Certplus et RSA Security : faut-il externaliser sa PKI ?

01 Réseaux : Pourquoi une entreprise devrait-elle confier à un tiers la gestion de sa sécurité en faisant appel à un opérateur de certification comme Certplus ? Pierre Herbelot, directeur commercial de Certplus France : Spontanément, la plupart des dirigeants dentreprise pensent que la sécurité ne se sous-traite pas. Avec le temps, nous parvenons pourtant à les convaincre qu’ils pourraient augmenter leur niveau de sécurité et réduire leurs coûts. Nous sommes, en effet, experts dans ce domaine, et nos très lourds investissements sont partagés par tous nos clients. Même des banques qui monteraient une structure commune ne pourraient parvenir aux mêmes économies d’échelle, puisque Certplus cible tous les secteurs.
Nos investissements concernent notamment la construction de notre ” bunker “, qui protège le processus de personnalisation des cartes. Il consiste à générer et à inscrire le jeu de clés et le certificat numérique sur chaque carte. Une entreprise qui ne voudrait pas externaliser serait non seulement contrainte de régler ce problème de sécurité physique, mais elle devrait aussi investir dans la formation et dans une solide infrastructure technique. De plus, dans le cas d’une PKI (Public key infrastructure) visant à sécuriser un Extranet multisociété, le recours à un tiers s’impose de lui-même.Faire sous-traiter son service de certification ne dispense-t-il pas l’entreprise d’un effort d’adaptation de son système d’information ? Dès lors que les clés publiques et privées sont créées par le navigateur et stockées sur le PC, notre offre de service est opérationnelle très rapidement. En effet, la plupart des applications standards, messageries, intranet ou progiciels de gestion intégrés savent désormais tirer parti d’une PKI afin de contrôler l’accès ou de garantir la confidentialité. La mise en place de notre solution se réduit alors à une page Web personnalisée et à un kit d’administration qui permettent aux utilisateurs de déposer des demandes de certificats, puis à l’administrateur de les valider et de nous les transmettre.
Dans un second temps, l’entreprise aura intérêt à stocker les clés et les certificats sur des cartes à puce, et à doter les PC de lecteurs. Mais certains constructeurs de PC proposent déjà des claviers équipés de tels lecteurs.Même si l’entreprise opte pour l’externalisation, la mise en ?”uvre d’une PKI reste lourde et pleine d’inconnues. Comment alléger sa démarche ? Dans cette optique, nous avons lancé une nouvelle offre de service baptisée Initiale, dont le ticket d’entrée n’excède pas 80 000 francs. Elle met à la disposition du client tout ce qui est nécessaire en termes de logiciels, de services ou de formation, pour démarrer rapidement une PKI. Lorsque l’entreprise en aura compris tout l’intérêt et décidera de monter en puissance, elle pourra passer à l’offre intégrale. Cette dernière comprend notamment la réalisation d’interfaces avec les annuaires de l’entreprise, la mise en place d’un module d’automatisation de la validation des demandes, ainsi que la hiérarchisation de l’autorité de certification.Quelle est la composition du capital de Certplus ? Avec 51 % des parts, Gemplus est notre actionnaire principal. Suivent France Télécom, 17 % ; Aerospatiale-Matra, 17 % ; et enfin, VeriSign, 15 %, dont nous resterons, durant au moins deux ans, le seul affilié français.

Magali Bohn, directeur général de RSA Security France

01 Réseaux : Pourquoi une entreprise devrait-elle confier à un tiers la gestion de sa sécurité en faisant appel à un opérateur de certification comme Certplus ?

Magali Bohn : Tout est question de confiance. Certaines entreprises n’hésiteront pas à opter pour l’externalisation, surtout si leurs ressources internes sont limitées. Mais d’autres, nombreuses, ne l’envisageront même pas. Tel est notamment le cas des banques, des organismes sensibles ou des sociétés dont l’activité est stratégique. Dès lors que ces entreprises auront les ressources internes nécessaires, elles mettront elles-mêmes en ?”uvre notre offre, articulée autour d’un module de certification et d’un module de personnalisation des cartes à puce. Bien sûr, il leur faudra sécuriser physiquement leur clé privée et le processus de personnalisation. Mais beaucoup d’entreprises placent déjà leurs informations stratégiques dans des salles hautement protégées. Quoi qu’il en soit, il est encore impossible de dire si le marché s’oriente plutôt vers la maîtrise complète en interne ou vers l’externalisation.

Faire sous-traiter son service de certification ne dispense-t-il pas l’entreprise d’un effort d’adaptation de son système d’information ?

Si, en effet, dans le cas où elle veut simplement sécuriser une messagerie ou un accès à un intranet. Mais les besoins sont ailleurs et l’on s’aperçoit alors que le concept de PKI est très neuf. Peu d’applications le prennent en compte et nombre d’éditeurs de progiciels n’en sont qu’au stade des annonces, sans parler des applications spécifiques. De même, si l’on veut sécuriser le PC entier, faire du chiffrement de groupe ou du réseau privé virtuel applicatif, il est nécessaire de déployer une infrastructure. C’est pourquoi nos modules de certification et de personnalisation des cartes sont complétés par des agents installés sur les postes clients et les serveurs applicatifs.
Nous commercialisons également un kit de développement qui permet aux éditeurs et aux entreprises d’offrir l’intégration de la PKI aux applications et progiciels existants.

Vous évoquez l’extrême jeunesse du concept de PKI. Une entreprise qui renonce à l’externalisation ne risque- t-elle pas d’éprouver les pires difficultés à acquérir les compétences nécessaires ?

Ne pas externaliser n’empêchera pas l’entreprise de s’appuyer sur des spécialistes venant de l’extérieur. Simplement, il y aura transfert de compétence plutôt que sous-traitance. Aujourd’hui, il est vrai que ces compétences sont encore rares, mais l’information est rapidement diffusée par nous-mêmes, nos partenaires et nos concurrents. Certaines entreprises et sociétés de services sont d’ailleurs déjà à la pointe.

RSA Security et Certplus affichent des démarches opposées. Ne sont-elles pas pourtant liées, via l’opérateur de certification américain VeriSign ?

RSA Security possède 25 % du capital de VeriSign, qui détient 15 % de celui de Certplus. D’autre part, RSA Security va représenter VeriSign auprès de ses affiliés, dont Certplus ne sera pas le seul français. Lorsque ce rôle sera effectif, nous serons amenés à aiguiller vers ces affiliés les clients désirant absolument externaliser. Cette double casquette nous rend d’autant plus objectif.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Propos recueillis par Thierry Lévy-Abégnoli