La pression pour agir est là
Magazine E3 : Dans le contexte de la réduction des certificats, on parle à plusieurs reprises d'un „choc de la durée d'utilisation SSL“. Ce drame est-il justifié ?
Marcus Bogenstätter, Empirius : Ce drame est tout à fait justifié, car le 15 mars de cette année, la durée de validité des nouveaux certificats a été réduite de 398 à 200 jours. L'année prochaine, elle sera de 100 jours et le 15 mars 2029, elle ne sera plus que de 47 jours. Ces réductions massives ont été annoncées unilatéralement par les fabricants de navigateurs comme Apple et Google et les autorités de certification, c'est-à-dire les "Certificate Authorities". Unilatéralement parce que l'industrie et d'autres n'ont pas été impliquées. Il n'y a pas de doute : cela a ou aura des conséquences massives. Y compris d'éventuelles pertes économiques. Si l'on en croit l'étude de Ponemon et Digicert, plus de 60% des entreprises sont déjà touchées par des dommages dus à l'expiration des certificats. D'ici 2029, le risque d'erreur augmentera de manière exponentielle en l'absence d'automatisation.
E3 : De quels dommages économiques parlons-nous ici ? Pouvez-vous citer des exemples ?
Bogenstätter : La continuité de l'activité est en jeu en raison de l'expiration des certificats. Car sans les renouvellements de certificats nécessaires, les systèmes informatiques perdent tout simplement la connexion avec le site distant, comme si l'on débranchait le câble réseau ou que l'on éteignait le WLAN. Les applications et appareils IoT dont les certificats ont expiré ne fonctionnent plus, tout comme les applications d'intelligence artificielle. Les chaînes de production et de logistique peuvent tomber dans un piège à certificats, tout comme les applications d'assurance et bancaires ainsi que les applications fiscales. Pratiquement tous les systèmes fonctionnant ou connectés via le réseau public ou l'Internet peuvent être affectés par les conséquences du raccourcissement des certificats SSL.
E3 : Et les utilisateurs de SAP, doivent-ils aussi réagir ?
Bogenstätter : Oui, sans aucun doute. Les paysages SAP sont aujourd'hui hautement interconnectés - il suffit de penser aux systèmes ERP distribués, aux processus interentreprises, aux applications SAP en nuage, aux applications RH ou aux interfaces web. Toutes ces connexions reposent sur des positions de confiance grâce à des certificats. Si un maillon de la chaîne se rompt, le processus commercial s'arrête.
E3 : Pensez-vous que les utilisateurs de SAP ont pris conscience de la nécessité d'agir en matière de raccourcissement des certificats ?
Bogenstätter : La prise de conscience est croissante, mais elle n'est pas encore généralisée. Les grands fournisseurs de services, qui hébergent parfois plus de 10.000 systèmes SAP, misent déjà sur nos solutions d'automatisation. Chez les clients de taille moyenne, nous constatons toutefois encore souvent une attitude attentiste. Beaucoup d'entre eux sous-estiment la charge de travail que représente l'échange manuel de certificats huit fois par an au lieu d'une fois par an.
E3 : Pourquoi l'automatisation joue-t-elle un rôle important dans le contexte du raccourcissement des certificats ?
Bogenstätter : À ces fréquences, la gestion manuelle représente un risque incalculable en termes de conformité et d'exploitation. L'Automated Certificate Management Environment, ou ACME, s'est imposé comme un quasi-standard d'automatisation, surtout en dehors du monde SAP. Grâce à notre application Epos SAP Certificate Management, nous intégrons ce protocole directement dans le monde SAP. Il s'agit de reproduire l'ensemble du cycle de vie - de la demande à l'installation dans le système - sans intervention humaine.
E3 : Quelle est la particularité de cette solution ?
Bogenstätter : Tout d'abord, elle tient compte des spécificités de SAP, à savoir les conteneurs de certificats PSE profondément enracinés et les différentes applications telles que S/4, les piles Java, le Web Dispatcher, la base de données Hana, le Cloud Connector et autres. Elle répond également aux critères d'une solution de gestion du cycle de vie des certificats sûre et complète. Pour cela, elle comprend un reporting puissant avec une représentation complète et claire de tous les certificats. L'interface web moderne présente tout de manière claire dans une sorte de système de feux de signalisation avec „statut rouge pour les renouvellements de certificats“ et „vert pour tout ok“ et propose des workflows adaptés. Et très important : la solution est prête à être mise en œuvre !
