Découverte et inventaire des certificats

On ne peut pas gérer ce que l'on ne voit pas. La découverte des certificats constitue la première étape critique pour reprendre le contrôle de l'infrastructure de confiance numérique de votre organisation, en identifiant chaque certificat dans chaque environnement avant que l'un d'eux ne provoque une interruption.

Vue d'ensemble

La plupart des organisations sous-estiment largement le nombre de certificats présents dans leur environnement. Une entreprise qui pense gérer quelques centaines de certificats en découvre souvent plusieurs milliers une fois un scan rigoureux effectué. L'écart entre le nombre perçu et le nombre réel de certificats constitue l'un des plus grands risques de la gestion de la confiance numérique.

Les certificats sont partout : sur les serveurs web, les load balancers, les CDN, les équipements IoT, les API internes, les clusters Kubernetes, les services cloud et les postes de travail des développeurs. Ils sont émis par des CA publiques, des CA internes, des fournisseurs cloud, et parfois par des équipes individuelles à partir de certificats auto-signés sans aucune supervision. Sans processus de découverte systématique, ces certificats restent invisibles jusqu'à ce qu'ils expirent et que quelque chose se casse.

La découverte des certificats consiste à identifier chaque certificat dans votre infrastructure, quel que soit son émetteur, son emplacement ou son demandeur. Combinée à un inventaire bien structuré, elle offre aux équipes sécurité et opérations la visibilité dont elles ont besoin pour prévenir les interruptions, appliquer les politiques et se préparer aux évolutions à venir, comme la réduction de la durée de vie des certificats.

Étapes clés

Scan réseau

L'approche la plus courante. Un scanner sonde des plages d'adresses IP et des ports (généralement 443, 8443 et d'autres ports compatibles TLS) afin d'initier des handshakes TLS et d'extraire les certificats présentés. Cela permet de trouver tout certificat qui dessert activement du trafic sur votre réseau, y compris ceux installés sur des équipements ou des services que vous n'avez pas documentés.

Intégration aux CA

La connexion directe à vos autorités de certification (publiques comme internes) fournit un enregistrement complet de tous les certificats qu'elles ont émis. Cela permet de capturer les certificats qui ne sont pas encore activement déployés, ainsi que ceux installés sur des systèmes inaccessibles aux scanners réseau.

Découverte par agent

Des agents légers installés sur les serveurs et les endpoints peuvent scanner les magasins de certificats locaux, les keystores (Java, Windows, macOS) et les systèmes de fichiers. Les agents sont particulièrement utiles pour trouver des certificats non exposés au réseau, comme les certificats d'authentification client, les certificats de services internes et ceux stockés dans des keystores locaux.

Intégration aux API cloud

Les fournisseurs cloud comme AWS, Azure et Google Cloud disposent chacun de leurs propres services de certificats (ACM, Key Vault, Certificate Manager). La découverte par API interroge ces services directement pour énumérer tous les certificats gérés dans vos comptes cloud, y compris ceux attachés aux load balancers, aux CDN et aux passerelles API.

Surveillance des journaux CT

Les journaux Certificate Transparency sont des registres publics, en mode append-only, de chaque certificat publiquement reconnu comme fiable. Surveiller les journaux CT pour vos domaines permet de révéler des certificats que vous n'avez peut-être pas demandés, qu'ils aient été émis par une équipe dont vous ignoriez l'existence ou, dans de rares cas, par une CA qui n'aurait jamais dû les émettre.

Composants clés

Propriétaire du certificat

La personne ou l'équipe responsable du certificat. Lorsqu'un renouvellement est dû ou qu'une vulnérabilité est découverte, il faut savoir immédiatement qui contacter.

Emplacement et environnement

L'endroit où le certificat est déployé : nom d'hôte du serveur, adresse IP, compte cloud, namespace Kubernetes ou nom d'application. Un même certificat peut apparaître à plusieurs endroits.

CA émettrice

L'autorité de certification qui a émis le certificat. Cette information est essentielle pour les audits, pour répondre aux compromissions de CA et pour s'assurer que tous les certificats proviennent d'émetteurs approuvés.

Date d'expiration

La donnée la plus critique. Votre inventaire doit permettre le tri, le filtrage et les alertes en fonction de l'expiration, afin d'éviter les trous dans le cycle de vie.

Algorithme et robustesse de clé

RSA 2048, RSA 4096, ECDSA P-256, ou autres. Le suivi des algorithmes est essentiel pour la conformité et pour préparer les migrations vers des standards cryptographiques plus robustes.

Type et usage du certificat

TLS, authentification client, signature de code ou e-mail. Le type détermine l'urgence du renouvellement, les exigences de politique et le workflow de gestion approprié.

Evertrust & Découverte et inventaire des certificats

Découverte multi-sources — Evertrust CLM combine scan réseau, connecteurs CA, collecte par agent et intégrations aux API cloud dans un moteur de découverte unique. Chaque certificat, quelle que soit son origine, se retrouve dans un inventaire unifié.

Surveillance continue — La découverte n'est pas un événement ponctuel. Evertrust effectue des scans en continu pour détecter les nouveaux certificats dès leur apparition et signaler automatiquement ceux qui ont été retirés.

Déduplication intelligente — Lorsqu'un même certificat est trouvé par plusieurs méthodes de découverte, Evertrust corrèle les résultats en un seul enregistrement enrichi de l'ensemble des emplacements de déploiement et des métadonnées.

Tableaux de bord actionnables — Vues en temps réel de l'ensemble de votre parc de certificats avec des filtres par expiration, CA, algorithme, environnement et statut de conformité. Repérez les risques avant qu'ils ne deviennent des incidents.

PKI

CLM

Cas d'usage

Secteurs

Conformité

Apprendre

Outils & Analyses

Événements & Communauté