Malgré ses promesses, l’IA générative se heurte à des difficultés en matière d’adoption. Sa déclinaison sous forme d’agents peut toutefois s’inspirer de la démarche qui a permis le succès du low-code dans certaines entreprises.
L’IA générative ne se résume plus à des chatbots à qui l’on pose des questions. Elle est en passe de devenir un outil à même de réaliser des opérations – l’IA agentique étant l’expression un peu maladroite pour désigner cette approche. Et il devient de plus en plus évident que la GenAI est la plus utile et la plus appréciée des employés lorsqu’elle est personnalisée. De quoi enclencher un cercle vertueux bien connu : les employés qui utilisent le plus fréquemment l’IA générative et qui prennent le temps d’expérimenter ses nouvelles fonctionnalités sont aussi ceux qui en tirent le meilleur parti.Il existe une forte corrélation entre cette évolution et l’obtention d’une formation adéquate, notamment en ce qui concerne l’utilisation de l’IA générative dans le cadre des processus habituels de travail. Selon une étude menée par Microsoft et LinkedIn, les utilisateurs qui affirment que la technologie leur fait gagner 30 minutes par jour sont 37 % plus nombreux parmi la population ayant reçu une formation à l’IA générative.Les utilisateurs de l’IA partagent aussi régulièrement les prompts qu’ils utilisent et d’autres conseils avec leurs collègues. Par exemple, le déploiement réussi de Copilot par Virgin Atlantic a impliqué non seulement la formation, mais aussi la recherche de « champions dans les différents départements pour tirer les principaux enseignements des sessions de formation ciblées et essayer de les diffuser au sein des groupes d’utilisateurs », explique Gary Walker, vice-président de la technologie et de la transformation pour la compagnie aérienne.« Quand quelque chose fonctionne, faites-en un objet social »Ce dernier estime qu’il est important, pour tout déploiement technologique, de créer un climat de sécurité psychologique permettant au personnel d’expérimenter, tout en le récompensant de partager ce qui fonctionne entre collègues. Plutôt que pousser chacun à conserver son expertise. Et de souligne les parallèles avec le low-code. « Lorsque vous trouvez quelque chose qui fonctionne, faites-en un objet social, dit Gary Walker. Partagez-le sur les médias sociaux internes et avec vos pairs, et cela contribuera à amplifier le gain d’efficacité que vous venez de découvrir. »Selon Kjell Carlsson, responsable de la stratégie IA chez Domino Data Lab, éditeur d’une plateforme de MLOps, cette méthode est efficace car nous avons tous tendance à apprendre beaucoup plus rapidement de nos pairs que de la plupart des autres sources d’information.Si cela vous semble familier, c’est parce qu’il s’agit du type d’adoption virale ascendante et communautaire qu’ont connu de nombreuses organisations avec le low-code et de l’automatisation des workflows, où la résolution de leurs problèmes quotidiens a rendu les employés moteurs du partage d’astuces et de techniques avec leurs collègues. Les DSI peuvent s’inspirer des leçons tirées de cette adoption réussie pour tirer le meilleur parti des agents. « Il existe en fait une corrélation entre la préparation à l’adoption du low-code et l’adoption, la préparation et la réussite de l’IA », veut croire John Bratincevic, analyste principal chez Forrester. « Si vous voulez vraiment tirer parti de l’IA et des expérimentations à grande échelle de cette technologie, vous devez l’associer à votre stratégie de développement citizen développeurs. »Gérer les agents façon low-codeL’IA agentique va des simples automatisations de tâches quotidiennes basées sur des prompts de type ‘compléter les blancs’ à des workflows plus autonomes qui détectent des entrées telles que des courriels et déclenchent des processus pour rechercher des informations et rédiger des réponses, voire passent une commande ou réservent une réunion. L’IA générative rend ces automatisations à la fois moins fragiles et plus faciles à créer.