Pourquoi et comment LuxTrust a migré vers le logiciel d’autorité de certification de Nexus

LuxTrust, prestataire national de services fiduciaires luxembourgeois, a migré en 2017 vers le logiciel d’autorité de certification (AC) de Nexus Group, société spécialisée dans les identités et la sécurité. « Il est clair aujourd’hui, en 2019, que l’adoption du logiciel Nexus a été bénéfique à la fois pour notre société et pour les citoyens luxembourgeois. Grâce à l’aide et à l’expertise de Nexus, le processus de migration s’est déroulé sans encombres, et avec un faible impact sur nos activités », se félicite Ralph Berkes, ingénieur en chef chez LuxTrust.

Le cœur de métier de LuxTrust est de produire des identités électroniques (eIDs) pour toute personne vivant ou travaillant au Luxembourg. Ces identités électroniques permettent de garantir un accès sécurisé à une grande variété d’e-services, à la fois dans le secteur public et privé, et de rendre les signatures électroniques juridiquement contraignantes.

Certification eIDAS totale

« Toute personne peut avoir une eID en tant que citoyen et une eID en tant qu’employée ; ces eIDs sont stockées de façon centralisée et sont accessibles via des applis mobiles, des cartes à puce ou encore des jetons matériels d’authentification, » explique Pascal Rogiest, PDG de LuxTrust.

Les identités électroniques s’appuient sur des certificats PKI (Public Key Infrastructure), et LuxTrust est pleinement certifié selon la règlementation eIDAS (electronic IDentification, Authentication and trust Services) de l’UE.

« Nos services ont reçu la meilleure appréciation possible en termes de qualité, et nos certificats sont considérés comme ‘qualifiés’ selon l’eIDAS, » précise Rogiest.

Le précédent système ne répondait pas aux besoins

Le logiciel d’AC constitue le cœur de l’infrastructure PKI, permettant de produire et de gérer les certificats. Avant août 2017, LuxTrust utilisait le logiciel d’AC d’un éditeur américain de premier plan.

« Nous avions externalisé la gestion de ce logiciel d’autorité de certification, mais ce système ne répondait pas à nos besoins, » explique Berkes.

Pourquoi recherchiez-vous un autre logiciel d’AC ?

Berkes : « Nous nous heurtions à des limitations et à des inconvénients avec ce logiciel. Tous les logiciels ont leurs qualités et leurs défauts, et notre logiciel d’AC présentait des avantages. Mais les inconvénients ont fini par l’emporter. La solution était compliquée à exploiter et à moderniser, notamment à cause du fait que chaque autorité de certification nécessitait une instance logicielle dédiée. Autrement dit, le système n’était pas multi-tenant. »

Ainsi, chaque fois que LuxTrust souhaitait apporter des modifications au logiciel d’AC, ces modifications devaient être apportées à toutes les différentes instances du programme. Avec un logiciel multi-tenant, tel que le logiciel d’AC de Nexus, de nombreuses autorités de certification peuvent s’exécuter sur une même instance.

Des attentes fortes concernant le nouveau logiciel

Berkes : « La multi-tenancy faisait donc partie de nos principales exigences, lorsque nous nous sommes mis à la recherche d’un nouveau fournisseur de logiciel d’AC. Mais nous avions un certain nombre d’autres attentes : en premier lieu, le logiciel d’AC devait bien sûr être fiable, performant, et dûment certifié. Nous souhaitions également une tarification adaptée, et avions des attentes fortes en matière de flexibilité, ainsi que des besoins précis concernant les certificats. »

Fin 2016, LuxTrust initia un projet avec l’objectif de migrer les autorités de certification vers un nouveau logiciel d’AC, opérant sur leurs propres serveurs.

Des ateliers avec les fournisseurs potentiels

Berkes : « Notre recherche d’un nouveau logiciel d’AC nous a conduit à organiser des ateliers avec des fournisseurs potentiels, afin de tester leur logiciel d’AC et de déterminer si celui-ci répondait à nos attentes. Entre autres choses, nous souhaitions voir comment il était possible de créer et de modifier des procédures, et comment nous pourrions intégrer le logiciel d’AC à nos services. »

Quels conseils donneriez-vous en matière de choix d’un logiciel d’AC ?

Berkes : « D’organiser des ateliers, au cours desquels vous aurez la possibilité de jouer avec le programme. Il est très important d’être en mesure de voir comment le logiciel se comporte dans la réalité. Un fournisseur peut vous faire une présentation PowerPoint de son logiciel d’AC, qui vous semblera convenir. Mais vous ne savez pas ce qu’il en est vraiment. Si vous prenez le temps de le tester, vous pouvez découvrir qu’il pose certains problèmes, et en faire part au fournisseur. »

Nexus s’est conformé à toutes les attentes

Dans un premier temps, le logiciel d’AC de Nexus ne répondait pas à toutes les attentes de LuxTrust, mais Nexus s’est engagé à apporter les modifications requises dans les versions ultérieures de la solution.

Berkes : « Et Nexus a tenu ses engagements. Nous sommes parfaitement satisfaits de la solution, qui fonctionne de la façon dont nous le souhaitions. »

Quels sont les principaux avantages du logiciel d’AC de Nexus ?

