Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Partie 5 · Défis du monde réel Lecture de 8 min

Certificats fantômes & Visibilité

Chaque organisation possède des certificats dont elle n'est pas consciente. Ces certificats fantômes créent des zones d'ombre qui compromettent la sécurité, la conformité et la fiabilité opérationnelle. Obtenir une visibilité complète est la première étape pour reprendre le contrôle.

Faits rapides

Type
Éducatif
Niveau
Intermédiaire
Sujets
6 sections
Chapitre
20 sur 25
Suivant
Agilité cryptographique & post-quantique

Introduction

Un certificat fantôme est tout certificat numérique qui existe dans votre environnement mais n'est pas suivi, géré, ou même connu des équipes responsables de la sécurité et de l'infrastructure. C'est l'équivalent certificat de l'informatique fantôme : quelque chose déployé en dehors des limites des processus officiels et de la supervision.

Les certificats fantômes ne sont pas intrinsèquement malveillants. Dans la plupart des cas, ils sont créés par des développeurs, ingénieurs cloud ou unités commerciales bien intentionnés qui ont besoin d'un certificat rapidement et en obtiennent un sans passer par le processus de demande formel de l'organisation. Le problème n'est pas l'intention ; c'est invisibilité. Lorsqu'un certificat est invisible pour vos équipes de sécurité et d'exploitation, il ne peut pas être surveillé pour son expiration, validé par rapport à la politique, ou renouvelé lorsqu'une vulnérabilité est découverte.

Les recherches montrent constamment que les organisations sous-estiment le nombre de leurs certificats de 40 % à 70 %. Cet écart, la différence entre les certificats que vous connaissez et les certificats qui existent réellement, est votre écart de visibilité Le combler est l'une des actions les plus impactantes qu'une équipe de sécurité puisse entreprendre, car vous ne pouvez pas protéger, renouveler ou gérer ce que vous ne voyez pas.

Comment les certificats fantômes apparaissent

Les certificats fantômes n'apparaissent pas du jour au lendemain à cause d'une seule raison. Ils s'accumulent au fil du temps via plusieurs canaux, chacun parfaitement rationnel isolément mais créant collectivement un enchevêtrement difficile à gérer.

Auto-service développeur

Les développeurs provisionnent fréquemment des certificats par eux‑mêmes en utilisant des outils comme Let's Encrypt, certbot, ou les tableaux de bord des fournisseurs cloud. Ils ont besoin de HTTPS pour un environnement de préproduction, une API de test ou un point de terminaison de microservice, et ils obtiennent un certificat en quelques minutes sans ouvrir de ticket. Ces certificats fonctionnent parfaitement mais restent invisibles pour la gestion centralisée.

Provisionnement automatique du cloud

Les plateformes cloud telles qu'AWS, Azure et GCP peuvent automatiquement provisionner et attacher des certificats aux équilibreurs de charge, aux CDN et aux passerelles API. Lorsque l'infrastructure est déployée via Terraform, Pulumi ou d'autres outils IaC, les certificats sont souvent créés comme effets secondaires du provisionnement des ressources. À moins que l'équipe CLM ne surveille les API des fournisseurs cloud, ces certificats restent inconnus.

Intégrations SaaS

De nombreux produits SaaS permettent aux clients de configurer des domaines personnalisés avec des certificats TLS. Les équipes marketing créent des pages d'atterrissage personnalisées, les équipes de support déploient des domaines de centre d'aide personnalisés, et les équipes partenaires créent des portails co‑marqués. Chacun de ceux‑ci peut impliquer un certificat que l'équipe de sécurité n'a jamais vu.

Fusions & Acquisitions

Lorsque les organisations acquièrent une autre entreprise, elles héritent de l’ensemble de son parc de certificats. L’entreprise acquise peut avoir utilisé différents AC, différentes conventions de nommage, et différentes (ou aucune) pratiques de gestion du cycle de vie. Intégrer ces certificats dans un inventaire unifié est une tâche majeure qui prend souvent des mois ou des années, laissant un important point aveugle en attendant.

Les Risques

Les certificats fantômes ne sont pas seulement une gêne organisationnelle. Ils introduisent un risque réel et mesurable sur trois dimensions critiques.

Points aveugles de sécurité

Un certificat que vous ne connaissez pas est un certificat que vous ne pouvez pas sécuriser. Les certificats fantômes peuvent utiliser des algorithmes de clé faibles, être émis par des AC non fiables ou compromises, ou avoir des portées génériques trop larges. Si une clé privée associée à un certificat fantôme est compromise, l'équipe de sécurité ne peut pas réagir car elle ne sait même pas que le certificat existe. Les attaquants recherchent activement ces points de terminaison non surveillés.

Lacunes de conformité

Des réglementations telles que NIS2, DORA, PCI DSS et des cadres industriels comme ISO 27001 obligent les organisations à tenir un inventaire des actifs cryptographiques et à démontrer que les certificats sont conformes aux politiques définies. Les certificats fantômes sont, par définition, exclus de cet inventaire. Lors d’un audit, l’incapacité à répertorier tous les certificats de votre environnement constitue une constatation pouvant entraîner des sanctions, des mandats de remédiation ou la perte de la certification.

