Date
25.06.2025
Tel un portier invisible qui monte la garde sans relâche: les certificats numériques sont la clé de voûte d’une communication en ligne sécurisée. Mais si leur renouvellement échoue, les systèmes se paralysent. Voilà pourquoi Bedag mise pleinement sur l’automatisation.
Les certificats sont un élément clé de la sécurité de la communication de données et des processus d’authentification. Ils garantissent en effet un transfert chiffré des données entre des partenaires de communication, tels qu’un serveur Internet et un navigateur. Cela permet d’éviter que des tiers ne lisent ou ne manipulent des informations sensibles telles que des mots de passe, des données de carte bancaire ou encore des messages personnels. Les certificats servent en outre à authentifier les serveurs et à prévenir les attaques. Ce chiffrement est généralement asymétrique, reposant sur une paire de clés liées mathématiquement. Une clé publique (Public Key) permet le chiffrement tandis qu’une clé privée et secrète (Private Key) permet le déchiffrement. Pour des raisons de sécurité, le certificat de la paire de clés, qui comprend généralement 2048 à 4096 bits, doit être régulièrement mis à jour.
Surveillance de la force des clés et des algorithmes de chiffrement:
Le tableau de bord indique la force des clés (nombre de bits) ainsi que les algorithmes de chiffrement utilisés pour les certificats enregistrés. «sha1RSA» fait référence à SHA1, une fonction qui convertit un bloc de données en une valeur condensée à longueur fixe, appelée «empreinte». RSA correspond à une méthode de chiffrement asymétrique. Ces deux indicateurs permettent de surveiller que les longueurs de clés et les algorithmes de chiffrement qui ne sont plus considérés comme suffisamment sécurisés ne soient qu’utilisés dans des cas exceptionnels et justifiés.
Bedag gère environ 3 500 certificats de ce type dans son centre de calcul et les met à jour à une fréquence qui varie selon les besoins des systèmes, allant d’une fois par mois à une fois par an. Des interruptions se produisaient autrefois régulièrement lors de ces mises à jour, en raison de l’expiration ou de la mauvaise configuration des certificats. De tels temps d’arrêt sont néanmoins de moins en moins acceptables, car ils mettent en péril la continuité des activités et le respect des accords de niveau de service.
Les responsables de systèmes devaient par ailleurs souvent attendre plusieurs jours pour obtenir un certificat après avoir soumis une demande au niveau du système de configuration. Pour toutes ces raisons, mais également à cause de la tendance au raccourcissement des cycles de mise à jour, Bedag s’est résolue, il y a deux ans, à ne plus gérer manuellement les certificats serveur (certificats TLS/SSL) et à investir dans une solution de gestion automatisée des certificats.
Avantages du renouvellement automatisé des certificats
L’automatisation a permis de réduire le temps de traitement nécessaire à la création et à la mise à jour d’un certificat pour le faire passer de 3 jours à 2 minutes. Le traitement s’effectue avec succès dans 99,99 % des cas. Le renouvellement automatisé des certificats présente les avantages supplémentaires suivants :
- Sécurité: des certificats valides de façon continue garantissent des connexions chiffrées de bout en bout et répondent aux différentes exigences de conformité.
- Prévention des interruptions: les certificats expirés entraînent des interruptions de service; l’automatisation ramène ce risque à un niveau quasi nul.
- Réduction des erreurs humaines: l’automatisation empêche tout oubli des dates d’expiration et les erreurs de configuration.
Un tableau de bord apporte pour sa part une sécurité de planification. Il affiche avec précision le nombre de certificats à remplacer ou à renouveler pour une période donnée.
Adapté à tous les types de certificats
Le passage à ce système de gestion des certificats a élargi notre marge de manœuvre: depuis lors, l’intégration de multiples types de certificats émis par divers fournisseurs et utilisant des clés de forces variables est devenue bien plus simple. Ce changement a posé les bases d’une automatisation globale.
Bedag a ainsi pu passer à un nouveau fournisseur suisse pour près de 1 800 certificats publics, sans que cela affecte ses client·e·s (état au printemps 2025: environ deux tiers achevés). De la même façon, les certificats utilisés sur les répartiteurs de charge et les infrastructures de bureau virtuel sont aujourd’hui renouvelés de manière entièrement automatisée. Mais ce n’est pas tout. L’objectif est d’étendre cette automatisation à tous les certificats restants (lorsque cela est pertinent). Celle-ci doit cependant d’abord être activée et paramétrée pour chaque certificat.
2025-05-13 08:25:30