Blog GlobalSign

01 déc. 2017

Pour la gestion de votre AC, vous pouvez nous faire confiance. Nos pratiques de sécurité parlent pour nous...

Vous avez votre propre autorité de certification (AC) interne ou du moins, cela fait partie de vos projets. Vous envisagez même de tout faire en interne.

Pourquoi ?

Beaucoup considèrent tout simplement qu’ils ne peuvent faire confiance à un tiers pour gérer leur AC. Leurs données sont très sensibles et ils préfèrent les garder en interne.

Si vous êtes un organisme fédéral, vous êtes peut-être doté d’un budget suffisamment confortable pour assurer la sécurité de vos données cryptographiques et de votre infrastructure. Qui sait, vous avez peut-être même configuré vos propres salles serveur dédiées pour vos AC, avec cages de Faraday, rayons laser et capteurs de mouvements ? Si c’est le cas, n’allez pas plus loin. Ce blog ne vous sera probablement d’aucune utilité.

Autre hypothèse : vous préférez exécuter votre AC en interne pour éviter d’envoyer ce type de données dans le cloud. Mais alors, vous méfiez-vous du cloud ou des prestataires de gestion de solutions cloud ?

Pourquoi ?

Quelles peurs suscite le cloud ? Nous avons interrogé la Twittosphère pour comprendre la frilosité des entreprises face au cloud. Manifestement, la sécurité constitue un point central.

Cloud adoption survey

Mon rôle n’est pas de démystifier le cloud ou de vous vanter ses atouts pour le stockage de vos données. Le sujet a déjà été abordé dans de nombreux articles de blogs. Chez GlobalSign, nous avons aussi publié quelques articles sur les questions préliminaires à poser à un éventuel nouveau fournisseur de services cloud ou managés. Pour nous, le problème n’est pas un problème de confiance vis-à-vis du cloud, mais vis-à-vis de l’entreprise qui vous fournit les services et solutions cloud. En l’occurrence, GlobalSign, dans cet article.

Toute entreprise qui propose une solution gérée, dans le cloud ou ailleurs, doit vous prouver pourquoi elle est digne de votre confiance. Avec l’entrée en vigueur chaque jour de nouvelles réglementations et l’enjeu croissant que représentent les données pour les entreprises, mandater un tiers pour les gérer semble aussi dangereux que de confier votre nouveau-né à un étranger pour la soirée... de quoi avoir vraiment peur !

Jouons franc jeu

Comme je le disais, je ne suis pas là pour faire l’apologie du cloud, ni même des services tiers gérés... Je voudrais simplement vous rassurer sur un point : vous pouvez envisager sereinement de gérer votre AC privée sur l’infrastructure cloud de GlobalSign.

Je vais tenter de vous convaincre. C'est parti.

L’environnement standard en entreprise

La plupart des entreprises gèrent leurs propres AC Microsoft via Active Directory. Tous les employés ont accès à Internet (sites web externes et internes) par le biais de ce réseau d’entreprise avec le même contrôleur de domaine. Si vous gérez une AC interne — même à supposer que vous utilisiez des serveurs distincts — vous les exécutez probablement sur le même réseau physique ou dans la même salle serveur que vos serveurs de fichiers et d’applications qui sont indirectement connectés à Internet. Jusqu’ici, rien d’inquiétant…

Si un ordinateur capable de demander un certificat à l’AC interne est également infecté par un programme malveillant, eh bien, vous connaissez la suite.

Supposons que vous ayez même créé votre AC interne avec deux modules matériels de sécurité (HSM) conformes FIPS, il y a de fortes chances pour que l’accès et l’authentification ne soient accordés qu’à un administrateur racine.

Remarque : les bonnes pratiques préconisent d’autoriser plusieurs administrateurs à accéder aux modules HSM. Or, bien trop souvent, les entreprises dont les ressources et les équipes sont plus limitées ne transmettent les identifiants qu’à un seul admin, quand elles ne transmettent pas les mêmes identifiants à toute une équipe !

Comment l’administrateur racine accède-t-il aux modules HSM ? Avec un mot de passe ? Ou peut-être à l’aide d’une carte à puce ou d’une clé USB ? L’admin racine a toujours la possibilité d’effectuer une sauvegarde de l’environnement de sécurité et de le restaurer chez lui, à condition d’avoir un module HSM similaire et les cartes d’opérateur d’origine. Cela n’en demeure pas moins une vulnérabilité. L’administrateur a aussi la possibilité d’émettre des certificats ou une AC secondaire, et de supprimer tous les journaux enregistrés. Heureusement, nous avons publié un article de blog sur les bonnes pratiques de stockage des clés cryptographiques. Nous vous invitons à le lire.

Que se passe-t-il si un admin dérape ? On peut toujours durcir les mesures de sécurité pour contenir les dégâts causés par un administrateur véreux. Cela ne le remettra pas pour autant dans le droit chemin et n’empêchera pas le préjudice réputationnel pour votre PKI. Sans oublier le coût d’un tel renforcement sécuritaire — que la démarche soit internalisée ou externalisée.

Tous ces vecteurs de menace sont autant de failles coûteuses à combler. Des coûts financiers que les entreprises jugent souvent irréalistes du fait du décalage entre le constat du département informatique sur les investissements à réaliser, et la volonté des dirigeants à mettre — ou pas — la main au portefeuille.

