Akamai a récemment mis en avant la manière dont les organisations peuvent renforcer la sécurité de la couche transport “TLS” (Transport Layer Security) grâce à une gestion fiable de la posture des certificats, en soulignant le besoin crucial de visibilité sur ces derniers ainsi que la détection continue des chiffrements faibles, des risques post-quantiques et des émissions non autorisées.
Ces recommandations se révèlent particulièrement opportunes au regard des récents incidents de sécurité liés aux certificats. Le secteur a en effet été témoin de plusieurs cas préoccupants, mettant en lumière les vulnérabilités inhérentes à l’écosystème actuel des autorités de certification (AC) et l’importance d’une surveillance approfondie.
Des incidents récents dans le monde réel qui illustrent le risque
Le 3 septembre 2025, Cloudflare a révélé que Fina CA avait émis 12 certificats TLS non autorisés pour son adresse IP de résolution DNS publique 1.1.1.1 entre février 2024 et août 2025, le tout sans l’autorisation ou la connaissance de Cloudflare.
Bien que Fina CA ait affirmé que ces certificats avaient été émis à des « fins de test interne », l’incident a révélé des lacunes troublantes dans les processus de validation du contrôle de domaine avec des certificats non autorisés ; ceux-ci incluent non seulement l’adresse IP de Cloudflare mais également les noms de domaine non enregistrés, qui constituent une violation flagrante des exigences de base du Certification Authority Browser Forum.
Ce qui a aggravé la situation, c’est que ces certificats sont restés indétectés pendant des mois, en raison de la dépendance de Cloudflare aux examens manuels des journaux de transparence des certificats (Certificate Transparency, ou CT).
Ce processus a généré des retards et du bruit, et a manqué précisément les signaux que la surveillance automatisée est censée détecter.
En avril 2025, un autre échec de validation s’est produit : le processus de vérification de domaine défectueux de SSL.com a conduit à l’émission de certificats non autorisés pour des domaines légitimes.
Bien que cet incident soit resté relativement limité par rapport à des failles de sécurité plus importantes, il rappelle une fois de plus que même des erreurs de validation d’autorité de certification apparemment mineures peuvent engendrer d’importantes failles de sécurité.
Parallèlement, l’émission par erreur de plus de 26 000 certificats Extended Validation par Entrust a provoqué des perturbations généralisées dans l’ensemble du secteur.
Face au retard pris dans les efforts de correction, Google a réagi en annonçant que Chrome ne ferait plus confiance à ces certificats, obligeant les organisations concernées à procéder à des cycles de remplacement de certificats d’urgence afin de préserver la confiance des utilisateurs et la disponibilité du service.
L’impératif stratégique de la gestion de la posture des certificats
Ces incidents renforcent l’idée que la gestion proactive de la posture des certificats est essentielle plutôt qu’optionnelle pour les organisations qui gèrent des infrastructures critiques.
La confiance numérique repose entièrement sur les certificats TLS pour vérifier les identités, chiffrer les données en transit et préserver l’intégrité de chaque interaction web.
L’absence de gestion ou de surveillance des certificats peut entraîner l’usurpation d’identité, le déchiffrement de données confidentielles, des interruptions de service imprévues, des non-conformités réglementaires et une atteinte à la réputation.
Comme le démontrent les incidents réels, la dépendance aux autorités de certification et aux fournisseurs de navigateurs ne suffit plus.
Les organisations doivent assumer la responsabilité d’une surveillance continue de leur environnement de certification.
Les risques de négliger la posture du certificat
Les organisations sans surveillance proactive de la posture des certificats peuvent rencontrer plusieurs problèmes :
- Usurpation d’identité et attaques de type « machine-in-the-middle » : des certificats mal émis ou frauduleux peuvent être utilisés pour présenter des points de terminaison malveillants comme des services de confiance.
- Perturbations opérationnelles : les certificats expirés ou révoqués peuvent entraîner des pannes de site Web ou une dégradation du service.
- Défauts de conformité : des réglementations telles que le Règlement général sur la protection des données (RGPD) , la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et d’autres exigent une hygiène cryptographique rigoureuse. Les certificats non conformes ou non autorisés peuvent entraîner des violations.
- Atteinte à la confiance dans la marque : un incident de certificat très médiatisé mine la confiance des clients et invite à un examen minutieux.
Comment Akamai DNS Posture Management comble les lacunes
Et si la sécurité des certificats était aussi fiable qu’essentielle ?
C’est la réalité qu’offre Akamai DNS Posture Management en corrigeant directement les vulnérabilités révélées par ces récents incidents de délivrance de certificats erronés.
Akamai Guardicore a développé une approche globale qui élimine les lacunes de visibilité et les processus manuels qui ont permis à ces failles de sécurité de persister sans être détectées.