À bien des égards, il s’agit d’une progression naturelle, et les plateformes low-code, comme Power Platform de Microsoft, Mendix, Salesforce et Zoho, qui offrent des fonctions d’IA pour simplifier le développement depuis longtemps déjà, ajoutent maintenant des outils de GenAI pour aider les utilisateurs à créer applications et workflows.L’analogie entre les deux domaines concerne aussi la conformité, la gouvernance, la sécurité de des données et les capacités d’audit. Tout comme les applications low-code, les agents d’IA générative ont besoin d’accéder à des sources de données et de se connecter à des applications métier. Les organisations voudront donc y appliquer des politiques de contrôle d’accès et encadrer les actions qui peuvent être entreprises, ainsi que la manière dont les utilisateurs partagent applications et workflows. Comme pour tout autre outil dont la tarification est basée sur la consommation, les équipes IT seront également attentives à monitorer l’utilisation et l’adoption, et les responsables voudront examiner ce que cela apporte à l’entreprise pour évaluer le retour sur investissement.Le low-code a aujourd’hui fait ses preuves. La majorité des entreprises ont des stratégies de citizen développement. John Bratincevic affirme qu’il existe des exemples documentés d’organisations ayant tiré des centaines de millions d’euros de bénéfices de ce type de démarche. « Au cours des cinq ou six dernières années, les services informatiques ont réalisé que, s’ils s’y prenaient bien, le low-code pouvait être un important moteur de changement, ajoute Richard Riley, directeur général du marketing de la plate-forme Power chez Microsoft. Mais une grande puissance nécessite un grand contrôle. » Ce qui passe par des garde-fous pour l’informatique sans sacrifier la flexibilité des utilisateurs métiers.Plus complexe sur l’aspect coûtsRichard Riley admet que les questions de coût peuvent être plus compliquées avec l’IA agentique qu’avec les applications traditionnelles low-code. « Vous pouvez faire tourner l’agent une première fois et il aura besoin de 10 lignes d’une base de données quelque part et utiliser 10 000 jetons. Vous le sollicitez à nouveau et il pourrait utiliser un million de jetons en raison des données qu’il reçoit et des actions qu’il entreprend. Nous devons nous assurer que nous avons des mesures de protection contre ce phénomène, et nous sommes en train de les mettre en place ».Les organisations veulent avoir une visibilité sur ce qui s’est passé afin de pouvoir suivre ce que font les agents, récupérer des données télémétriques afin de pouvoir perfectionner les agents pour qu’ils travaillent d’une manière spécifique, et bénéficier d’une clarté sur les coûts afin de pouvoir appliquer des plafonds. Et si l’IA agentique prend son essor, la DSI souhaitera disposer de processus pour sélectionner les agents les plus utiles ou pour leur ajouter de nouvelles fonctionnalités. « Vous pourrez voir qui a créé des agents, ce qu’ils ont créé, quelle est l’utilisation, qui l’utilise, quelles sont les données qui circulent, explique Richard Riley. Si vous le souhaitez, vous pourrez reprendre l’ensemble, le transformer en une solution managée et contrôlée par le service informatique. Vous devriez aussi pouvoir créer très facilement un agent qui vérifie les autres agents pour s’assurer qu’ils ne font pas la même chose : utiliser l’outil pour contrôler l’outil. »Lancer l’IA agentiquePour tirer parti de l’IA agentique, il faut d’abord que les dirigeants et utilisateurs déterminent où ils peuvent appliquer la technologie et à quelles fins. Ce qui signifie qu’il faut commencer par l’analyse de rentabilité plutôt que par la technologie, note Richard Riley. Là encore, une démarche similaire à celle du low-code.« Cela suit le même schéma que celui des Power Apps. En particulier, dans le domaine des agents, il est facile de prendre toute cette nouvelle technologie et de l’appliquer aux processus et aux problèmes métiers existants. Ce qui certes les améliorer, mais ce ne sera pas le changement radical que les gens attendent de l’IA », dit le responsable de Microsoft. Pour lui, il faudra sortir du cadre existant pour que cette dynamique s’enclenche, en descendant « beaucoup plus près de l’utilisateur final ».Les organisations commenceront probablement par remplacer un processus réalisé par un utilisateur par un processus exécuté par un agent et, au moins dans un premier temps, y adjoindront une vérification par un humain, suggère John Bratincevic. Les vérifications peuvent devenir moins courantes, mais la prochaine étape logique consistera à réorganiser les processus en fonction de ce que font les modèles et les agents. « Pourquoi faut-il trois étapes avec trois personnes dans un workflow humain alors qu’il pourrait