Si seulement il existait une solution abordable qui offre un niveau de sécurité physique et virtuelle à la hauteur de vos besoins...

Découvrez l’environnement d’AC de GlobalSign

Imaginez un grand bâtiment entouré de hautes clôtures et de caméras de vidéosurveillance supervisées 24 h/7 j par des équipes de sécurité. Sur ce site, la sécurité est assurée par une équipe sur place et en dehors. À la moindre alerte, suivant le type d’alarme, l’une ou l’autre équipe est prévenue.

À moins d’être certifiée, toute personne qui se trouve à l’intérieur du bâtiment doit être encadrée. Si vous êtes un visiteur régulier doté des certifications requises et dûment habilité à exercer un rôle de confiance, vous pourrez pénétrer dans le bâtiment après vérification de votre carte d’accès et de vos identifiants biométriques.

Pour accéder à l’intérieur de notre salle serveur, vous devrez vous être préalablement enregistré et être muni de deux facteurs d’authentification. Cela ne vous donnera cependant pas accès à la salle serveur où se trouvent les AC.

Pour entrer dans cette salle ultra sécurisée située à l’intérieur de la salle serveur, vous devrez être accompagné d’un collègue. Loin d’être une simple cage, il s’agit d’une véritable salle entourée de parois fabriquées dans des matériaux sûrs et résistants qui vont du sol (en béton) au plafond (en béton). Les systèmes de climatisation et d’extinction par gaz ont tous été conçus pour que la maintenance puisse être effectuée en dehors de la salle serveur où sont stockés nos équipements stratégiques. Plusieurs capteurs de mouvements et/ou d’intrusion surveillent chaque mur, chaque porte et chaque centimètre carré de cet espace.

Et comme si cela ne suffisait pas, dans cette forteresse ultra sécurisée, l’accès à chaque baie de serveur est protégé par une porte équipée d’un dispositif d’authentification. Si les portes sont ouvertes, nous savons qui les a ouvertes, à quel moment et si elles ont été forcées. Naturellement, grâce au système de vidéosurveillance, nous pouvons également voir qui ouvre la porte. Aucun changement apporté au serveur n’échappe à notre surveillance et aucune nouvelle exécution de code ne peut être mise en œuvre sans vérification préalable.

Notre AC est atteignable accessible depuis le cloud, mais cela ne signifie pas qu’elle soit accessible depuis le cloud.

Vous êtes perdu ? L’idée est la suivante : même si notre AC émettrice est dans le cloud, il faut qu’une requête soit envoyée via une API. Cette requête doit être traitée et vérifiée, avant d’être mise en attente jusqu’à ce que l’AC indique que « tout est OK, je veux le certificat maintenant ». Une fois la requête authentifiée, l’AC émet le certificat et le renvoie dans la « file d’attente » pour récupération. Ce type de connexion porte un nom : l’airgap (isolation physique). Naturellement, toute communication interne exige une authentification TLS mutuelle.

Le renforcement de la sécurité (« hardening ») est une autre technique utilisée pour nous assurer que seules certaines adresses IP peuvent accéder au système avec plusieurs identifiants. Pour plus de fiabilité, nous pouvons pour nos clients utiliser une configuration multihôte sur un environnement actif/actif.

La plupart des entreprises exécutent un environnement en mode actif/veille, mais dans un tel scénario, que se passe-t-il en cas de panne ? Pendant combien de temps pouvez-vous vous permettre d’avoir une AC hors de fonctionnement ?

GlobalSign investit également dans des outils de monitoring et d’audit. Tous les certificats peuvent être suivis à la trace. Ainsi, au moindre incident, nous pouvons enquêter et identifier immédiatement l’origine du problème. De très coûteux audits viennent parachever notre forteresse.

Enfin, après avoir sécurisé ce bastion, nous n’entendons pas en rester là. Nous effectuons régulièrement des contrôles sur l’ensemble du personnel qui accède à nos systèmes. De plus, nous vérifions en permanence notre infrastructure et apportons des modifications sur le plan physique et virtuel. Nous faisons également intervenir des sociétés extérieures pour tester notre sécurité physique et virtuelle. Ces prestataires effectuent des tests de vulnérabilité sur l’ensemble des points d’accès extérieurs afin de garantir la sécurité en continu. Nous surveillons par ailleurs l’ensemble de notre trafic réseau 24 h/7 j pour repérer tout signe d’anomalie (tentative d’intrusion ou comportement répréhensible non détecté).

Sans la sécurité, notre entreprise ne serait rien. Nous mettons donc un point d’honneur à être les meilleurs possible dans ce domaine. Pour citer Paul van Brouwershaven, notre Directeur Solutions technologiques :

Security doesn't stop, wait or simplify any environment, it's constantly moving and requires tremendous investments, time and resources to maintain at the highest level.

En définitive, nous ignorons si l’environnement de votre entreprise ressemble au nôtre. Peut-être est-il aussi sécurisé, si ce n’est plus. Vous êtes le seul à le savoir.

Mais permettez-moi de vous poser cette question : fort de vos nouvelles connaissances, affirmez-vous toujours faire plus confiance à votre environnement qu’au nôtre ?

Si la réponse n’est pas un OUI franc et massif, nous vous proposons de discuter de la façon dont un transfert de votre environnement chez nous pourrait vous faire gagner du temps, de l’argent et des ressources... Pensez-y.

Partager ce blog