Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Partie 6 · Stratégie & Conformité Lecture de 11 min

PKI & Réglementaire Conformité

De eIDAS à NIS2, de DORA à GDPR, les réglementations européennes et mondiales exigent de plus en plus que les organisations mettent en œuvre des contrôles cryptographiques robustes. PKI est au cœur de la satisfaction de ces exigences.

Faits rapides

Type
Éducatif
Niveau
Intermédiaire
Sujets
7 sections
Chapitre
24 sur 25
Suivant
Choisir une plateforme CLM

Introduction

La conformité réglementaire n’est plus un simple exercice de case à cocher. Pour les organisations opérant en Europe et au-delà, un nombre croissant de législations exige désormais explicitement des contrôles cryptographiques robustes, la vérification d’identité et des mécanismes de protection des données. L’infrastructure à clé publique (PKI) se situe au centre des trois.

Les certificats numériques permettent communications chiffrées, identités authentifiées, et signatures numériques vérifiables. Il s'agit des capacités exactes que les régulateurs exigent lorsqu'ils écrivent sur "mesures techniques appropriées" ou "sécurité à la pointe de la technologie". Sans une PKI bien gérée, satisfaire aux obligations de conformité devient nettement plus difficile et, dans certains cas, impossible.

Ce chapitre associe les réglementations les plus importantes aux exigences spécifiques de PKI, vous aidant à comprendre non seulement ce que dit la loi, mais aussi comment votre infrastructure de certificats doit la soutenir. Que vous soyez un RSSI élaborant une feuille de route de conformité ou un architecte PKI concevant pour l’auditabilité, les sections ci-dessous vous offrent un cadre pratique à partir duquel travailler. Pour une perspective stratégique plus large, consultez notre chapitre sur élaborer une stratégie CLM.

eIDAS 2.0 & Qualifié Certificats

Le réglementation eIDAS (identification électronique, authentification et services de confiance) est le cadre de l'Union européenne' pour l'identité numérique et les services de confiance. La version révisée d'eIDAS 2.0, adoptée en 2024, élargit considérablement son champ d'application et introduit le portefeuille d'identité numérique européen.

1

Certificats qualifiés

eIDAS définit certificats qualifiés comme le niveau d’assurance le plus élevé pour les certificats numériques. Ils doivent être émis par des fournisseurs de services de confiance qualifiés (QTSP) qui sont audités et supervisés par les autorités nationales. Ces certificats ont une valeur juridique équivalente aux signatures manuscrites dans tous les États membres de l’UE.

2

Sceaux électroniques qualifiés

Les organisations (pas seulement les individus) peuvent utiliser Sceaux électroniques qualifiés pour garantir l'origine et l'intégrité des documents. Cela nécessite une infrastructure PKI capable d'émettre et de gérer des certificats de sceau qui respectent les normes techniques strictes définies dans les normes ETSI.

3

Authentification de site Web (QWAC)

eIDAS 2.0 réintroduit certificats d'authentification de site Web qualifiés (QWACs), nécessitant que les navigateurs les reconnaissent. Pour les organisations, cela signifie gérer un type de certificat distinct avec des exigences spécifiques d'émission et de renouvellement aux côtés des certificats TLS standard.

Pour les équipes PKI, eIDAS 2.0 signifie prendre en charge plusieurs types de certificats (signatures qualifiées, sceaux et QWAC) provenant de QTSP approuvés, tout en maintenant une traçabilité complète de l’émission, de l’utilisation et de la révocation. Vos politiques de certificat doivent explicitement répondre aux exigences eIDAS.

NIS2 & Cybersecurity Exigences

La Directive NIS2 (Réseau et Sécurité de l'Information) est le cadre de cybersécurité mis à jour de l'UE, applicable depuis octobre 2024. Elle élargit considérablement le champ des organisations qui doivent se conformer, couvrant les entités essentielles et importantes dans 18 secteurs.

Chiffrement des données en transit

NIS2 exige un chiffrement "state of the art" pour les communications réseau. Les certificats TLS, correctement gérés et rapidement renouvelés, sont le mécanisme principal pour y parvenir. Les organisations doivent démontrer qu’elles disposent de contrôles en place pour empêcher les certificats expirés ou mal configurés.