n’y avoir qu’une seule étape ? », souligne l’analysteLa connaissance métier fait la différencePour obtenir à la fois ces petites améliorations et les changements plus importants, John Bratincevic affirme que les organisations ont besoin d’expérimentations à grande échelle – et que le low-code est le meilleur moyen d’y parvenir. « La véritable valeur réside dans la création de nouveaux logiciels, même simples, avec l’IA au coeur de ceux-ci, poursuit-il. Et le seul moyen d’y parvenir concrètement passe par le citizen développement sur une approche low-code. Il y a des années de valeur encapsulée dans les LLM et nous devons trouver comment l’exploiter, et la seule façon d’y parvenir est l’expérimentation à grande échelle ».Comme pour le low-code, les utilisateurs métiers sont les experts du domaine qui savent le mieux ce qu’il faut changer. « Ils sont les plus proches des données et des processus opérationnels, souligne Richard Riley. Et dans le monde du low-code, ce sont eux qui ont construit des choses qui ont eu un impact massif sur l’entreprise que les services informatiques n’auraient jamais pu atteindre, parce qu’ils les auraient étudiées et placées à la fin de leur longue liste de choses à faire. »Pour tirer le meilleur parti de l’IA générative avec des techniques plus avancées telles que la création d’agents, il faut une connaissance approfondie du domaine métier, explique John Bratincevic. « C’est le comptable ou la responsable des ressources humaines qui peuvent imaginer ce que l’IA peut faire, et qui peuvent faire de l’ingénierie de prompt et d’autres types de RAG légers pour la faire fonctionner et l’encapsuler dans quelque chose – un processus ou une expérience – qui crée réellement de la valeur », ajoute-t-il. L’analyste dit disposer déjà de nombreux exemples d’applications ‘infusées par l’IA’ construites par des utilisateurs métiers dans une approche low-code, dont beaucoup adoptent une architecture agentique.Préparer les gens à créer des agentsIl y a cette grande entreprise de construction qui utilise une application construite par ses employés pour obtenir davantage de contrats en répondant plus rapidement à des appels d’offres détaillés et techniquement complexes, l’IA générative étant chargée d’ingérer le contenu et de générer la première réponse. Il y a aussi cette grande compagnie d’assurance qui trie les réclamations entrantes avec l’IA générative et les achemine en interne vers l’équipe appropriée bien plus rapidement que les deux heures qu’il fallait pour le faire manuellement. Et il y a ce cabinet juridique qui vend à d’autres cabinets une application SaaS construite avec l’IA générative couvrant le droit dans une catégorie particulièrement obscure. Ou il y a encore cette autre grande compagnie d’assurance qui compte désormais un tiers de toutes ses applications écrites en low-code. « On parle bien d’un tiers de l’ensemble de leur portefeuille d’applications écrit sur mesure sur une plateforme avec des outils low-code par des personnes des domaines métiers en dehors de l’informatique, et beaucoup d’entre elles sont des solutions d’IA », explique John Bratincevic.Il est important de considérer l’IA agentique comme un changement technologique auquel les organisations doivent former leurs salariés, et non comme une mise à jour d’un logiciel existant qu’ils sont censés assimiler par eux-mêmes. Comme l’IA générative en général, « c’est une technologie qui est très intuitive à utiliser pour jouer quelques minutes. Elle l’est beaucoup quand il s’agit de l’intégrer dans votre workflow », souligne Kjell Carlsson de Domino Data Lab.Les employés auront besoin de se perfectionner pour acquérir l’expertise nécessaire. Or, dans le dernier rapport annuel de TalentLMS, 64% des employés souhaitent être formés à l’utilisation des nouveaux outils d’IA, et 49% se plaignent que l’IA progresse plus vite que la formation dispensée par leur entreprise. Là encore, vous pouvez vous appuyer sur des approches familières en low-code, qui devraient contribuer à répondre aux préoccupations et aux réticences de nombreux, en particulier quant à la menace que fait peser l’IA générative sur leur emploi.Renforcer le partage des expériences réussiesL’adoption responsable de l’IA générative implique de laisser les employés partager les avantages de ces outils plutôt que de les laisser considérer cette technologie comme une concurrence. Et les