Sécurité – 01 Informatique – La gestion de clés moins ardue mais toujours onéreuse

A lire sur le site de 01 Informatique, un article et une interview détaillant le projet d’infrastructure de confiance (signature électronique, archivage légal des preuves de signature, authentification forte et infrastructure de gestion de clés) réalisé en 2007 à TDF.

Ce projet a été l’occasion de mettre en place des technologies innovantes, en particulier de signatures électroniques à la fois conforme aux règles européennes (format XAdES) mais également compréhensible pour le signataire et le destinataire des documents (signature visuelle intégrée au format PDF d’Adobe).

 La gestion de clés moins ardue mais toujours onéreuse

Déployer et administrer une infrastructure de gestion de clés ne requiert plus de projet pharaonique tel qu’auparavant. Leur plus grande simplicité et l’externalisation rendent ces solutions accessibles.

Les infrastructures de gestion de clés (IGC, ou PKI en anglais) n’ont pas toujours rimé avec simplicité. Raillées à leur début comme une ” solution à des problèmes inexistants “, les IGC ont longtemps conservé une réputation d’infrastructures lourdes, onéreuses et guère utiles.
Avec le développement de la dématérialisation et des téléprocédures, le recours à des certificats numériques s’est cependant répandu. Et, avec lui, la nécessité de disposer d’outils pour en assurer la gestion. Devenues utiles, les IGC en ont profité pour évoluer : après une consolidation du marché, la simplification des solutions, puis l’irruption de l’open source dans le paysage (via Opentrust, ex-IdealX), c’est l’infogérance qui, enfin, s’est imposée comme une alternative au déploiement d’une IGC en interne.
Mais, au-delà de ces derniers aspects, le besoin de déployer une IGC naît de la nécessité de maîtriser entièrement la génération des certificats et leurs personnalisations. C’est un projet complexe, mais avec, à la clé, des bénéfices que le simple achat de certificats n’offre pas.
Le besoin : délivrer des certificats en masse
‘”Deux axes forts nous ont amenés à ce projet : la dématérialisation de nos bons de commande fournisseurs, et le renforcement de l’authentification forte à destination des nomades “, se souvient Guillaume Rincé, RSSI à TDF, l’ex-Télédiffusion de France. Si l’authentification forte peut parfaitement se contenter de certificats achetés chez un fournisseur, TDF s’est cependant vite rendu compte de l’intérêt d’opérer sa propre IGC dans le cadre de la dématérialisation :‘ Nous avons pris conscience que si l’on veut faire de la dématérialisation à grande échelle, il faut une IGC. Dans notre cas, nous souhaitions signer une convention de preuve pour la signature électronique avec nos partenaires, car il n’y a pas encore de jurisprudence autour de la signature électronique. Et proposer une convention de preuve implique de maîtriser totalement le processus afin de le décrire précisément à nos partenaires. Cela est plus simple si l’on dispose de sa propre IGC ‘, détaille Guillaume Rincé.
Même besoin de contrôle de bout en bout à l’Institut national de la propriété industrielle (Inpi), pour qui le dépôt de brevet doit se conformer à une réglementation stricte, que ce soit en ligne ou sur le terrain. ‘ L’élément déclencheur a été pour nous le développement d’un outil de dépôt des brevets en ligne au niveau européen. Mais lorsque nous avons souhaité l’adopter pour une utilisation nationale, nous nous sommes rendu compte que, pour respecter la législation française, il nous faudrait utiliser nos propres certificats, et donc opérer notre IGC ‘, justifie Christian Berger, chef de projet dématérialisation pour l’Inpi.
Au ministère de l’Education nationale, le besoin d’une IGC était déjà bien identifié, puisque la conversion à l’IGC remonte à 1999, avec les solutions de Sun et d’IdealX (aujourd’hui Opentrust). Leur rôle était de gérer les certificats IPsec utilisés pour l’interconnexion de sites distants et l’accès des nomades (plusieurs milliers de certificats). Lorsque le ministère a souhaité étendre l’usage des certificats aux serveurs intranet pour SSL, il a été décidé de déployer une nouvelle IGC, unique celle-ci, capable de gérer l’ensemble des certificats, quelle que soit leur destination.
Le déploiement : une exploitation interne exigeante
Disposant déjà d’une IGC logicielle opérationnelle, et ayant consenti l’investissement d’un boîtier de protection HSM (Hardware Security Modules) nCipher, le ministère a préféré continuer sur la voie plus traditionnelle de la solution logicielle administrée en interne. ‘ Nous avons l’infrastructure, la compétence et le volume de certificats qui font que c’est une solution rentable pour nous ‘, estime François Gilles, chargé du projet IGC au ministère. C’est la solution de RSA qui sera retenue pour fédérer tous les certificats du ministère. En quatre mois, tout était migré vers la nouvelle IGC : ‘ La société Dicato a notamment réalisé les scripts de migration nécessaires. Nous avons pu conserver notre boîtier HSM nCipher avec les clés initiales, puis avons adapté les interfaces existantes à la nouvelle autorité d’enregistrement, tout en conservant les mêmes rôles. L’IGC RSA gère désormais tous nos certificats IPSec et SSL, et a repris la gestion des 12 000 certificats existants. Il n’y a eu aucune interruption de service, il a suffi de rallonger la durée de validité de la liste de révocation ‘, explique François Gilles.
