Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 2 · Certificate Types Intermediate 10 min read

Certificats IoT et certificats d'équipements

Chaque équipement connecté constitue un vecteur d'attaque potentiel. Les certificats numériques donnent aux machines une identité cryptographique, leur permettant de s'authentifier, de chiffrer leurs communications et de prouver leur intégrité sans intervention humaine.

En bref

Type
Educational
Niveau
Intermediate
Chapitre
9 sur 25
Suivant
Comment fonctionne la PKI

Vue d'ensemble

Il y a désormais bien plus de machines connectées à internet que d'êtres humains. Capteurs industriels sur les chaînes de production, dispositifs médicaux dans les hôpitaux, compteurs intelligents sur les réseaux de services publics, véhicules connectés sur les routes, caméras de surveillance dans les villes. Le nombre d'équipements IoT dans le monde devrait dépasser les 30 milliards d'ici 2030. Chacun de ces équipements a besoin d'une identité de machine.

Sans identité vérifiable, un équipement ne peut prouver qu'il s'agit bien d'un matériel authentique provenant d'un fabricant légitime, que son firmware n'a pas été altéré ou que les données qu'il transmet sont dignes de confiance. Les mots de passe codés en dur et les clés d'API partagées, encore tristement courants dans l'IoT, sont trivialement extractibles, clonables ou cassables par force brute. Une fois qu'un équipement est compromis, les mêmes identifiants donnent souvent accès à l'ensemble de la flotte.

Les certificats numériques résolvent ce problème en donnant à chaque équipement une identité unique, liée cryptographiquement. Émis par une autorité de certification de confiance, un certificat d'équipement contient la clé publique de l'équipement et des informations d'identification (numéro de série, modèle, fabricant ou tout attribut qui le distingue). La clé privée correspondante est stockée dans l'élément sécurisé ou le TPM de l'équipement, garantissant qu'elle ne peut être ni extraite ni clonée.

Étapes clés

1

Provisionnement à la fabrication

Le moment idéal pour provisionner un certificat d'équipement est durant la fabrication, lorsque l'élément sécurisé ou le TPM de l'équipement génère une paire de clés et que la clé publique est envoyée à la CA pour certification. Ce certificat de naissance, parfois appelé Initial Device Identifier (IDevID), est intégré à l'équipement avant même son expédition. Il fournit une racine de confiance qui persiste pendant toute la durée de vie de l'équipement, où qu'il soit déployé et qui qu'en soit le propriétaire.

2

Renouvellement sur le terrain

Les certificats expirent, et les certificats d'équipements ne font pas exception. Un compteur intelligent installé pour un déploiement de 20 ans devra voir ses certificats opérationnels renouvelés plusieurs fois. Cela doit se faire automatiquement, sans qu'un technicien ait à se déplacer auprès de l'équipement. L'équipement utilise son certificat valide actuel (ou son IDevID comme identifiant d'amorçage) pour s'authentifier auprès de la CA et demander un nouveau certificat via des protocoles d'enrôlement tels qu'EST ou CMP.

3

Mise hors service

Lorsqu'un équipement atteint sa fin de vie, est revendu ou compromis, ses certificats doivent être révoqués pour empêcher toute utilisation ultérieure. Cela est particulièrement important dans les environnements industriels où des équipements mis hors service peuvent être revendus ou réaffectés. Un certificat révoqué garantit que l'équipement ne peut plus s'authentifier auprès d'aucun système vérifiant l'état de révocation, le déconnectant de fait du réseau de confiance.

Composants clés

EST (RFC 7030)

Enrollment over Secure Transport est le standard moderne pour l'enrôlement des certificats d'équipements. Il fonctionne sur HTTPS, prend en charge l'authentification par certificat et par identifiant/mot de passe pour la requête initiale, et gère nativement le ré-enrôlement. EST est le protocole recommandé pour les nouveaux déploiements et est largement pris en charge par les plateformes IoT et les solutions PKI modernes.

SCEP

Simple Certificate Enrollment Protocol est le cheval de trait de l'enrôlement des équipements depuis plus de deux décennies. Développé à l'origine par Cisco, il utilise HTTP et un mot de passe de défi pour l'authentification initiale. Bien qu'il commence à montrer son âge (il ne dispose pas de protection TLS native et offre des capacités de renouvellement limitées), SCEP reste essentiel car des millions d'équipements déployés et de plateformes MDM en dépendent.

CMP (RFC 4210)

Certificate Management Protocol est un protocole complet qui couvre l'intégralité du cycle de vie des certificats, de la demande initiale aux mises à jour, à la révocation et à la récupération de clé. Il est particulièrement répandu dans les environnements télécom et industriels. CMP prend en charge des topologies PKI complexes avec des autorités d'enregistrement et est imposé par plusieurs standards industriels, dont 3GPP pour les réseaux mobiles.

ACME

Bien que principalement connu pour les certificats de serveurs web (via Let's Encrypt), ACME est de plus en plus adopté pour l'enrôlement d'équipements dans les plateformes IoT cloud-natives. Sa conception orientée automatisation et le large écosystème d'outils qui le supporte le rendent attractif pour les environnements où les équipements sont gérés selon des pratiques DevOps modernes.

Comment nous aidons

Evertrust & Certificats IoT et certificats d'équipements

PKI à haut débit pour l'IoTEvertrust PKI est conçu pour absorber les volumes d'enrôlement qu'exige l'IoT. Que vous provisionniez des certificats lors d'une série de fabrication ou que vous renouveliez des millions de certificats d'équipements sur le terrain, la plateforme s'adapte à vos besoins en débit via EST, SCEP, CMP et ACME.

Inventaire complet des équipementsEvertrust CLM maintient un inventaire en temps réel de chaque certificat d'équipement de votre flotte. Les scans de découverte identifient des certificats dont vous ignoriez l'existence, tandis que les tableaux de bord affichent les échéances d'expiration, l'état de conformité et la répartition des algorithmes d'un seul coup d'œil.

Flexibilité de protocoleTous les équipements ne parlent pas le même protocole. Evertrust prend en charge EST, SCEP, CMP et ACME simultanément, de sorte que les équipements anciens et les plateformes modernes peuvent coexister sous une infrastructure unique de gestion des certificats, sans compromis.

Application des politiques à l'échelleDéfinissez des modèles de certificats qui imposent les algorithmes de clé, les durées de validité et les conventions de nommage propres à chaque type d'équipement. Evertrust garantit que chaque certificat émis respecte vos politiques d'entreprise et les standards industriels, des exigences d'architecture PKI aux mandats de l'IEC 62443.

Parler à un expert Découvrir PKI
Certificats d'authentification client Comment fonctionne la PKI