organisations devraient soutenir les employés qui partagent leurs expériences réussies, en indiquant clairement quels domaines sont les plus appropriés et lesquels présentent un risque trop élevé.Il existe des raisons évidentes pour lesquelles les employés qui tirent profit de l’IA générative au quotidien ne partagent pas naturellement leurs succès : les politiques interdisant l’utilisation inappropriée de l’IA générative peuvent les effrayer, ils peuvent s’attendre à être davantage récompensés pour leurs résultats que pour le partage de leurs techniques, et ils peuvent craindre des réductions de coûts ou de se voir confier davantage de travail en raison de l’amélioration de leur productivité avec l’IA générative.Parfois, encore, les utilisateurs de l’IA dans votre organisation peuvent être enthousiastes à l’idée de partager ce qui fonctionne pour eux, mais sans avoir de moyen efficace de le faire. Encore une fois, les mêmes programmes qui ont soutenu l’adoption du low-code – trouver et soutenir des champions, organiser des hackathons et des sessions de partage, développer un centre d’excellence et des équipes fusionnant IT et métiers pour supporter les développements, reconnaître l’expertise des employés avec des augmentations de salaire et des promotions ou encore développer de nouvelles fonctions – donnent des pistes pour accélérer l’adoption de l’IA agentique.Equipes fusion« Une fois que vous avez vérifié la sécurité et les modèles que vous utilisez, et que vous vous êtes assuré que vos données sont prêtes et de les autres fondamentaux, votre approche doit consister à suivre le même plan pour trouver les premiers adoptants, organiser des hackathons et des boot camps, puis étendre l’expérimentation à tous les participants volontaires dans différents métiers, en créant de nouvelles applications dopées à l’IA, les agents étant une des possibilités en la matière », explique John Bratincevic.Les équipes fusionnant IT et métiers sont déjà une réalité. Les données 2023 de Forrester montrent que 62 % des développeurs professionnels effectuent la majeure partie ou la totalité de leur travail en collaboration avec des citizen développeurs. « Les technologues aident les non-technologues en fonction de leurs besoins, explique l’analyste. Ils ajoutent de nouvelles sources de données ou de nouveaux terminaux, ou aident leurs collègues des métiers à étendre leurs connaissances. »Kjell Carlsson suggère de considérer les équipes ‘fusion’ ou les centres d’excellence, qui peuvent fournir des conseils et un support technique ainsi que des évaluations réalistes de ce qui fonctionne et de ce qui ne fonctionne pas, comme un compagnon indispensable de l’IA. « Ne jamais faire de l’IA seul devrait être une loi de l’IA », affirme-t-il.Certaines expériences seront des échecs. Comme l’explique John Bratincevic, « la démocratisation du passage à l’échelle entraîne des désordres et des risques. Les entreprises qui réussissent tendent à gérer ce risque de manière pragmatique. Elles séparent les différents types de risques et disposent d’un espace prédéfini pour mettre les applications en place, ce qui permet d’en atténuer une grande partie ». Encore une fois, on retrouve un bénéfice familier du low-code : exploiter la créativité des employés motivés pour résoudre les problèmes de l’entreprise.
Réduction de la durée de vie des certificats, prolifération des identités de machines, cryptographie post-quantique : une marée de problèmes touchant aux certificats menace de submerger les DSI.
Pour un DSI, considérer les certificats et les identités des machines comme de simples rouages est tentant : on parle certes de fonctions critiques, mais purement techniques et laissées entre les mains des praticiens. « Les infrastructures à clefs publiques (PKI) et la cryptographie ont toujours été vues comme des technologies de bas niveau, de l’ombre. Même si elles sont fondamentales pour la sécurité, les DSI n’y ont probablement pas prêté beaucoup d’attention », résume Christian Simko, vice-président du marketing produit chez AppViewX, plateforme d’automatisation Low Code. « Aujourd’hui, elles sont beaucoup plus sous les feux de la rampe, car la gestion des identités des machines, la gestion des identités non humaines et la cryptographie post-quantique sont autant de questions d’actualité qui vont avoir un impact sur la sécurité et la conformité des organisations. Or, lorsque