La solution d’Akamai Guardicore repose sur trois principes fondamentaux conçus pour transformer la gestion de la sécurité des certificats par les organisations :
- Visibilité
- Observabilité
- Capacité d’action
Visibilité : découverte complète des certificats sur l’ensemble de votre infrastructure
Les failles de sécurité des certificats commencent souvent par un problème simple : les organisations ignorent quels certificats existent dans leur infrastructure. L’ incident Cloudflare le démontre parfaitement : des équipes de sécurité sophistiquées peuvent encore passer à côté d’actifs critiques en s’appuyant sur une vue fragmentée.
Les capacités de découverte d’Akamai garantissent une couverture complète, notamment :
- L’Inventaire des certificats de bout en bout : découvrez les certificats de votre environnement, y compris les certificats basés sur le domaine et sur l’IP, tels que ceux qui ont échappé à la détection dans le cas de Cloudflare, qu’ils soient gérés en interne, par des fournisseurs cloud ou par des services tiers.
- La Supervision intégrée du DNS et des certificats : éliminez les silos qui séparent traditionnellement la gestion du DNS et des certificats, en offrant une vue unifiée de votre infrastructure de confiance et des relations entre ces composants de sécurité critiques
- La Cartographie des actifs multiplateformes : cartographiez l’intégralité de votre écosystème de certificats, des autorités de certification d’entreprise aux autorités de certification publiques, quelle que soit l’origine des certificats
Observabilité : surveillance intelligente qui élimine les délais de détection
La découverte seule ne suffit pas : la clé réside dans une surveillance continue et intelligente qui détecte les problèmes avant qu’ils ne se transforment en incidents.
Les retards de détection de plusieurs mois observés récemment démontrent pourquoi les approches de surveillance manuelle sont fondamentalement inefficaces.
La surveillance intelligente comprend :
- L’analyse CT continue : éliminez les révisions manuelles des journaux CT qui ont fait échouer plusieurs organisations en déployant des systèmes automatisés qui surveillent l’émission de certificats dans tous les principaux journaux de transparence en temps réel.
- L’intelligence avancée des CA : déployez un profilage sophistiqué qui évalue les modèles de comportement des CA pour identifier les problèmes potentiellement problématiques avant qu’ils n’affectent votre posture de sécurité
- La détection automatisée des anomalies : identifiez les certificats qui s’écartent des modèles établis, des exigences de validation ou des politiques organisationnelles, transformant les délais de détection de plusieurs mois en minutes.
- L’évaluation holistique des risques : évaluez votre environnement de certificats par rapport à de multiples facteurs de risque, de la surveillance d’expiration de base aux exigences avancées de préparation et de conformité en matière de cryptographie post-quantique
Action : Réponse pilotée par des experts avec une amélioration continue
L’absence de renseignements concrets rend les organisations vulnérables.
Les entreprises touchées par les incidents récents disposaient souvent des données nécessaires pour réagir, mais manquaient simplement de capacité opérationnelle pour agir efficacement.
La capacité d’agir nécessite des :
- Services gérés par des experts : accédez aux ressources dédiées d’Akamai, dont la plupart des organisations manquent, pour une gestion complète des certificats
- Processus de correction structurés : lorsque des menaces de certificat sont identifiées, recevez des conseils détaillés et un soutien opérationnel pour traiter rapidement les vulnérabilités, avec une priorisation basée sur l’impact commercial et le potentiel d’exploitation
- Capacités d’intégration d’entreprise : connectez la “Certificate Intelligence” à l’infrastructure de sécurité existante via des API complètes et des intégrations avec la gestion des informations et des événements de sécurité (SIEM), l’orchestration, l’automatisation et la réponse de sécurité (SOAR) et d’autres plates-formes de sécurité d’entreprise
- Application continue de la gouvernance : mettez en œuvre une validation automatisée des politiques et un contrôle de conformité qui garantissent que les normes de sécurité des certificats sont maintenues de manière cohérente sur l’ensemble de votre infrastructure
Cette approche intégrée crée un cycle d’auto-renforcement où chaque composant renforce les autres.
Il en résulte un programme de sécurité des certificats qui évolue et s’améliore au fil du temps, garantissant que les échecs de détection et les expositions prolongées constatés par Akamai deviennent impossibles dans votre environnement.
Agissez avec confiance et rapidité
Les défaillances de certification peuvent survenir n’importe où.
Le nombre croissant de certificats émis de manière erronée, qui affectent des services de premier plan, renforce cette idée.
Attendre qu’une autorité de certification ou un navigateur détecte le problème, c’est déjà trop tard.
Les dirigeants qui adoptent la gestion de la posture des certificats bénéficient de la visibilité opérationnelle et des contrôles nécessaires pour préserver la confiance numérique, protéger les données clients et réduire les risques réglementaires et de réputation.
Grâce à la gestion de la posture DNS d’Akamai , les organisations peuvent agir avec précision, confiance et rapidité.
Pour en savoir plus concernant NOS SOLUTIONS, n’hésitez pas à nous contacter ou demander un devis gratuitement
Source : Akamai Guardicore
