Certplus et RSA Security : faut-il externaliser sa PKI ?
Les infrastructures à clé publique ?” ou PKI ?” apportent une réponse globale à tous les problèmes de sécurité. L’opérateur de certification Certplus estime qu’il faut externaliser la mise en ?”uvre de la PKI. De son côté, RSA Security considère, au contraire, que nombre d’entreprises préfèreront la déployer en interne, sur la base d’une offre logicielle.
01 Réseaux : Pourquoi une entreprise devrait-elle confier à un tiers la gestion de sa sécurité en faisant appel à un opérateur de certification comme Certplus ? Pierre Herbelot, directeur commercial de Certplus France : Spontanément, la plupart des dirigeants dentreprise pensent que la sécurité ne se sous-traite pas. Avec le temps, nous parvenons pourtant à les convaincre qu’ils pourraient augmenter leur niveau de sécurité et réduire leurs coûts. Nous sommes, en effet, experts dans ce domaine, et nos très lourds investissements sont partagés par tous nos clients. Même des banques qui monteraient une structure commune ne pourraient parvenir aux mêmes économies d’échelle, puisque Certplus cible tous les secteurs. Nos investissements concernent notamment la construction de notre ” bunker “, qui protège le processus de personnalisation des cartes. Il consiste à générer et à inscrire le jeu de clés et le certificat numérique sur chaque carte. Une entreprise qui ne voudrait pas externaliser serait non seulement contrainte de régler ce problème de sécurité physique, mais elle devrait aussi investir dans la formation et dans une solide infrastructure technique. De plus, dans le cas d’une PKI (Public key infrastructure) visant à sécuriser un Extranet multisociété, le recours à un tiers s’impose de lui-même.Faire sous-traiter son service de certification ne dispense-t-il pas l’entreprise d’un effort d’adaptation de son système d’information ? Dès lors que les clés publiques et privées sont créées par le navigateur et stockées sur le PC, notre offre de service est opérationnelle très rapidement. En effet, la plupart des applications standards, messageries, intranet ou progiciels de gestion intégrés savent désormais tirer parti d’une PKI afin de contrôler l’accès ou de garantir la confidentialité. La mise en place de notre solution se réduit alors à une page Web personnalisée et à un kit d’administration qui permettent aux utilisateurs de déposer des demandes de certificats, puis à l’administrateur de les valider et de nous les transmettre. Dans un second temps, l’entreprise aura intérêt à stocker les clés et les certificats sur des cartes à puce, et à doter les PC de lecteurs. Mais certains constructeurs de PC proposent déjà des claviers équipés de tels lecteurs.Même si l’entreprise opte pour l’externalisation, la mise en ?”uvre d’une PKI reste lourde et pleine d’inconnues. Comment alléger sa démarche ? Dans cette optique, nous avons lancé une nouvelle offre de service baptisée Initiale, dont le ticket d’entrée n’excède pas 80 000 francs. Elle met à la disposition du client tout ce qui est nécessaire en termes de logiciels, de services ou de formation, pour démarrer rapidement une PKI. Lorsque l’entreprise en aura compris tout l’intérêt et décidera de monter en puissance, elle pourra passer à l’offre intégrale. Cette dernière comprend notamment la réalisation d’interfaces avec les annuaires de l’entreprise, la mise en place d’un module d’automatisation de la validation des demandes, ainsi que la hiérarchisation de l’autorité de certification.Quelle est la composition du capital de Certplus ? Avec 51 % des parts, Gemplus est notre actionnaire principal. Suivent France Télécom, 17 % ; Aerospatiale-Matra, 17 % ; et enfin, VeriSign, 15 %, dont nous resterons, durant au moins deux ans, le seul affilié français.