la conformité commence à s’impliquer sur un sujet, le DSI commence lui aussi à s’en préoccuper un peu plus. »Des normes encore ignorées dans le courrielOr, en la matière, la plupart des entreprises accusent un retard flagrant. Vous avez peut-être remarqué que les courriels de votre boîte de réception sont étiquetés comme provenant non seulement de l’extérieur de votre organisation, mais aussi d’expéditeurs non vérifiés. Cela fait partie d’un effort visant à améliorer l’adoption de normes sur la réputation des courriels, qui reposent sur des certificats pour l’authentification. Des normes que la majorité des organisations ont tout simplement ignorées, même si les menaces liées au courrier électronique sont en augmentation rapide. « Il devrait s’agir d’une bonne pratique, mais vous seriez surpris de voir le nombre d’organisations qui sont à la traîne et qui ne l’ont pas encore mise en oeuvre de manière complète et efficace », dit Christian Simko.En début d’année, Google et Yahoo, bientôt rejoints par Microsoft, ont commencé à exiger de toute organisation ayant envoyé 5 000 messages ou plus en une seule journée qu’elle utilise l’authentification SPF, DKIM et DMARC, ce qui affecte les réinitialisations des mots de passe, les notifications d’expédition, les courriels de reçu d’achat envoyés aux consommateurs et les newsletters et autres messages marketing envoyés directement ou par l’intermédiaire de fournisseurs de messagerie électronique comme Mailchimp.Les entreprises doivent non seulement s’assurer que DMARC est correctement mis en oeuvre sur tous leurs domaines et sous-domaines – même si elles ne les utilisent pas pour envoyer des courriels, elles doivent se protéger contre un pirate qui les usurperait -, mais elles doivent également surveiller les rapports de courriels rejetés en raison d’échecs DMARC. Les DSI devront consacrer du temps et des ressources à ce sujet, soit en interne, soit par l’intermédiaire d’un fournisseur de services de sécurité pour le mail. Ils devraient également envisager de marquer et de rejeter les courriels entrants ne répondant pas à ces normes de réputation.Cette mesure va réduire considérablement le nombre de courriels d’hameçonnage, mais elle risque aussi d’avoir un impact sur les communications légitimes provenant d’autres organisations qui n’ont pas encore adopté les normes de réputation en question. Ce qui en fait une décision stratégique plutôt que technique.L’explosion des identités des machinesMais, en réalité, les certificats pour le courrier électronique ne représentent que la partie émergée de l’iceberg. Grâce à l’adoption d’infrastructures complexes telles que l’IoT, les tokens JSON et Kubernetes, entre autres, les organisations utilisent déjà des centaines de milliers d’identités de machines sécurisées par des certificats SSL/TLS, avec des durées de vie allant de plusieurs années à quelques minutes. Une seule machine physique peut exécuter des centaines de workloads éphémères.Or, ces certificats sont souvent mal gérés et mal sécurisés, même par des organisations dans des secteurs réglementés comme la finance. Erik Wahlstrom, vice-président et analyste au sein du cabinet Gartner, estime que le nombre d’identités de machines dépasse déjà celui des identités des humains d’un ordre de grandeur. Et ce total ne cesse de croître, en particulier avec l’adoption d’outils d’IA qui nécessitent des identifiants à la fois pour les systèmes auxquels ils accèdent et pour les humains au nom desquels ils agissent. Une étude de Coleman Parkes pour le fournisseur d’automatisation Venafi prévoit que les organisations de plus de 10 000 employés devront gérer jusqu’à 1,3 million d’identités et de certificats de machines d’ici à 2025.Avec de tels chiffres, les scripts manuels, les tableaux Excel et les automatismes maison ne sont plus adaptés, d’autant plus que la plupart des entreprises n’ont qu’une faible visibilité sur le nombre de certificats et d’identités de machines qu’elles utilisent déjà. « Lorsque les gens feront un inventaire complet sur ce sujet, ils seront choqués par la rapidité avec laquelle ce nombre augmente », souligne Geoff Cairns, analyste principal chez Forrester Research. Le fait que ces workloads soient exploités dans des environnements hybrides ou multicloud ne fait que complexifier les choses.Les frontières organisationnelles bousculéesLe domaine manque de maturité, abonde