“Beaucoup de gens sous-estiment la charge de travail que représente l'échange manuel de certificats huit fois par an au lieu d'une fois par an.ss”.”
Marcus Bogenstätter,
Directeur de la technologie (CTO),
Empirius
E3 : Vous avez mentionné les fichiers PSE. Pourquoi sont-ils si critiques ?
Bogenstätter : Dans un seul système SAP, il existe souvent une dizaine de fichiers d'environnement de sécurité personnel (PSE), un pour chaque application. Ces conteneurs PSE contiennent à leur tour plusieurs certificats. Et si l'on gère des paysages SAP avec 100 systèmes ou plus, le tout se multiplie très, très rapidement en un flot de certificats impossible à gérer manuellement. Toutes nos applications d'automatisation Epos sont en principe conçues pour être utilisées par des utilisateurs SAP de taille moyenne et par des utilisateurs SAP de grande taille.
E3 : Que devraient faire les utilisateurs pour maîtriser la question du raccourcissement des certificats ?
Bogenstätter : Vous ne pourrez pas éviter de recourir à des solutions automatisées comme ACME et à une solution de gestion du cycle de vie des certificats. D'où la recommandation de se pencher rapidement sur la problématique du raccourcissement des certificats et d'évaluer des solutions comme Epos par exemple. Il est en outre important que les utilisateurs se retrouvent dans les solutions. En tout cas, nous demandons presque toujours aux utilisateurs ce qui est important pour eux et nous prenons volontiers en compte les suggestions ou les souhaits des clients. C'est ce qui s'est passé pour notre nouvelle version de l'application Epos SAP Certification Management. Nous avons toujours bien fonctionné avec cette méthode. Ainsi, ce qui est adapté aux besoins est vraiment adapté aux besoins. (rk, source : Empirius)
Délai de 47 jours
Une sorte de „déphasage“ doit s'accompagner d'une nouvelle ère pour plus de confiance et de sécurité dans les applications web. Dans ce contexte, il existe un calendrier clair pour les certificats SSL/TLS avec les raccourcis suivants, et ce en trois grandes vagues :
- depuis le 3/2026 : Réduction à 200 jours maximum,
- 3/2027 : réduction à 100 jours maximum,
- 3/2029 : limitation définitive à 47 jours.
Apple, Google et le CA/Browser-Forum sont considérés comme les moteurs de cette évolution. Selon Digicert, les raccourcissements s'accompagnent d'implications, à savoir : Une gestion manuelle devient très coûteuse et sujette aux erreurs. La consigne est d'utiliser une automatisation continue, dite „sans contact“, comme exigence minimale. L'objectif est de créer un écosystème plus agile et plus sûr.
En résumé, il s'agit de certificats à durée de vie plus courte afin d'obtenir une sécurité et une confiance accrues. Les certificats compromis doivent perdre leur validité plus rapidement. En outre, la gestion manuelle doit appartenir au passé ; à la place, il y aura des processus automatisés "zero touch".
Avantages et inconvénients de la réduction de la durée des certificats
Les experts en analyse considèrent comme un point positif le fait que les dommages potentiels sont minimisés, car les certificats volés perdent par exemple leur effet en quelques semaines, tout en limitant la fenêtre de temps pour les attaques.
Positif également par des réductions de certificats : Augmentation d'une sorte de crypto-agilité. Ainsi, il est possible pour le web mondial de passer à des algorithmes à sécurité quantique en moins de 60 jours. Et il y a également des avantages en termes de protection des données, car les contrôles de révocation en temps réel utilisés jusqu'à présent permettent d'effectuer un suivi, selon les analystes.
Du côté des inconvénients, Digicert évoque la possibilité d'une erreur humaine accrue. En passant d'un à huit changements/renouvellements par an, le risque manuel et la génération d'erreurs manuelles sont multipliés par huit. Le problème est également que tous les pare-feux matériels et les équilibreurs de charge n'offrent pas, loin s'en faut, un support ACME natif. De plus, il est nécessaire de changer de mentalité : le succès dépend désormais d'un code et d'API robustes - et il faut dire adieu aux tableurs ou aux calendriers gérés manuellement.
Conclusion : Le raccourcissement des certificats favorise une plus grande sécurité globale du web/de l'informatique, mais aussi un plus grand risque individuel de temps d'arrêt auto-infligé.
Continuer vers l'inscription du partenaire :
DE 
EN 
ES 
FR 