Une telle solution logicielle n’était en revanche pas viable pour l’Inpi. ‘ Nous avons certes le rôle d’autorité de certification, mais c’est CertEurope qui intervient comme opérateur pour nous. Assurer le rôle d’une telle autorité est déjà contraignant, mais nous y sommes contraint pour avoir une politique de certification qui colle parfaitement au code des brevets. En revanche, exploiter au quotidien la plate-forme, c’est un tout autre métier ! Sans compter que, en générant au mieux cent cinquante certificats par an, nous ne pouvons justifier le coût d’une infrastructure ‘, explique Christian Berger. Soulagée de la partie technique, l’Inpi a pu se concentrer sur l’aspect métier du déploiement : ‘ Il nous a fallu environ 50 jours/homme pour adapter la procédure nationale existante du code des brevets aux choix technologiques de la plate-forme ‘, estime Christian Berger. En plus d’opérer la plate-forme technique de l’IGC, le prestataire opérateur, CertEurope, s’est chargé de l’élaboration de la politique de certification, et l’écriture des spécifications techniques. De son côté l’Inpi a formalisé son rôle d’autorité d’enregistrement en créant les procédures de demande et de délivrance des certificats, jusqu’à la remise en main propre du code PIN de la carte à puce qui héberge le certificat. Cette dernière est, elle, créée par CertEurope et envoyée par courrier.
Même approche chez TDF, pour qui l’exploitation de la plate-forme ?” externalisée chez Keynectis ?” s’est effacée derrière la partie organisationnelle : ‘ Nous avons travaillé un an en interne pour identifier les projets susceptibles de bénéficier d’une IGC. Car un tel projet n’est pas viable pour seulement un usage (la signature électronique) comme c’est le cas aujourd’hui. Il faut donc anticiper les nouveaux usages, et identifier les processus clés qui gagneront à s’appuyer sur un certificat ‘, explique Guillaume Rincé. L’entreprise s’est elle aussi faite aider par une société de conseil, Hapsis, pour la rédaction de la documentation et des spécifications de son IGC.
Les écueils : un investissement de longue durée
Bien qu’améliorée par rapport aux offres du début 2000, l’IGC logicielle exige toujours de bonnes compétences en interne. ‘ Chaque nouvelle utilisation des certificats pour une nouvelle application est, en fait, un nouveau projet. Il est donc nécessaire de pouvoir mener autant de projets différents ‘, prévient François Gilles. Et si les clients d’une IGC externalisée n’ont pas ce problème, tous partagent en revanche, la nécessité cruciale de préparer et de documenter un tel projet. Ce dernier a dû être porté chez TDF, où il a fallu faire preuve de lobbying aux plus hauts niveaux ‘ afin de porter ce projet qui demande tout de même beaucoup d’investissement, bien que très prospectif ‘, poursuit Guillaume Rincé. Une fois le projet accepté, la difficulté est alors, outre l’identification des processus pouvant bénéficier de l’IGC, de traquer ceux qui pourraient ne pas être compatibles avec la solution externalisée choisie.
Les gains : indépendance des métiers et réactivité
Nos témoins sont unanimes : le gain essentiel est celui de la souplesse. Leur IGC autorise des processus beaucoup plus efficaces : ‘ Nous générons ainsi des certificats par métiers de manière totalement indépendante, sans intervention de la DSI, et selon un processus défini par les métiers en fonction de leurs contraintes. Ils en font la demande immédiatement, ce qui nous affranchi de la lourdeur d’un tiers qui nous vendrait des certificats ‘, explique Guillaume Rincé. Et TDF pousse d’ailleurs cet avantage à l’extrême, puisqu’elle dispose de son propre masque de certificats, lui permettant notamment de stocker les noms d’utilisateurs afin de faciliter l’authentification.
Maîtriser son IGC permet également de créer de nouveaux types de certificats à loisir :‘ Lorsque nous avons eu besoin d’un certificat interserveur pour un produit de fédération des identités, nous avons pu le créer immédiatement ‘, raconte François Gilles.
Enfin, autre gain, mais indirect, celui réalisé au niveau sécurité : ne plus avoir à payer le prix fort pour ses certificats permet d’en généraliser l’utilisation. ‘ Lorsque nous achetions nos certificats nous les réservions aux serveurs publics. En ayant notre IGC nous avons pu en créer pour tous nos serveurs internes et élever ainsi le niveau de sécurité ‘, poursuit François Gilles.
Une organisation stricte pour gérer le cycle des certificats

