Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 6 · Strategy & Compliance Advanced 12 min read

Construire une stratégie CLM

La gestion du cycle de vie des certificats n'est pas seulement un outil que l'on déploie. C'est une discipline qui exige une responsabilité claire, des politiques standardisées, des résultats mesurables et l'adhésion de la direction. Voici comment bâtir une stratégie CLM de A à Z.

En bref

Type
Strategic
Niveau
Advanced
Chapitre
23 sur 25
Suivant
PKI et conformité réglementaire

Vue d'ensemble

La plupart des organisations entament leur parcours de gestion des certificats de manière réactive. Un certificat expire, un service tombe, et quelqu'un se précipite pour corriger le problème. Un fichier Excel est créé. Un rappel est ajouté au calendrier. L'incendie immédiat est éteint, mais le problème sous-jacent demeure : il n'y a pas de stratégie, seulement de la lutte contre le feu.

Une véritable stratégie CLM traite les certificats comme des actifs d'infrastructure critiques qui exigent la même rigueur que le patching des serveurs, la gestion des accès ou l'analyse de vulnérabilités. Elle définit qui est responsable des certificats, quelles politiques régissent leur émission, comment ils sont découverts et suivis, à quel moment ils doivent être renouvelés et à quoi ressemble le succès.

Ce chapitre déroule un cadre en cinq étapes pour construire une stratégie CLM à partir de zéro. Que vous gériez 500 certificats ou 500 000, les principes sont les mêmes. La différence se situe dans l'échelle d'automatisation et de gouvernance dont vous aurez besoin. À la fin, vous saurez également comment construire le business case qui sécurise le sponsoring et le budget de la direction.

Composants clés

CA approuvées

Définissez quelles autorités de certification sont autorisées pour chaque cas d'usage. Le TLS public peut provenir d'une CA commerciale, tandis que les services internes utilisent votre CA privée. Interdisez le recours à des CA non approuvées pour empêcher la prolifération de certificats clandestins.

Algorithmes et longueurs de clé

Spécifiez l'algorithme et la longueur de clé minimaux acceptables. Pour RSA, 2048 bits constituent le plancher actuel, 4096 étant recommandés pour les applications sensibles. Pour ECDSA, P-256 ou P-384 sont les standards. Interdisez explicitement les algorithmes obsolètes comme SHA-1 ou RSA-1024.

Durées de validité

Fixez des durées de validité maximales par type de certificat. Les certificats TLS publics suivent les règles du CA/Browser Forum (actuellement 398 jours, descendant à 47 jours). Les certificats internes peuvent avoir des limites différentes. Définissez des fenêtres de renouvellement (par exemple, renouveler 30 jours avant expiration) pour garantir un remplacement en temps voulu.

Conventions de nommage

Standardisez la manière dont les sujets, SAN et champs organisationnels sont renseignés. Un nommage cohérent rend les certificats plus faciles à rechercher, filtrer et auditer. Définissez des règles d'utilisation des wildcards et restreignez-les lorsqu'ils représentent un risque inutile.

Certificats arrivant à expiration

Suivez le nombre de certificats expirant à 30, 14 et 7 jours. Un programme sain doit avoir un nombre proche de zéro de certificats dans la fenêtre des 7 jours, car les renouvellements interviennent automatiquement bien avant cette échéance. Un arriéré croissant signale des lacunes dans l'automatisation.

Mean Time to Renew

Mesurez le temps moyen entre un déclencheur de renouvellement et le déploiement réussi d'un certificat. Pour des workflows entièrement automatisés, cela doit se compter en minutes. Pour des processus manuels, cela peut prendre des jours ou des semaines. Cette métrique révèle directement votre maturité en matière d'automatisation.

Taux de conformité aux politiques

Quel pourcentage de certificats respecte les politiques que vous avez définies (CA approuvées, longueurs de clé minimales, nommage correct, SAN valides) ? Les certificats non conformes représentent un risque et doivent être signalés pour remédiation. Visez 95 % ou plus.

Couverture d'automatisation

Quel pourcentage de votre parc de certificats est géré par des workflows automatisés ? C'est sans doute la métrique la plus importante à long terme. Avec l'arrivée de durées de vie de 47 jours, l'objectif est une couverture d'automatisation de 100 % pour tous les certificats publiquement reconnus.

Pannes causées par des certificats

Suivez le nombre et la gravité des interruptions liées aux certificats par trimestre. C'est la métrique qui intéresse le plus la direction. Un programme CLM bien mené doit faire tomber ce chiffre à zéro.

Certificats sans propriétaire

Combien de certificats de votre inventaire n'ont pas de propriétaire désigné ? Les certificats sans propriétaire sont les plus susceptibles d'expirer sans que personne ne s'en aperçoive. Cette métrique doit tendre vers zéro à mesure que votre modèle de gouvernance gagne en maturité.

Comment nous aidons

Evertrust & Construire une stratégie CLM

De la découverte à l'inventaire en quelques heuresEvertrust CLM offre une découverte sans agent et par agent qui couvre l'ensemble de votre infrastructure, des endpoints réseau aux services cloud en passant par les CT logs. Vous passez d'une visibilité nulle à un inventaire complet et classifié en un seul déploiement.

Moteur de politique intégréDéfinissez vos politiques de certificats une seule fois et appliquez-les automatiquement. Evertrust signale les certificats non conformes en temps réel, bloque les émissions qui violent la politique et génère des rapports de conformité prêts pour l'audit.

Automatisation multi-protocoleEvertrust PKI prend en charge ACME, EST, SCEP et CMP, couvrant chaque scénario d'automatisation, des serveurs web aux équipements IoT. Couplez-le à Evertrust CLM pour une automatisation de bout en bout du cycle de vie, sur n'importe quelle CA.

Tableaux de bord et KPI prêts à l'emploiSuivez les certificats arrivant à expiration, la conformité aux politiques, la couverture d'automatisation et les lacunes de responsabilité dès le premier jour. Exportez des rapports pour les revues de direction et la préparation des audits, sans développement d'outils spécifiques.

Parler à un expert Découvrir CLM
Raccourcissement de la durée de vie des certificats PKI et conformité réglementaire