Certificat SSL : sécurisez vos échanges de données

30.06.2021
Équivalent d'une carte d'identité numérique, le certificat SSL (Secure Socket Layer) ou TLS (Transport Layer Security) sécurise la connexion entre le visiteur et le serveur d'un site internet. Définition, fonctionnement et utilité, découvrez en quoi il est indispensable au fonctionnement de votre activité.
Veille

Certificat SSL : qu'est-ce que c'est ?

Un certificat SSL est un fichier liant des clés de cryptographie à un fichier de données contenant les informations d’une organisation, son nom, son lieu ou encore son nom de domaine. Le plus communément, il est installé sur un serveur web et représenté par un cadenas présent à côté de l’adresse du site que vous consultez. 

Grâce à lui, nous pouvons chiffrer les données échangées entre le visiteur du site internet et le serveur web tels que le nom d’utilisateur, le mot de passe, les documents qui y sont stockés ou encore les données bancaires lors d’un paiement.

Notre expertise Cybersécurité

Il existe trois grandes catégories de certificats SSL :

  • Les certificats de validation de domaine (DV) : ils sont souvent associés à une utilisation de sites web personnels. Pour les obtenir, vous devez simplement prouver que vous êtes le titulaire du domaine.
  • Les certificats de validation d’organisation (OV) : utilisés par les entreprises afin de certifier qu'un site internet leur appartient. Vous devez démontrer que vous êtes titulaire du compte et propriétaire de la société, en fournissant un extrait Kbis par exemple.
  • Les certificats de validation étendue (EV) : ce type de certificat est surtout utilisé par les grands groupes, notamment dans le e-commerce et les services financiers. Ils servent à prouver la domiciliation de leur entreprise.

Comment ça marche ?

Illustrons cela avec Alice et Bob :

Alice souhaite envoyer un message à Bob sans qu'aucune autre personne ne puisse le lire. Pour cela, Alice chiffre son message grâce à la clé publique de Bob.

Cette clé étant publique, Alice la récupère sans problème. Lorsqu'elle chiffre son message, seule la clé privée de Bob peut le déchiffrer. Imaginons qu'un pirate, Mallory, tente d'intercepter le message, le chiffrement de ce dernier l'empêche de pouvoir le lire, d'en modifier le contenu ou de le supprimer.

Il s'agit d'une cryptographie asymétrique, car le chiffrement et le déchiffrement s’effectuent à partir de deux clés distinctes.

  • La « clé publique », disponible pour tout le monde, servant au chiffrement.
  • La « clé privée », connue uniquement du serveur web utilisée pour réaliser le déchiffrement.


Implémentation

Afin de mettre en place ce fonctionnement, un serveur Web fonctionnel est nécessaire sur lequel nous concevons la clé de chiffrement privée. Elle doit ensuite être stockée dans un endroit sécurisé et inaccessible depuis Internet. Ensuite, nous générons une demande de certificat pour notre site internet, CSR (Certificate Signing Request), en prouvant notre identité.


Exemple :

Nous voulons un certificat pour www.toto.fr. Mon entreprise s’appelle Toto, elle est domiciliée en France, dans le Loiret, Région Centre. La clé publique de votre certificat y sera également présente.

Notre demande est envoyée à un organisme de confiance générant les certificats. Il en existe plusieurs tels que GlobalSign, Digicert ou encore OVH. Ces organismes se chargent de vérifier vos droits de réalisation de demande.

Lorsqu'elle est validée, nous obtenons un document signé prouvant que notre certificat et la clé publique sont conformes avec le nom de domaine www.toto.fr


Il ne reste plus qu'à l'installer sur notre site web. Chaque fois qu’un visiteur se rend sur notre site, il demande le certificat SSL. Ainsi, son navigateur sait qu'il peut utiliser la clé publique présentée afin de chiffrer les données qu'il souhaite faire transiter. Une fois les données chiffrées, seul votre serveur peut les décoder.

Pourquoi utiliser un certificat SSL ?

Avantages

Utiliser un certificat SSL permet de garantir la sécurité des données entre les visiteurs et le serveur. Il sécurise les données pour beaucoup de transactions telles que les informations de connexion, les transactions bancaires, le trafic intranet au sein des entreprises ou encore les messageries et applications web. Il assure la confidentialité des informations échangées et évitent toute fraude ou espionnage.


Il permet d’améliorer le référencement car il est un gage de sécurité. De nombreux moteurs de recherche comme Google attribuent un meilleur classement aux sites sécurisés. Cela évite aux sites d'être signalés et renforce la confiance des clients, un enjeu primordial lorsque des échanges de données sensibles ont lieu, tout particulièrement sur des sites e-commerce ou du secteur financier.


Il est donc un gage d'image et demeure aujourd'hui indispensable dans une période où le nombre de fraudes ne cessent de croître.

Inconvénients

Si l’implémentation d’un certificat sur un serveur Web est assez simple, les politiques de sécurité d'une entreprise peuvent la complexifier et engendrer des coûts supplémentaires.

Il est important de rappeler que le certificat permet le chiffrement de la donnée en transit, mais n'assure pas sa sécurité une fois sur le serveur. La présence d'un certificat valide ne garantit donc pas forcément la fiabilité d'un site internet. 

En cas de doute, d'autres réflexes sont à adopter tels que :

  • Utiliser « Whois », il vous permet de tout savoir d'un site internet
  • Vérifier les mentions légales
  • Lire les conditions générales de vente (CGV) et les conditions générales d'utilisation (CGU)

Mon retour d'expérience

Au sein de ma mission, je gère plus de 200 certificats en accompagnant notre client sur les choix et les démarches nécessaires à ses demandes. J’assure également le suivi de ces certificats en surveillant les dates d'échéance de chacun d'entre eux afin d'anticiper leur renouvellement. C’est un engagement nécessaire à la bonne sécurisation des SI du client.


L'implémentation d’un certificat SSL est assez simple, bien que chaque cas demeure tout de même particulier. Une opération peut devenir délicate suivant un certain nombre d'éléments tels que le système d’exploitation du serveur (Linux, Windows, AIX…), le type de serveur Web utilisé (Apache, Tomcat, IIS, …) ou encore les systèmes de protection périmétrique (Firewall, Proxy, Firewall applicatif, IDS, …).


Il est important d’apporter une aide technique et décisionnelle auprès des différentes équipes, techniques, projet, ou encore managériales, afin d'assurer la légalité de l'entreprise, gage de sécurité et de bonne image auprès des clients. 

L'écoute, le conseil et le soutien apportés aux différents intervenants sont essentiels. Ils contribuent à faire prendre conscience de l'importance d'intégrer la composante sécurité le plus tôt possible dans leurs projets. Ces bons réflexes permettent d'anticiper les budgets, les temps de livraison et donc d'optimiser le développement des projets.


Soyez donc pro-actifs auprès des autres services, sensibilisez-les aux réglementations et rassurez-les en écoutant leur besoin et en les accompagnant dans leurs démarches.



Thierry, 
Expert sécurité

ENVIE D'APPORTER VOTRE EXPERTISE AUPRÈS DE NOS CLIENTS ?
Découvrez nos offres d'emploi Sécurité
107
Offres à pourvoir
nous rejoindre