Un certificat racine doit demeurer inviolable, une liste de révocation rester accessible, et un workflow d’approbation ne doit pas pouvoir être manipulé : l’efficacité des IGC repose sur le fonctionnement garanti et permanent de nombreux composants. Si l’IGC est exploitée en interne, il faut être capable d’assurer cette tâche. Si elle est externalisée, il faut sélectionner un prestataire compétent et pérenne.

Les IGC actuelles facilitent l’enregistrement des demandeurs de certificat. Elles offrent une interface web unique adossée à un moteur d’approbation. Ce dernier permet aux différents intervenants de la chaîne de validation (supérieurs hiérarchiques, etc.) d’approuver très simplement la demande depuis leur poste de travail.

L’IGC, qu’elle soit externalisée ou en interne, s’adapte aux processus d’habilitation en vigueur dans l’entreprise. Le rôle d’autorité d’enregistrement est généralement confié à un personnel proche des métiers (un supérieur hiérarchique direct, par exemple), qui est ainsi à même de donner son aval en toute connaissance de cause, et après avoir respecté les règles métier ou les contraintes légales.

Externalisée, une IGC peut revenir cher si elle est facturée au certificat. Et si son client ne peut générer suffisamment de volume, le coût sera probablement transféré sur les frais de gestion de la plate-forme. Internalisée, et même Libre, l’IGC doit être mise en ?”uvre et exploitée, ce qui exige une forte compétence en interne… ou un budget adéquat pour payer un prestataire compétent ! Dans tous les cas, un projet d’IGC n’est jamais à l’économie, comme tout projet structurant de l’entreprise.

TDF

Activité : opérateur de services audiovisuels.
Siège : Paris.
Effectif : 2 688 personnes.
CA : 945 M d’euros.

Problème à résoudre : dématérialisation des bons de commandes fournisseurs et enforcement de l’authentification pour les utilisateurs nomades. Signature des documents, à la fois visuelle et électronique (format XAdES).

Solution retenue : IGC externalisée chez Keynectis. Facturation au certificat (15 euros par an et par utilisateurs) + frais de gestion de la plate-forme. Coût total du projet (conseil et mise en oeuvre inclus) : 200 000 euros.

Guillaume Rincé (TDF) : ” nécessaire pour la signature électronique et l’horodatage “

Notre infrastructure à gestion de clés est essentielle au sein du projet de signature électronique, dont elle génère et gère les certificats. Dans ce domaine, il y a, d’un côté, les standards tels XAdES, PCKS#7 ou XMLDsig, et, de l’autre un standard de fait pour l’échange de document, le format PDF. Nous avons choisi le meilleur de ces deux mondes : nous générons la preuve de la signature électronique au format XAdES, et celle-ci est archivée chez un tiers de confiance, ce qui nous permet de la ressortir en cas ?” encore jamais vu ?” de litige. Et puis nous générons aussi une signature manuscrite en image et le cachet de l’entreprise dans le fichier PDF, qui est alors ” signé “ comme le serait un document papier. La gestion de ce processus est assurée par une application fournie par Dictao. Dans ce contexte, opérer notre propre IGC nous permet de générer à volonté tous les certificats nécessaires à cette architecture, que ce soit pour la signature ou l’horodatage. ‘

Article et interview également téléchargeables en PDF.

Article – Page 1

Article – Page 2

Article – Page 3

Article – Page 4

Article – Interview

Share on LinkedInTweet about this on TwitterShare on Google+Share on FacebookEmail this to someone