Blog GlobalSign

06 avr. 2016

Guide complet pour changer de fournisseur de services de gestion MSSL

Avec tout le battage autour du changement de fournisseur de service de gestion de certificats SSL, la démarche pourrait sembler extrêmement complexe et difficile. En vérité, c’est moins compliqué qu’il n’y paraît. La clé d’un changement réussi ? Définir clairement les attentes – notamment en termes de ressources, de coûts et de préparation – et procéder méthodiquement. Nous vous proposons un tour d’horizon des actions à mener pour réussir votre transition en douceur.

Étape 1 - Examinez et évaluez vos certificats existants, vos besoins et vos usages.

Dès lors que vous envisagez de changer de fournisseur de gestion MSSL, il vous faut commencer par étudier votre utilisation actuelle des certificats SSL, ainsi que votre environnement. Nous vous recommandons de procéder ainsi pour la première étape. Cette phase est essentielle pour établir des attentes raisonnables pour ce qui des coûts et du temps à consacrer à ce changement.

Faites l’inventaire de tous vos certificats

Déterminez l’emplacement de tous vos certificats existants, afin de savoir ceux que vous devrez remplacer une fois votre décision prise de changer de fournisseur. Pour les entreprises ou les grands groupes, vous devrez probablement prendre en compte un grand nombre de certificats SSL actifs dans leur environnement. La localisation des certificats est donc une étape essentielle en phase de transition pour éviter qu’ils expirent, avec pour conséquences, une protection interrompue, des pannes réseau ou d’éventuels problèmes de conformité.

GlobalSign propose un outil d’inventaire de certificats pour vous faciliter la tâche.

Identifiez les usages internes par rapport aux usages externes

Les Autorités de Certification (AC) offrent différents niveaux de sécurité et de fonctions. Prenez le temps d’étudier les offres de votre future AC et d’identifier vos besoins pour répondre aux exigences de votre entreprise.

  • Les sites publics sont susceptibles d’exiger des niveaux de sécurité supérieurs et doivent être sécurisés à l’aide d’un certificat connu et reconnu.
  • Les sites internes en revanche ont juste besoin de fonctions de chiffrement. Vous pourrez donc éventuellement utiliser des certificats plus simples et dotés de moins de fonctionnalités.

Utilisation de certificats de plusieurs AC

Une organisation peut parfaitement travailler avec plusieurs autorités de certification, pour les raisons suivantes :

  • Plusieurs personnes ou départements différents achètent leurs certificats séparément auprès de différents fournisseurs de services.
  • Les AC ne sont pas toutes les mêmes, suite à diverses opérations de fusions, acquisitions ou absorptions.

Le fait de recourir à plusieurs autorités de certification peut compliquer l’inventaire de vos certificats existants. Heureusement, l’outil d’inventaire de certificats de GlobalSign vous aidera à indexer votre réseau et à localiser tous les certificats existants, indépendamment de l’AC émettrice. Vous pourrez ainsi dresser un inventaire complet auquel vous référer lorsque vous basculerez chez votre nouveau fournisseur de service de gestion MSSL.

Bien entendu, si vous êtes sûr que tous vos certificats SSL ont été achetés auprès de la même AC, il vous suffira de télécharger la liste complète de vos certificats à partir de votre compte client. Vous obtiendrez ainsi un récapitulatif de tous vos achats, sans avoir à vous référer à votre ancien compte lors de la migration.

Identifiez les administrateurs, les serveurs et les applications

  • Vous devez parcourir la liste des membres de votre équipe et identifier ceux qui géreront votre nouveau compte. Assurez-vous de former ces personnes à la nouvelle interface utilisateur. N’oubliez pas de tenir compte du temps de formation nécessaire dans votre calendrier de transition.
  • Vous devez également évaluer avec précision le nombre et le type de serveurs et d’applications sur lesquels les certificats sont installés pour savoir exactement à quoi vous attendre au moment du transfert. Suivant le type de serveur sur lequel le certificat est installé, il vous faudra peut-être effectuer certains remplacements manuels.

Étape 2 — Déterminez la stratégie de renouvellement et les étapes suivantes

Lorsque l’on souhaite changer de fournisseur de service MSSL, il est nettement plus facile d’envisager la logistique une fois que l’on sait à quoi l’on a affaire. Certains préjugés selon lesquels le processus de transfert serait laborieux et chronophage peuvent parfois décourager les organisations de changer d’autorité de certification. Cependant, lorsque l’on connaît mieux les implications d’un tel changement, on s’aperçoit que ce n’est pas si compliqué et que c’est tout à fait réalisable.

