Le sigle PKI (Public Key Infra-structure) a le don de faire frémir les directions informatiques. Si les avantages liés aux infrastructures à clé publique sont reconnus, les entreprises hésitent souvent à se lancer dans ces projets réputés pour leur complexité. La plupart des infrastructures à clé publique en sont d’ailleurs toujours au stade du développement, et peu d’entreprises peuvent se targuer d’une PKI fonctionnelle.“Le plus difficile a été de mettre en place un processus de certification complet et solide”, remarque Daniel Garcia, directeur informatique adjoint de la Coface (lire encadré), dont l’infrastructure sera opérationnelle à la fin de l’année. Effectivement, les contraintes se rencontrent beaucoup plus au niveau organisationnel que technique, bien que quelques problèmes de standards restent d’actualité. “La règle de base est d’utiliser au maximum les normes pour éviter tout problème, en l’occurrence le standard X. 509 v3. Mais la mise en place technique n’est pas plus compliquée qu’un système de sécurité à base d’identifiant et de mot de passe”, estime Yves Marlaud, directeur des systèmes d’information du service client d’Airbus.
Faciliter la gestion de la sécurité
Une fois mise en place, la PKI permet donc de faciliter l’administration de la sécurité, le certificat numérique unique remplaçant mots de passe et identifiants. “Au départ, le projet fait un peu peur, mais une bonne analyse des besoins permet de créer le processus en interne. Ensuite, la définition des profils et des droits d’accès se gère beaucoup plus rapidement”, confirme Yves Marlaud.Car le principe est, somme toute, relativement simple. Un certificat numérique est délivré à chacun des utilisateurs concernés par la PKI. Il permet de transmettre la clé publique de chaque utilisateur, sans laquelle on ne peut lui envoyer de message chiffré (en prenant l’exemple de la messagerie). Pour déchiffrer le message reçu, l’utilisateur possède une clé privée qui n’est, elle, jamais transmise.
Choisir l’autorité de certification
Opérateur de certification, autorité de certification, de validation, etc. , chacun des acteurs du processus doit être clairement identifié pour assurer un cadre rigoureux. L’opérateur prend en charge tous les aspects techniques liés à la production des certificats numériques. L’autorité de certification joue, elle, le rôle de tiers de confiance dans l’attribution des certificats. C’est donc elle qui définit les règles d’attribution. Pour garantir la validité des certificats, entre alors en jeu l’autorité de validation qui garantit ou invalide les certificats au moyen d’une liste noire.L’autorité de certification peut être assurée soit en interne, par l’administrateur réseau par exemple, soit par un prestataire extérieur. “Nous avons choisi au départ d’assumer cette fonction en interne, afin de bien comprendre tous les mécanismes. Mais sur les conseils de juristes, Certplus prendra le relais dans les semaines qui viennent [rôle exceptionnel pour Certplus qui est, avant tout et souhaite rester, un opérateur de certification, Ndlr] “, précise Yves Marlaud, dont la PKI couvre le portail client AOLS (Airbus On Line Services, lire encadré). “La rédaction du contrat de responsabilité entre les différents intervenants est également complexe. Nous avons travaillé avec un homme de loi afin d’en déterminer les clauses. Finalement, la principale difficulté est simplement liée à la nouveauté de ce type de contrat”, conclut-il.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