Berkes : « Un aspect très important concerne le modèle de tarification, suffisamment flexible pour s’adapter aux augmentations de volumes et de transactions. Un autre avantage est que la solution est très simple d’utilisation, en plus de fournir toutes les traces d’audit et tous les contrôles d’accès dont nous avons besoin. Nous pouvons ainsi définir les permissions selon différents rôles, ce qui est très important pour nous dans la mesure où nos activités sont strictement réglementées. Comme je l’ai déjà mentionné, la multi-tenancy était un facteur déterminant pour nous. Nous bénéficions également d’autres fonctionnalités utiles, et apprécions le fait que Nexus continue d’en développer de nouvelles. »

Les organisations et les citoyens luxembourgeois ont-ils également constaté des améliorations suite au changement de logiciel ?

Berkes : «  Les améliorations apportées par le logiciel Nexus sont surtout sensibles pour nous en interne, mais certaines d’entre elles bénéficient aussi aux citoyens et aux organisations, et d’autres encore sont prévues. »

Migration des clés de chiffrement

LuxTrust exploite le logiciel d’AC Nexus en tant que générateur de certificats et répondant OCSP (Online Certificate Status Protocol) pour la validation du statut des certificats.

Berkes : « Nous avons un système redondant : nous disposons de deux datacenters pour les autorités de certification en ligne, et de deux autorités hors ligne sur des ordinateurs dans des coffres forts. Quant à l’autorité d’enregistrement, il s’agit d’un portail que nous avons développé nous-mêmes. »

La migration depuis l’ancien logiciel d’AC a débuté avec celle, en juillet 2017, des clés de chiffrement vers un nouveau module matériel de sécurité (HSM).

Berkes : « Ce fut une opération délicate, car les clés sont au cœur de l’AC. La migration s’est effectuée dans une salle sécurisée, en présence d’un auditeur. »

Une équipe de migration composée de cinq personnes

La migration vers le nouveau logiciel d’AC s’est effectuée à la fin du mois d’août 2017.

Berkes : « Nous avons commencé un samedi à 14h, afin de minimiser la gêne occasionnée pour les utilisateurs. Au Luxembourg, pratiquement tout le monde utilise nos services, il est donc essentiel que le système reste opérationnel. »

L’équipe de migration était composée de Berkes et de trois autres membres du personnel de LuxTrust, assistés de Christophe Cauche, gestionnaire technique de compte chez Nexus.

Berkes : « Nous avons également reçu de l’aide de la société qui gérait l’ancien logiciel d’AC, mais nous souhaitions l’impliquer aussi peu que possible. Je suis très satisfait de la participation de Christophe, qui nous a soutenus activement tout au long du projet. »

Une migration plus simple que prévu

Dans le cadre de la migration, deux autorités de certification racines, sept sous-autorités, un certain nombre de procédures de certification ainsi que de nombreux certificats ont été importés vers le logiciel d’AC de Nexus.

Berkes : « Nous avions effectué une migration de test précédemment, mais lors de la migration proprement dite nous avons tout de même rencontré un problème : au moment d’importer la liste de révocation des certificats, celle-ci était si volumineuse que l’application a cessé de fonctionner. Nous l’avons redémarrée, ce qui a suffi à résoudre le problème. Donc, l’un dans l’autre la migration s’est déroulée plus simplement que ce à quoi nous nous attendions. Nous sommes restés toute la nuit sur le site, et le dimanche matin à 7h tout était terminé. »

LuxTrust recommande Nexus

À ce jour (janvier 2019), le logiciel d’AC de Nexus est opérationnel depuis 18 mois, et Ralph Berkes recommande sans réserve à la fois la solution et Nexus.

Berkes : « Pour toute question, nous pouvons contacter l’équipe de support Nexus ou bien Christophe. Il est capital de pouvoir compter sur un consultant technique compétent chez le fournisseur, et sur ce plan Nexus est vraiment formidable. En ce qui concerne les questions commerciales, notre contact chez Nexus est Philippe Fonton, leur directeur pour la France. Nous sommes très satisfaits de la façon dont il a mené les discussions en ce domaine, et dont il s’est assuré de la disponibilité de l’équipe Nexus. »

Composant de la plateforme Smart ID de Nexus

Le logiciel d’autorité de certification de Nexus est un composant de la plateforme Smart ID de Nexus, exploitée dans le monde entier par de grandes organisations pour produire et gérer des identités d’entreprise de confiance, ou sécuriser les communications dans des applications de l’internet des objets (IoT) telles que les véhicules connectés.

Magnus Malmström, PDG de Nexus, se réjouit que LuxTrust ait opté pour le logiciel d’AC de Nexus.

« En tant que prestataire national de services fiduciaires, LuxTrust est une organisation strictement réglementée, avec des exigences très fortes concernant leur logiciel d’AC. Par conséquent, le fait qu’ils nous ont choisis est un indéniable motif de fierté. La migration depuis leur logiciel d’AC existant a eu un faible impact sur les activités de LuxTrust, ce qui plaide clairement en faveur du niveau de compétence technique dont nous disposons chez Nexus, » affirme Malmström.

Autres cas