A priori, choisir une autorité de certification (CA) semble plutôt facile. En lançant une rapide recherche en ligne sur les modalités d’obtention d’un certificat SSL pour votre site Web ou d’un certificat S/MIME pour le chiffrement de vos e-mails, Google affiche pléthore de sites Web qui proposent des certificats numériques bon marché, voire gratuits. La gratuité, c’est formidable… tant que l’on a aucun problème.
Lorsque l’on compare des AC, le prix représente l’un des principaux critères de décision, mais est-ce vraiment l’idéal ? Quand la sécurité et la réputation de votre entreprise en dépendent, voulez-vous vraiment choisir la solution la moins chère ?
Les professionnels de l’informatique qui achètent régulièrement des certificats numériques savent que d’autres critères que le prix entrent en ligne de compte. Même s’ils ont besoin d’une solution adaptée à leurs objectifs en termes de budget et de sécurité, ils doivent également veiller à ne pas mettre en péril leur infrastructure critique, leurs utilisateurs et leur image de marque en faisant appel à une obscure AC low-cost. Le choix d’une AC implique tellement d’autres critères.
1. Ubiquité, longévité et ancienneté
Assurez-vous de choisir une AC dont les racines et les « ancres de confiance » sont intégrées à un maximum de navigateurs, systèmes d’exploitation, applications et périphériques. C’est ce qu’on appelle l’ubiquité. La confiance d’une AC se mesure à l’ampleur de son intégration.[I1] Ce facteur est d’une importance capitale : personne ne veut d’une AC « moins universelle » ou qui rencontre des problèmes avec ses ancres de confiance.
L’histoire de l’entreprise et son ancienneté comptent également. Si une AC existe depuis 25 ans, ce n’est sûrement pas un hasard. Elle a travaillé dur à établir sa réputation et des relations de confiance avec ses clients, et a prouvé qu’elle pouvait également préconiser les meilleures solutions, forte de son expérience et de son expertise.
2. La plateforme
Vous aurez un nombre considérable d’interactions avec les portails en ligne ; les fonctionnalités de la plateforme sont donc cruciales. L’interface utilisateur et son ergonomie, la prise en charge des différents flux de travail et la flexibilité du portail revêtent une importance cruciale dans le cadre d’une utilisation quotidienne de la plateforme.
La plateforme doit permettre à un administrateur ou un utilisateur de commander facilement ses certificats en suivant les workflows habituels, mais aussi d’étendre de telles autorisations à un plus large public. Vous pourriez ainsi autoriser d’autres employés ou départements à demander des certificats sans leur donner pour autant accès à l’intégralité du portail. Vous utiliseriez pour cela une page de commande individualisée qui nécessite validation avant toute émission de certificats.
Au-delà du processus de commande initial, la plateforme doit simplifier la gestion courante du cycle de vie des certificats.
- Renouvellements en un clic
- Accès à tous les types de certificats à partir d’un seul compte
- Signalement et recherche rapides des certificats dans votre inventaire
- Avertissements visibles pour les certificats ou domaines arrivant à expiration
– Voici les fonctionnalités à rechercher pour vous faciliter durablement la vie.
Beaucoup considèrent indispensable de disposer d’un jeu robuste d’API leur permettant de créer un workflow de requêtes personnalisées pour lancer un appel API vers le système de l’AC. Cela simplifie les choses pour l’équipe informatique ou les administrateurs autorisés qui peuvent ainsi facilement utiliser les certificats et y accéder.
3. Simplicité de la relation commerciale et contractuelle
Les relations avec l’autorité de certification choisie doivent être simples et efficaces, notamment sur le plan commercial et contractuel. Avec tous les accords, contrats et accords de licences que vous allez signer, la flexibilité est un critère déterminant. Évidemment, tout le monde se soucie des coûts et veut être certain de bénéficier du meilleur rapport qualité-prix. Il est donc essentiel de trouver une AC qui propose des conditions d’achat souples comme le paiement à la consommation (pay-as-you-go), le paiement par carte de crédit pour les commandes de certificats à la demande et sans engagement de quantité, ou encore un modèle de paiement avec report de solde qui fonctionne à la manière d’un compte bancaire. Ce compte peut être approvisionné pour vous permettre de régler vos commandes de certificats en tous genres.
Cela va de pair avec la plateforme, car, comme indiqué plus haut, l’idée est de pouvoir commander tous les types de certificats au même endroit — une sorte de guichet unique[I2] . Ainsi, une fois les conditions et les tarifs définis, vous pouvez, en fonction de vos besoins, obtenir des certificats de tous types, directement à partir de la plateforme et sans multiplier les allers-retours avec l’AC.
Il est cependant indispensable de vérifier que le solde des sommes que vous créditez sur votre compte est bien reporté d’une année sur l’autre. Les conditions du type « tout ce qui n’est pas utilisé est perdu » sont inacceptables. C’est d’ailleurs l’un des points de vigilance de certaines entreprises après la perte d’argent, de jetons ou d’unités arrivés à expiration dans certaines AC qui appliquent cette règle. Pensez à vérifier l’existence d’une politique de « report du solde ».