Pannes dues à l’expiration non suivie

Ceci est la conséquence la plus courante et la plus visible. Un certificat fantôme expire, et le service qu'il protège tombe en panne. Parce que personne ne surveillait le certificat, aucun renouvellement n'a été déclenché. La panne peut prendre des heures à diagnostiquer, précisément parce que le certificat était inconnu au départ. Les équipes perdent du temps à dépanner le code d'application ou l'infrastructure réseau avant de découvrir que la cause profonde est un certificat expiré que personne ne connaissait.

Mesurer votre écart de visibilité

Avant de pouvoir combler l'écart, vous devez le mesurer. L'écart de visibilité est la différence entre les certificats que votre organisation connaît (ceux figurant dans les feuilles de calcul, les CMDB ou une plateforme CLM) et les certificats qui existent réellement dans votre infrastructure.

Lancez une analyse de découverte

Utilisez des outils de balayage réseau pour sonder vos plages d'IP et découvrir tous les points de terminaison TLS. Comparez ce que vous trouvez à votre inventaire existant. La différence constitue votre lacune de visibilité. La plupart des organisations sont surprises par son ampleur.

Interroger les journaux de transparence des certificats

Certificate Transparency (CT) les journaux sont publics, des enregistrements uniquement en ajout de chaque certificat émis par les AC participantes. Interroger les journaux CT pour vos domaines révèle des certificats que vous ne connaissiez peut-être pas, y compris ceux émis par des AC que vous n'avez pas autorisées.

Audit des consoles des fournisseurs de cloud

Examinez les inventaires de certificats dans AWS Certificate Manager, Azure Key Vault, GCP Certificate Manager, ainsi que tout autre service cloud utilisé par vos équipes. Recoupez-les avec votre inventaire central pour identifier les certificats provisionnés en dehors des canaux habituels.

Interview des équipes de développement

Parfois, la méthode de découverte la plus efficace consiste simplement à demander. Les équipes de développement et DevOps savent souvent exactement quels certificats elles ont provisionnés de manière informelle. Un bref questionnaire ou une interview peut faire apparaître des dizaines de certificats auparavant inconnus.

Stratégies pour Gagner Contrôle

Éliminer complètement les certificats fantômes est irréaliste. L'objectif est de créer des systèmes et des processus qui rendent les certificats fantômes visibles dès leur apparition et les intègrent aux flux de travail du cycle de vie géré. Voici les stratégies clés.

1

Découverte continue

Une analyse ponctuelle ne suffit pas. Déployez découverte continue qui analyse automatiquement vos réseaux, environnements cloud et points de terminaison selon un planning régulier. Les nouveaux certificats doivent être détectés en quelques heures ou jours après leur émission, pas plusieurs mois plus tard lorsqu'ils expirent et provoquent une panne.

2

Application de la politique

Définir clairement politiques de certificat qui spécifient les algorithmes de clé approuvés, les tailles de clé minimales, les périodes de validité maximales et les conventions de nommage requises. Ensuite, appliquez automatiquement ces politiques. Lorsqu'un certificat nouvellement découvert viole la politique, le système doit le signaler et notifier l'équipe responsable.

3

Listes d'AC approuvées

Maintenez une liste d'autorités de certification approuvées et facilitez la demande de certificats par les équipes. Si l'obtention d'un certificat auprès d'une AC approuvée est aussi rapide et pratique que l'utilisation d'une source non approuvée, les équipes se tourneront naturellement vers le chemin approuvé. Associez cela à la surveillance des journaux CT pour détecter les certificats émis par des AC en dehors de votre liste approuvée.

4

Formation des développeurs

Les certificats fantômes apparaissent souvent parce que les développeurs ne réalisent pas qu'il existe un processus approprié, ou ils trouvent le processus existant trop lent. Traitez les deux aspects : sensibilisez les équipes aux risques des certificats non gérés, et rationalisez le processus officiel de demande afin qu'il prenne des minutes, pas des jours. Les portails en libre-service avec des flux de travail d'approbation automatisés sont très efficaces pour réduire la création de certificats fantômes.

Comment nous aidons

Evertrust & Visibilité des certificats

Découverte multi-source continue: Evertrust CLM découvre des certificats à travers vos réseaux, fournisseurs de cloud, points de terminaison et journaux CT. Les analyses s'exécutent en continu, de sorte que les nouveaux certificats sont détectés en quelques heures, pas en mois.

Inventaire unifié: Chaque certificat découvert est automatiquement ajouté à un inventaire centralisé avec des métadonnées complètes, une attribution de propriété et un suivi des expirations. Plus de feuilles de calcul, plus de surprises.

Alertes de violation de politique: Définissez vos politiques organisationnelles une fois, et Evertrust signale automatiquement tout certificat (nouveau ou existant) qui les enfreint. Les clés faibles, les autorités de certification non autorisées et les configurations non conformes sont immédiatement mises en évidence.

Libre-service avec garde-fous: Offrez aux développeurs un chemin rapide et approuvé pour obtenir des certificats via des portails en libre-service soutenus par Evertrust PKI. Les demandes sont satisfaites en quelques secondes grâce à l'application intégrée des politiques, éliminant ainsi l'incitation à sortir des canaux officiels.

Parler à un expert Découvrir CLM
Précédent
Pannes de certificats
Tous les chapitres
Suivant
Agilité cryptographique & post-quantique