Matt Caulfield, vice-président produits chez Duo, filiale de sécurité de Cisco. « Aucun répertoire d’identités machines standard n’existe » souligne-t-il, relevant que les équipes IT font face à un ensemble confus de protocoles d’authentification et d’autorisations machine à machine (M2M).Autre problème : ces questions dépassent les frontières organisationnelles de la gestion d’identité traditionnelle. Les équipes en charge de l’infrastructure à clé publique existante, comme Active Directory, ne sont souvent pas impliquées dans les initiatives qui nécessitent des certificats et des identités dédiés aux machines – ni même dans les discussions sur la manière d’aborder le problème.« Le cloud a aggravé ce problème de manière exponentielle, prévient Murali Palanisamy, responsable des solutions chez AppViewX. « La PKI est généralement mise en place et gérée par l’équipe interne de Microsoft, qui n’a pas grand-chose à dire sur les décisions relatives au cloud et à la transformation numérique. Les équipes DevOps sont plus axées sur la vitesse et l’agilité : elles font ce qui est bon pour accélérer les projets, pas nécessairement ce qui est le plus indiquée ou le plus stratégique en matière de sécurité. »Et même lorsque les organisations décident d’établir des politiques et de normaliser la sécurité pour les nouveaux déploiements, la reprise de l’existant représente un effort considérable. Sans oublier le fait que dans les architectures modernes, les équipes d’exploitation sont réduites à la portion congrue.Il est donc d’autant plus important que les DSI s’approprient le problème, souligne Geoff Cairns. « En particulier dans les organisations les plus grandes, les plus complexes et les plus globales, on sous-estime souvent l’ampleur de la tâche consistant à faire passer ces messages dans l’organisation. Il s’agit en partie de bien maîtriser la culture interne et la manière d’aborder ces questions. »Multiplication des incidents liés aux certificatsMême en dehors de ce phénomène d’explosion des identités de machines, les problèmes de certificats provoquent déjà régulièrement des pannes et des problèmes de sécurité au sein des organisations, souvent parce que les notifications d’expiration passent inaperçues, même au sein de fournisseurs majeurs comme Microsoft. Ces difficultés dans la gestion des informations d’identification permettent également à, des assaillants d’accéder à l’infrastructure cloud, aux workloads des entreprises ou à leur supply chain logicielle. Un certificat expiré rompant l’inspection du trafic TLS chez Equifax a ainsi conduit à la violation massive de données qu’a connue cet acteur en 2017.« Les complexités engendrées par l’adoption du cloud et du DevOps – qui entraînent par ailleurs une croissance exponentielle des identités machine – conduisent à une incroyable prolifération d’identités et à une vulnérabilité accrue aux attaquants cherchant se déplacer latéralement au sein d’une organisation », explique Geoff Cairns.La combinaison d’une surveillance accrue – par les éditeurs de navigateurs en particulier -, de la banalisation des autorités de certification par les fournisseurs de cloud et de l’apparition de nouveaux acteurs comme Let’s Encrypt va accroître la pression sur les entreprises, rendant les mauvaises pratiques insoutenables. « Le marché des certificats TLS est devenu, comme d’autres, un marché centré sur l’approvisionnement et le coût, mais certains des incidents récents poussent les entreprises à une plus grande attention sur les questions de confiance et de sécurité sous-jacentes », ajoute l’analyste.Se préparer aux incidents et à leurs impactsDe nombreuses grandes organisations devront ainsi bientôt révoquer leurs certificats TLS et en provisionner de nouveaux, à grande échelle. Une entreprise sur cinq du classement Fortune 1000 utilise en effet Entrust comme autorité de certification et, à partir du 1er novembre 2024, Chrome, suivant l’exemple de Firefox, ne fera plus confiance aux certificats TLS de ce fournisseur en raison d’une série de défaillances de conformité, qui, selon l’autorité de certification, ont parfois été causées par des entreprises clientes qui demandaient plus de temps pour gérer la révocation de leurs certificats. Les navigateurs afficheront des avertissements de sécurité plutôt que de bloquer complètement l’accès aux sites utilisant des certificats Entrust émis après le 31 octobre 