La PKI, clé de l'authentification

02/07/2007 à 14h02

L'explosion d'Internet met en lumière les problèmes de sécurité que la PKI peut combler. Une opportunité pour les intégrateurs conseil qui apportent l'expertise légale, et traitent la partie organisationnelle chez les clients.

' Perçu comme prometteur à terme, le marché de la PKI a mis du temps à s'imposer ', reconnaît Olivier Guilbert, PDG d'IdealX. La lourdeur des premières solutions apparues dans les années 2000 qui mettaient en jeu des technologies complexes et coûteuses sur la base de clients lourds a vite rebuté les clients et constitué un frein important au développement de la PKI. ' Aujourd'hui, le marché a considérablement évolué et nous assistons à la recrudescence d'installations de PKI dans les entreprises de taille moyenne ', se félicite Yannick Quenec'hdu, responsable du département sécurité au sein de Linagora. Devenue l'une des composantes essentielles de la majorité des projets de sécurité, la PKI se retrouve au centre des problématiques de gestion centralisée des identités et de l'authentification. La baisse drastique du prix des cartes à puce et des ' tokens ' d'authentification est pour beaucoup dans la démocratisation de la technologie. Les procédures liées à l'utilisation des PKI ont évolué dans le sens de la simplicité avec des outils d'exploitation et de gestion à la portée de tous ou presque. Par ailleurs, le temps est maintenant révolu où les clients demeuraient pieds et poings liés avec leur fournisseur de PKI. L'arrivée de solutions alternatives pour la plupart issues de l'Open Source a profondément modifié la donne en permettant la mise sur le marché de solutions économiques. Désormais au centre des grands projets de l'administration, la PKI joue un rôle moteur dans la dématérialisation des données et leur sécurisation. La télédéclaration fiscale sur le web en est le meilleur exemple. Celle-ci s'appuie sur un certificat fourni par l'administration qui sert à identifier le déclarant de manière unique. Les champs d'application de la PKI se multiplient à l'infini qu'il s'agisse d'authentification forte, de chiffrement de messagerie, de signature électronique, de sécurisation des RPV SSL, des réseaux et voire même chiffrement pour les disques durs. Toutefois, l'emploi de périphériques complémentaires comme les cartes à puce ou les tokens peut apporter un confort supplémentaire aux utilisateurs dans le cadre d'applications spécifiques. À l'inverse de nombreux marchés, celui de la PKI se résume à une poignée d'éditeurs pour la plupart américains parmi lesquels figurent Microsoft, Cybertrust, nTrust et VeriSign. On citera également la société Keynectis qui possède à fois le statut d'opérateur de certification, au même titre qu'Atos et CertEurop mais se différencie par son statut d'éditeur de PKI.

Les sociétés du Libre remportent un franc succès

La surprise vient des sociétés du Libre comme IdealX et Linagora qui ont acquis une légitimité sur le sujet de la PKI et emportent de nombreux projets en France et à l'international. Toutefois, la simplicité apparente de la PKI dissimule de nombreux écueils. ' Aujourd'hui la difficulté ne réside plus dans la technique, mais bien dans la partie organisationnelle ', insiste Pascal Colin, DG de Keynectis qui souligne l'importance du conseil apporté au client, notamment dans le domaine légal. Pour l'instant, la plupart des projets concernent les grandes organisations comme les banques, l'administration ou l'industrie et sont conduits par des intégrateurs spécialisés. Autour d'eux gravite tout un écosystème de produits compagnons qui viennent renforcer la sécurité d'ensemble des solutions. Reste que l'interopérabilité entre PKI est loin d'être acquise d'une contrée à l'autre. Il faut le plus souvent recourir à une autorité de certification locale et à un processus de certifications croisées. Les outils de PKI demeurent attractifs de par les possibilités offertes. Ils nécessitent toutefois une part importante de services et trouvent leur légitimité dans les solutions de gestion d'identité et de dématérialisation des données. Bien que très structurants pour l'entreprise qui choisit la voie de la PKI, les projets peuvent être menés progressivement avec l'appui d'intégrateurs spécialistes de l'organisationnel. Le coût modique et la durée d'implantation raisonnable laissent présager la démocratisation de la technologie auprès des entreprises de taille moyenne.

L'offre présentée dans ce tableau n'est pas exhaustive.

L'avis d'un revendeur : Xavier Fauquet (Devoteam) : ' au-delà de la technique, les projets exigent de l'organisation '

Qui sont les clients ?
Avant tout les grands groupes qui s'intéressent à la PKI pour mettre en place des services de sécurité sur un certain nombre d'éléments relevant de l'architecture, avec en toile de fond la gestion des identités. Toutes ces grandes organisations souhaitent créer pour leurs besoins propres une souche de sécurité avec des clés qui pourront être utilisées au sein de divers projets.

Que demandent les sociétés ?
Nous constatons que la plupart des projets naissent d'un besoin au sein de l'entreprise. Beaucoup de clients débutent en mettant en place un premier service avant d'étendre la démarche à de nouveaux domaines.

Quels sont les écueils à éviter ?
Les clients s'arrêtent trop souvent sur l'approche technique de la PKI et oublient qu'il y a une partie organisationnelle importante à gérer.

La mise en place d'une PKI est-elle complexe ?
Non sur le plan fonctionnel. Toutefois, il y a des exigences techniques à respecter.

Devoteam

Alain Lavenir

Votre opinion