Les SAN (Subject Alternative Names) étant l’une des composantes de base des certificats, les modèles de licences comme les licences SAN sont l’un des meilleurs moyens de fixer le prix des certificats. Pensez-y. Privilégiez les modèles de tarification progressive en fonction du nombre de SAN utilisés. Ils sont particulièrement appréciés des entreprises ayant des environnements de pré-production et de développement. Vous pouvez émettre et rembourser ces SAN au fur et à mesure de vos tests, sans les perdre.
4. Support
Ne vous contentez pas d’évaluer uniquement le système de support de l’entreprise (notamment la simplicité à se faire aider en cas de besoin), faites également attention aux interactions quotidiennes avec les vendeurs ou les conseillers clientèle — cet aspect étant souvent négligé. Ces personnes peuvent faire l’interface entre les différents pôles de leur organisation, comme les vérifications de sécurité ou le service technico-commercial, dans les cas particulièrement difficiles.
L’équipe de chargés de clientèle doit pouvoir vous orienter vers les différentes équipes de support pour éviter à tout prix que vos questions restent sans réponse. En même temps, ces chargés de clientèle doivent également pouvoir vous apporter des conseils utiles pour une utilisation optimale, adaptée à vos besoins et la plus économique possible de leurs produits.
5. Innovation et automatisation
Au fur et à mesure que votre entreprise grandit, vous devez pouvoir compter sur la capacité de votre AC à évoluer et grandir avec vous — surtout si vous vous lancez dans l’aventure IoT (Internet des Objets). Votre AC doit pouvoir émettre d’importants volumes de certificats pour vous aider à faire face aux scénarios de demain. Vous pourriez en effet avoir besoin d’une AC capable d’émettre des milliers de certificats à la seconde. Aussi, assurez-vous que votre AC sera en capacité de vous épauler dès le moment où vous serez prêt à passer à la vitesse supérieure.
La gestion automatisée du cycle de vie fait partie intégrante des activités d’une AC performante. Tous vos certificats et identifiants ont une date de début et de fin ; il serait regrettable qu’un certificat expire « sans prévenir ». L’expiration d’un certificat peut entraîner de graves problèmes et avoir des répercussions désastreuses sur le chiffre d’affaires et le service client de l’entreprise. Une AC devrait pouvoir gérer de manière automatique le cycle de vie complet de vos certificats.
Les intégrations avec d’autres systèmes d’entreprise, comme Active Directory ou les plateformes de gestion des périphériques mobiles (MDM), ainsi que la prise en charge de protocoles comme SCEP et ACME peuvent jouer un rôle déterminant dans ce type d’automatisation. Ils peuvent en effet vous permettre d’émettre, d’installer, de renouveler et de révoquer automatiquement les certificats conformément aux politiques en vigueur dans votre entreprise.
Un mot sur le secteur des AC
Le secteur a connu plusieurs remaniements ces derniers mois, avec notamment des opérations de consolidation d’envergure, comme le rachat par DigiCert des actifs de Symantecet d’autres marques, et plus récemment le rachat de Comodo par une société de capital-investissement. Lorsque l’on choisit une AC, je crois qu’il faut également tenir compte de certaines informations moins visibles, comme ce genre de transactions, qui peuvent avoir des implications pour l’avenir. Il est important de choisir une AC sur laquelle vous pouvez compter aujourd’hui, demain et pendant longtemps, sans mauvaise surprise ou changement.
Lors du choix d’une AC, il y a certes de nombreux critères à étudier, mais au bout du compte, ce qui importe c’est de pouvoir faire confiance à ce fournisseur. C’est à lui que vous confiez la sécurité et la réputation de votre entreprise. Ses solutions et services doivent donc être pris en charge par tous les systèmes d’exploitation, périphériques et navigateurs ; pensez à le vérifier ! De plus, la plateforme proposée doit être facile à utiliser et suffisamment robuste pour couvrir tous vos besoins.
Les relations commerciales et contractuelles avec ce fournisseur doivent être simples, et les modèles suffisamment flexibles pour répondre à vos besoins — à la fois d’un point de vue utilisateur et budgétaire. L’AC choisie doit également proposer un support de haut niveau en cas de problème, mais aussi pour le quotidien. Vous devez effectivement pouvoir interagir facilement avec un chargé de clientèle compétent et capable d’adapter ses produits aux besoins spécifiques de votre entreprise. Enfin, votre AC doit pouvoir accompagner votre croissance le moment venu. Comme pour n’importe quel prestataire, vous devrez vous assurer qu’elle sera toujours là pour vous, prête à vous aider.
Et pour vous, qu’est-ce qui compte le plus dans le choix d’une AC ? Dites-nous tout ci-dessous ou via twitter @GlobalSign.