2024, mais de nombreuses organisations voudront changer d’autorité de certification pour éviter la perte de confiance des utilisateurs que risquent d’entraîner ces messages.Cette décision crée également un précédent pour une application plus stricte des politiques de sécurité sur les certificats au sein des navigateurs, après des années de tension entre leurs éditeurs et les autorités de certification. Même sans ce tour de vis, les clients de DigiCert, y compris ceux qui exploitent des infrastructures critiques comme les systèmes de santé et les réseaux de télécommunications, ont récemment dû remplacer plus de 83 000 certificats TLS, la plupart du temps avec un préavis de 24 heures seulement, parce que depuis cinq ans, son portail client en libre-service ne créait pas correctement les enregistrements pour la vérification DNS. Ces notifications sont arrivées par courrier électronique un lundi matin, mettant de nombreuses organisations dans l’embarras face à l’ampleur de la tâche.Car, à l’heure actuelle, peu d’organisations sont en mesure de traiter ce type d’urgence de manière efficace. Il s’agit d’une expertise que les organisations doivent développer, car ces problèmes vont continuer à se poser, assure Murali Palanisamy. Cela va devenir la norme, et nous devons donc nous y préparer. » Selon lui, une partie du problème réside dans le fait que les autorités de certification doivent conserver des certificats racine valables pendant des décennies pour la génération de clés. « Dans un monde numérique, il s’agit presque d’un retour à l’ère des dinosaures. Il faut maintenir la clé en vie pendant 30 ans ! »Faire face à une rotation accélérée des certificatsD’où la proposition de Google de réduire la validité des certificats TLS à seulement 90 jours, afin d’alléger le fardeau des autorités, car les exigences de validité de la racine tomberaient alors à cinq ou sept ans. Mais si cette proposition se concrétise, les entreprises devront procéder à une rotation des certificats si fréquente que le recours à l’automatisation deviendra indispensable.Les certificats TLS destinés au public étaient auparavant valables jusqu’à trois ans. Leur durée de validité a d’abord été réduite à 825 jours (deux ans plus les 30 jours précédant l’expiration, au cours desquels ils doivent être renouvelés), puis à 398 jours (un an plus 30 jours). Google a récemment proposé de réduire cette durée à 90 jours seulement. Il n’est pas certain que le CA/Browser Forum soutienne cette proposition, mais si Google décide de mettre en oeuvre cette mesure sur Chrome unilatéralement, son importante part de marché pourrait inciter les autorités de certification à ramener à 90 jours la durée par défaut de leurs certificats. Ce qui multiplierait par six le nombre de renouvellements !Une marche bien haute pour la plupart des organisations. Pour Murali Palanisamy, « il n’est en pratique pas possible de faire cela manuellement, pour chaque appareil et chaque certificat de l’organisation ». La révocation et le remplacement manuels des certificats impliquent l’utilisation de plusieurs systèmes pour générer et distribuer les clés, ce qui prend généralement une ou deux heures par certificat ; des automatisations maison peuvent ramener cette durée entre 15 et 30 minutes. Ce qui reste insuffisant.Une telle vitesse de rotation devait donc pousser les entreprises à considérer des systèmes automatisés intégrés à une gamme d’autorités de certification, ce qui signifie travailler avec une gamme d’API, de SDK, d’agents et avec le protocole ACME, ainsi qu’avec des systèmes et des outils DevOps à l’état de l’art. De quoi générer de nouvelles clés en quelques secondes ou, au pire, en quelques minutes si le certificat génère un coût qui doit être approuvé dans le cadre d’un workflow.Planifier la cryptographie post-quantiqueMême sans certificats à 90 jours, les entreprises doivent encore s’intéresser aux changements de normes de cryptographie du fait de l’arrivée annoncée des ordinateurs quantiques. Et planifier l’adoption de la nouvelle série de normes de chiffrement post-quantique, comme celles approuvées par le NIST (l’agence américaine en charge des standards technologiques). Les autorités de certification ne seront probablement pas prêtes à émettre des certificats à ces normes avant 2026… ce qui laisse un peu de temps pour se préparer à leur complexité supplémentaire.Pour éviter aux entreprises