrents points et d'instaurer ainsi la confiance, quel que soit l'endroit o les informations sont utilises ou stockes. La socit Symantec, dont le sige social est bas Mountain View en Californie, est prsente dans 40pays. Des informations supplmentaires sont disponibles l'adresse www.symantec.fr. Symantec Tour Ege, 17, avenue de lArche 92671 Courbevoie Cedex, France

Copyright 2011 Symantec Corporation. Tous droits rservs. Symantec, le logo Symantec et le cercle coch sont des marques commerciales, dposes ou non, de Symantec Corporation ou de ses filiales aux Etats-Unis et dans dautres pays. VeriSign, VeriSign Trust et les autres marques connexes sont des marques commerciales dposes de VeriSign, Inc. ou de ses filiales aux Etats-Unis et dans dautres pays, et sont cdes sous licence Symantec Corporation. Les autres noms cits peuvent tre des marques commerciales de leurs dtenteurs respectifs.