Pratiques de sécurité des réseaux des Autorités de Certification

Recommandations du CA/B Forum sur les exigences de sécurité des réseaux et des systèmes de certification

Le 3 août 2012, le CA/B Forum adoptait un ensemble de recommandations relatives aux exigences de sécurité des réseaux et des systèmes de certificats, afin de garantir l'observation des meilleures pratiques par les Autorités de Certification et autres acteurs clés de confiance.

Le CA/B Forum est une organisation bénévole constituée des Autorités de Certification et des fournisseurs de navigateurs et d'applications web leaders du marché. Depuis 2005, il établit les normes auxquelles sont soumises les Autorités de Certification.

Les dernières recommandations, implémentées en janvier 2013, ont été définies en réponse aux attaques dirigées contre les fournisseurs de confiance en 2011. Elles imposent plusieurs exigences destinées à renforcer la sécurité des réseaux et des systèmes des Autorités de Certification et à limiter ainsi les risques d'incidents similaires à l'avenir.

Ces recommandations concernent plusieurs domaines, tels que la protection générale des réseaux et des systèmes, les personnes de confiances, les organismes indépendants, les comptes de système, les systèmes de connexion, de surveillance et d'alerte, la détection de vulnérabilités et la gestion des patchs.

Toutes les AC membres, y compris GlobalSign, se sont conformées à ces recommandations. Elles prouvent ainsi leur engagement en faveur du renforcement des niveaux de sécurité des AC.

Protection générale des réseaux et des systèmes

Les recommandations du CA/B Forum ont introduit le concept de zones de sécurité et de zones de haute sécurité pour la protection des systèmes critiques des Autorités de Certification, tels que les systèmes d'AC racine, les systèmes d'émission et de gestion des certificats et les systèmes de journal de bord de la sécurité.

Les AC doivent renforcer les contrôles des accès à leurs systèmes de certificats, afin que seules les personnes de confiance définies au préalable puissent y accéder. L'authentification multi-facteurs est obligatoire lorsqu'elle peut être mise en œuvre.

Personnes de confiance, organismes indépendants et comptes de système

Les personnes de confiance doivent être choisies selon les risques de sécurité associés aux fonctions qu’elles devront accomplir. Toute personne de confiance doit posséder des identifiants d'authentification uniques aux systèmes de certificats, afin de garantir qu'elle ne peut agir que dans le cadre de ses fonctions. Ce système est par ailleurs renforcé par de nombreuses régulations, telles que les politiques de mots de passe, la déconnexion automatique en cas d’inactivité prolongée et le blocage des comptes.

Connexion, surveillance et alerte

Selon les nouvelles recommandations, les AC et autres acteurs clés doivent implémenter un système de journal de bord permettant d’enregistrer, surveiller, détecter et alerter de tout changement de configuration relative à la sécurité.

Les personnes de confiance doivent alors enquêter sur ces alertes et les journaux de bord doivent être conservés selon les meilleures pratiques ou les législations qui s’appliquent. Ce processus permet d’empêcher toute activité non autorisée.

Détection des vulnérabilités et gestion des patchs

Les AC et autres acteurs clés doivent avoir implémenté des contrôles de détection et de prévention destinés à protéger les systèmes de certificats contre les virus et le malware.

La présence de vulnérabilités doit être testée au moins une fois par trimestre et la pénétration une fois par an. En cas de vulnérabilités critiques détectées, le CA/B Forum définit les normes à suivre pour s’en protéger.

Pour davantage d'informations sur ces recommandations, veuillez vous rendre sur :
https://www.cabforum.org/Network_Security_Controls_V1.pdf