d’avoir à installer des certificats TLS en double – l’un pour les clients qui intègrent les nouveaux algorithmes, l’autre pour ceux qui ne le font pas encore – une normalisation de suites de chiffrement hybrides est en cours. Objectif : simplifier la transition, mais aussi de tenir compte du fait que, même s’ils peuvent être plus rapides, de nombreux algorithmes post-quantiques sont nouveaux et n’ont pas fait l’objet d’un examen aussi approfondi que les approches actuelles de la cryptographie, de sorte qu’un retour arrière pourrait s’avérer nécessaire si des vulnérabilités sont découvertes ultérieurement.Des problèmes lors de la mise en oeuvre sont également probables. Lorsque Chrome et Edge 124 ont activé par défaut l’échange de clés TLS hybride post-quantique de Google en début d’année, les serveurs web qui n’implémentaient pas TLS correctement ont commencé à rejeter les connexions. De même, des problèmes de compatibilité détectés lors de tests antérieurs, effectués par Google et Cloudflare, avaient déjà retardé de plusieurs années le déploiement des clés post-quantiques dans les navigateurs.Les DSI doivent être prêts non seulement à tester la compatibilité de leurs systèmes aux normes post-quantiques, mais aussi à faire face à la charge supplémentaire que représente la gestion des certificats et des identités des machines dédiées. Et ce, bien avant que les ordinateurs quantiques capables de briser le chiffrement traditionnel ne soient eux-mêmes disponibles, car les informations récoltées aujourd’hui pourraient encore être sensibles lorsque ces machines seront prêtes à les déchiffrer.Travailler sa crypto-agilitéCette capacité à remplacer les algorithmes cryptographiques ne se limite d’ailleurs pas à la révolution quantique. « Le jour viendra où les technologies de gestion des secrets et des certificats en entreprise subiront une transformation inévitable et massive qui les rendra obsolètes, prévient Erik Wahlstrom du Gartner. Ce n’est qu’une question de temps. La crypto-agilité dépend de la rapidité avec laquelle vous pouvez vous relever de ce type d’événements. »Selon l’analyste, les entreprises commencent à s’intéresser à la question. L’année dernière, l’équipe IAM de Gartner a reçu deux fois plus d’appels sur la gestion des identités des machines que sur l’authentification multifactorielle (MFA). « Ce n’est pas parce que la MFA perd en importance, mais parce que la gestion des identités des machines a pris un caractère d’urgence pour les organisations », explique-t-il. Pour reprendre le contrôle, il conseille aux DSI d’établir une stratégie pour la gestion des certificats et des identités de machines, en commençant par définir leur champ d’application, et d’ancrer cette stratégie dans les besoins techniques de l’organisation pour éviter d’être trop influencé par le marketing des fournisseurs.Des solutions encore perfectiblesSur le marché de la gestion des secrets pour l’entreprise, la consolidation est en cours. Les grands fournisseurs de solutions d’identité rachètent de plus petits acteurs spécialisés dans l’identité des machines, augmentant l’intérêt des outils. Mais la gestion de l’identité des machines demande toujours beaucoup de travail. « Il n’existe pas aujourd’hui de solution unique qui permette de prendre en charge tous les aspects de la question », explique Geoff Cairns, analyste chez Forrester Research.Son homologue du Gartner, Erik Wahlstrom, recommande aux DSI de constituer une équipe interfonctionnelle pour combler les espaces entre les silos que constituent les outils traditionnels, et d’attribuer des responsabilités claires pour les identités des machines. « Nous constatons que la plupart des entreprises échouent en n’établissant pas de responsabilité au sein des nombreuses unités métiers concernées et en se lançant directement dans l’automatisation, explique-t-il. Il faut établir des processus, mener à bien la phase de découverte et d’exploration et définir des attentes quant au degré d’automatisation possible. »Cet inventaire doit par ailleurs être pensé comme un processus continu. Le framework de gestion du cycle de vie des certificats du NIST (SP 1800-16), publié en 2020, est un bon point de départ pour ce faire, couvrant les risques et les meilleures pratiques pour la gestion des certificats TLS à grande échelle, y compris les processus automatisés d’émission, de renouvellement et de révocation.