Sécurité de la chaîne d'approvisionnement

La directive impose aux organisations d’évaluer et de gérer les risques liés à leur chaîne d'approvisionnement. Cela inclut la vérification de l’intégrité des logiciels et des mises à jour via des certificats de signature de code, ainsi que l’authentification des connexions tierces avec TLS mutuel.

Déclaration d’incident

NIS2 impose des délais stricts de signalement des incidents (24 heures pour la notification initiale). Une interruption ou une compromission liée aux certificats constitue un incident à déclarer. Disposer d’une visibilité complète sur votre inventaire de certificats réduit à la fois le risque et le temps de réponse.

Mesures de gestion des risques

Article 21 répertorie les mesures de sécurité minimales, y compris la cryptographie, le contrôle d’accès et la gestion des actifs. Une PKI bien gouvernée avec une gestion centralisée du cycle de vie des certificats répond directement à plusieurs points de cette liste.

DORA & le secteur Financier

Le Digital Operational Resilience Act (DORA) cible les entités financières : banques, compagnies d'assurance, sociétés d'investissement, et leurs fournisseurs de services TIC critiques. Applicable depuis janvier 2025, DORA fixe un niveau élevé pour la résilience opérationnelle numérique.

Gestion des risques TIC

DORA exige des cadres de gestion des risques TIC complets incluant des contrôles cryptographiques. Les entités financières doivent identifier, classer et protéger tous les actifs TIC, ce qui comprend chaque certificat numérique déployé dans leur infrastructure.

Tests de résilience opérationnelle

DORA impose des tests réguliers des systèmes TIC, y compris les tests de pénétration dirigés par les menaces (TLPT). L'infrastructure de certificats doit être suffisamment résiliente pour résister aux attaques simulées, et les organisations doivent démontrer qu'elles peuvent rapidement renouveler les certificats compromis.

Risque TIC des tiers

Les entités financières doivent gérer les risques liés aux fournisseurs TIC tiers, y compris les autorités de certification. Cela implique de maintenir une surveillance sur les AC qui délivrent des certificats pour votre organisation, d'assurer des garanties contractuelles et d'avoir des stratégies de sortie si une AC est compromise ou cesse ses activités.

RGPD & Chiffrement (Art. 32)

Le Règlement général sur la protection des données est la loi phare de l'Europe en matière de protection des données. Bien que le RGPD ne prescrive pas de technologies spécifiques, l'article 32 oblige les organisations à mettre en œuvre "des mesures techniques et organisationnelles appropriées" afin d'assurer un niveau de sécurité adapté au risque. Le chiffrement est explicitement nommé comme l’une de ces mesures.

Chiffrement en transit

Les certificats TLS protègent les données personnelles lorsqu'elles circulent entre les systèmes. Chaque point de terminaison API, application web et service interne qui traite des données personnelles doit utiliser TLS correctement configuré. Un certificat expiré sur un point de terminaison de traitement des données n'est pas seulement un problème opérationnel ; c'est une lacune de conformité au RGPD.

Pseudonymisation & identité basée sur les certificats

Le RGPD encourage la pseudonymisation comme mesure de protection. Les certificats clients peuvent authentifier les utilisateurs sans exposer les identifiants personnels dans les journaux d'application, soutenant les principes de minimisation des données tout en maintenant une forte assurance d'identité.

Notification de violation & incidents de certificat

Si une compromission de certificat entraîne un accès non autorisé aux données personnelles, GDPR's exigence de notification de violation de 72 heures du RGPD s'applique. Maintenir un inventaire complet des certificats et surveiller les anomalies réduit la probabilité de tels incidents et accélère la réponse lorsqu'ils surviennent.

Industrie Normes

Au‑delà des réglementations, plusieurs normes et cadres industriels définissent les attentes en matière de contrôles cryptographiques et de gestion des certificats. Satisfaire ces normes est souvent une condition préalable pour faire des affaires dans des secteurs spécifiques.

ISO 27001

La norme internationale pour les systèmes de gestion de la sécurité de l'information (ISMS). Les contrôles de l'annexe A couvrent explicitement la gestion des clés cryptographiques (A.10), obligeant les organisations à définir des politiques pour l'utilisation, la protection et la durée de vie des clés et certificats cryptographiques.