Décidez d’une stratégie de renouvellement

Avant de changer de fournisseur MSSL, prévoyez toujours un plan d’attaque pour la gestion des renouvellements de certificats. La plupart des autorités de certification doivent être capables de gérer les procédures de renouvellement et de remplacement suivantes :

  • Modèle de transition : Abordez les renouvellements de manière individualisée, chaque certificat étant remplacé à l’approche de la date d’expiration. Si vous utilisez ce processus, vous devez disposer d’un rapport exact des dates d’expiration des certificats et définir clairement les responsabilités des personnes en charge des renouvellements. Cette méthode vous permettra d’économiser du temps lors de l’installation des certificats pendant la phase initiale du transfert, mais nécessite néanmoins un suivi rigoureux des dates d’expiration de vos certificats jusqu’à leur renouvellement total à partir du compte du nouveau service de gestion.
  • Modèle d’annulation et de remplacement intégral : Comme son nom l’indique, ce modèle vous permet de choisir de remplacer tous vos certificats en une seule fois. Cette méthode exige un plus grand investissement en temps et en ressources lors de la phase initiale, car vous devrez remplacer tous vos certificats existants en une seule fois. Cependant, vous n’aurez pas à vous occuper des dates d’expiration ni du suivi de vos anciens certificats pendant toute leur durée de vie. Vous n’aurez pas non plus à jongler avec plusieurs plates-formes de gestion différente. L’avantage avec GlobalSign est que vous pouvez gratuitement prolonger la période de validité de vos nouveaux certificats GlobalSign en fonction du temps restant sur vos certificats actuels.
  • Familiarisez-vous avec la nouvelle interface : Vous devez connaître le nombre d’utilisateurs, leur rôle et leurs responsabilités. N’oubliez pas de prendre en compte le temps de formation nécessaire dans votre calendrier de migration. Il est possible que l’administrateur de votre compte ait besoin d’une formation plus longue qu’un utilisateur uniquement chargé de passer les commandes.

Vérifiez vos intégrations d’API

Si vous utilisez un système d’intégration d’API avec votre fournisseur actuel, il vous faudra créer un système similaire avec votre nouvelle autorité de certification. La nouvelle AC doit pouvoir vous renseigner sur son système d’API et vous prêter assistance lors du processus d’intégration.

Étape 3 – Estimez les coûts en jeu

Maintenant que vous avez une meilleure idée des implications d’une telle migration, les coûts d’un changement de fournisseur de service MSSL sont plus faciles à estimer. N’oubliez pas d’évaluer l’offre de la nouvelle AC avec laquelle vous envisagez de travailler, et notamment les fonctions proposées et leur coût. Tenez bien compte des coûts engendrés :

  • Dépenses d’investissement : Les dépenses d’investissement initiales peuvent – suivant l’AC choisie – inclure les coûts de l’outil de recherche de certificats, de l’outil de gestion de certificats et les coûts de développement pour l’intégration d’API.
  • Frais de fonctionnement : D’un point de vue opérationnel, vous devez prendre en compte le temps nécessaire aux utilisateurs du compte pour se familiariser avec la nouvelle plate-forme de gestion, y compris la délégation des responsabilités, etc. Le temps consacré à la formation dépendra du niveau de responsabilité de chaque individu.
  • Coûts annuels des certificats : Pendant la phase d’évaluation des autorités de certification potentielles, vous devez prendre en compte à la fois le coût de chaque produit et la valeur qu’il apporte en termes de caractéristiques et de fonctionnalités.
  • Définition des produits : Chaque autorité de certification définit ses produits différemment. Faites bien attention à évaluer toute la gamme de produits ; assurez-vous que les certificats répondent à vos besoins et qu’ils ne comprennent pas d’options qui ne vous seront d’aucune utilité.
  • Frais d’installation : Tenez compte de tous les frais d’installation susceptibles d’être estimés et demandés.

Étape 4 – Tenez compte de toutes les options, de toutes les fonctionnalités et de tous les avantages pour votre entreprise.

Lorsque vous comparez des fournisseurs de service MSSL, procédez comme lors du choix d’un partenaire et pas simplement d’un produit. Il s’agit d’une relation clairement définie qui dépasse la simple fourniture d’un produit. Votre organisation dépendra de cette autorité de certification bien après les émissions de vos certificats. La nouvelle AC choisie doit donc pouvoir vous fournir des certificats SSL hautement sécurisés et riches en fonctionnalités, mais pas seulement. Elle doit également :

  • vous conseiller de manière judicieuse sur les initiatives dans le domaine de la sécurité ;
  • tenir compte des besoins de votre activité lorsqu’elle formule ses recommandations ;
  • vous fournir les outils qui vous permettront de vérifier que la configuration de votre serveur Web a bien été optimisée pour vous offrir un maximum de sécurité.

Votre fournisseur de service MSSL doit vous fournir bien plus que des certificats. Choisissez une entreprise qui puisse devenir votre partenaire de sécurité avec des technologies de pointe, la flexibilité adéquate pour développer des solutions adaptées à vos besoins et une expertise à la mesure de vos attentes pour vous conseiller sur les problématiques de sécurité.

De nombreuses entreprises ont pu changer d’autorité de certification sans problème grâce à GlobalSign. N’hésitez pas à nous contacter pour discuter de vos projets de changement de fournisseur.

Partager ce blog