PCI DSS

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) exige un chiffrement fort des données des titulaires de cartes en transit (exigence 4) et des pratiques robustes de gestion des clés (exigence 3.5-3.7). Chaque certificat protégeant les données de paiement doit être suivi, renouvelé selon le calendrier et émis par une autorité de certification de confiance.

SOC 2

Les audits SOC 2 évaluent les contrôles pertinents pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée. Les contrôles de chiffrement, y compris les pratiques de gestion des certificats, constituent un domaine d'intérêt commun. Les auditeurs demanderont comment les certificats sont inventoriés, renouvelés et révoqués.

NIST SP 800-57

L'Institut national des normes et de la technologie des États-Unis (NIST) fournit des recommandations pour la gestion des clés. Bien que ce ne soit pas une réglementation en Europe, de nombreuses organisations se réfèrent aux directives du NIST lors de la conception de leur architecture PKI et des politiques de cycle de vie des certificats.

Construire une solution prête à la conformité PKI

Répondre aux exigences réglementaires ne consiste pas à ajouter la conformité à un PKI existant après coup. Cela nécessite des choix de conception délibérés et des pratiques opérationnelles qui rendent l’auditabilité et le contrôle inhérents à la façon dont les certificats sont gérés.

1

Inventaire de certificats centralisé

Vous ne pouvez pas démontrer la conformité sur des actifs que vous ne savez pas existants. Un inventaire complet, continuellement mis à jour inventaire de certificats est la base. Chaque certificat, quel que soit le CA émetteur ou le lieu de déploiement, doit être découvert, catalogué et surveillé.

2

Politiques de certificats appliquées

Définir politiques de certificat qui codifient les exigences réglementaires : longueurs de clé minimales, algorithmes approuvés, durées de validité maximales, conventions de nommage et autorités de certification autorisées. Ensuite, appliquez-les automatiquement afin que les certificats non conformes ne puissent pas être émis.

3

Journaux d’audit & Rapports

Chaque opération de certificat (émission, renouvellement, révocation, modification de politique) doit être enregistrée avec des horodatages, des identités d'utilisateur et des chaînes d'approbation. Ces journaux d'audit sont ce que vous présentez aux régulateurs et aux auditeurs. Les tableaux de bord de reporting automatisés réduisent la charge de production de preuves à la demande.

4

Gestion automatisée du cycle de vie

Les processus manuels introduisent des erreurs humaines et créent des lacunes de conformité. L'automatisation de l'inscription, du renouvellement et du déploiement des certificats via des protocoles tels que ACME, SCEP et EST garantit que les certificats sont toujours à jour, correctement configurés et délivrés conformément à la politique.

5

Agilité cryptographique

Les réglementations évoluent, tout comme les normes cryptographiques. Un PKI prêt pour la conformité doit pouvoir migrer rapidement vers de nouveaux algorithmes (par exemple, la cryptographie post-quantique) sans perturber les opérations. Cela signifie éviter les choix d'algorithmes codés en dur et maintenir la flexibilité dans vos modèles de certificats.

Comment nous aidons

Evertrust & Conformité

Moteur de politique conscient de la réglementation: Evertrust CLM vous permet de définir des politiques de certificats associées à des réglementations spécifiques (eIDAS, NIS2, DORA, GDPR). Les demandes de certificats non conformes sont automatiquement bloquées avant l'émission.

Journaux d'audit complets: Chaque opération de certificat est enregistrée avec le contexte complet : qui l’a demandée, qui l’a approuvée, quelle politique a été appliquée et quand elle a été déployée. Exportez les rapports d’audit dans des formats prêts pour l’examen réglementaire.

Gestion Multi-CA: Gérez les certificats des AC publiques, des AC privées et des QTSP sur une plateforme unique. Evertrust PKI applique des politiques cohérentes quel que soit l'autorité émettrice, vous offrant une visibilité unifiée de la conformité.

Tableaux de bord de conformité: Tableaux de bord en temps réel affichent votre posture de conformité d'un coup d'œil : certificats approchant de l'expiration, violations de politique, algorithmes faibles en usage, et lacunes de couverture dans votre infrastructure.

Parler à un expert Découvrir CLM
Précédent
Élaborer une stratégie CLM
Tous les chapitres
Suivant
Choisir une plateforme CLM