Consultant PKI freelance : infrastructure de clés publiques et certificats
Le métier de consultant PKI freelance : Microsoft ADCS, EJBCA, DigiCert, Sectigo, HSM, code signing, S/MIME, eIDAS, certifications et TJM marché actuel.
Consultant PKI freelance : infrastructure de clés publiques et certificats
La PKI (Public Key Infrastructure) est souvent traitée comme un sujet de fond — invisible quand elle fonctionne, catastrophique quand elle tombe. Actuellement, plusieurs incidents médiatisés (expiration de certificats racine, compromission de CA interne, fin annoncée du SHA-1 sur le legacy) ont remis la PKI au cœur des priorités des DSI. Le consultant PKI freelance, capable de concevoir, durcir et migrer une infrastructure de certificats, est un profil rare et particulièrement bien rémunéré sur le marché français.
Le métier
La PKI moderne ne se limite plus à un Microsoft ADCS posé sur un Windows Server. Elle couvre :
- L'identification machine (TLS, mTLS, IoT, Kubernetes).
- L'identification humaine (smart cards, S/MIME, authentification forte).
- La signature de code, de documents et d'emails.
- Les certificats internes et externes (DigiCert, Sectigo, Let's Encrypt pour le public).
- L'eIDAS et la signature qualifiée européenne.
Stack technique
| Catégorie | Outils |
|---|---|
| CA Microsoft | AD CS (Active Directory Certificate Services), Intune SCEP / PKCS |
| CA open-source | EJBCA, OpenXPKI, step-ca |
| CA publique | DigiCert, Sectigo, GlobalSign, Entrust, Let's Encrypt |
| HSM | Thales Luna, Entrust nShield, AWS CloudHSM, Azure Dedicated HSM |
| Smart cards | Gemalto / Thales, IDEMIA, Yubikey (FIDO + PIV) |
| Protocoles | SCEP, EST, CMP, ACME, REST API |
| Gestion certif | Venafi, Keyfactor, AppViewX, Sectigo Certificate Manager |
| Code signing | DigiCert Software Trust Manager, AzureSignTool, Sigstore |
Compétences clés
- Conception PKI à plusieurs niveaux : Root CA offline, Issuing CAs, intermédiaires.
- Cycle de vie des certificats : émission, rotation, révocation (CRL, OCSP).
- HSM : intégration, segmentation des clés, sauvegarde sécurisée.
- Microsoft ADCS avancé : modèles de certificats, auto-enrollment, web enrollment.
- EJBCA pour les environnements multi-OS ou souverains.
- ACME : automatisation interne (step-ca, smallstep, ACME-CA).
- S/MIME : déploiement à grande échelle, intégration Outlook / mobile.
- Code signing : sécurisation post-attaques SolarWinds, séparation des clés.
- eIDAS : niveaux de signature, qualified trust services.
Microsoft ADCS : toujours majoritaire en entreprise
Plus de 70 % des PKI internes en France reposent encore sur ADCS. Les missions courantes :
- Migration vers Windows Server 2025 (algorithmes modernes, déprécation SHA-1).
- Refonte d'une PKI à plat vers une hiérarchie multi-niveaux avec Root offline.
- Intégration HSM sur la CA racine.
- Automatisation de l'enrollment via Intune / SCEP / NDES.
- Audit de modèles de certificats (vulnérabilités ESC1-ESC15, Certipy / Certify).
Pour le contexte AD, voir la fiche Administrateur Active Directory.
EJBCA et les CA souveraines
Les organismes publics, opérateurs essentiels et industriels avec contraintes de souveraineté privilégient désormais EJBCA ou OpenXPKI :
- Indépendance vis-à-vis de Microsoft.
- Compatibilité multi-OS.
- Conformité eIDAS facilitée.
- Algorithmes post-quantiques en préparation.
Code signing : un chantier majeur actuel
Ces dernières années, les autorités CA/B Forum imposent que les clés de code signing soient stockées sur HSM ou tokens hardware. Cela a déclenché une vague de chantiers chez les éditeurs logiciels et chez les industriels publiant des firmwares :
- Migration des certificats EV vers DigiCert Software Trust Manager / Keyfactor SignServer.
- Rotation et gouvernance des clés.
- Intégration dans les pipelines CI/CD (GitHub Actions, Azure DevOps).
- Sigstore pour les écosystèmes open-source modernes.
TJM observé sur le marché français
| Profil | TJM EUR/jour |
|---|---|
| Confirmé (3-5 ans, ADCS ou EJBCA en prod) | 600-700 €/jr |
| Senior (PKI multi-niveaux, HSM, intégration Intune) | 700-800 €/jr |
| Expert (eIDAS, code signing, audits post-attaque) | 800-850 €/jr |
La grille de TJM par expertise reflète une demande très stable et une pénurie de profils seniors capables d'intervenir sur des chantiers complexes.
Profils-types
- Administrateur Active Directory spécialisé PKI / certificats.
- Ingénieur sécurité ayant fait carrière dans la cryptographie applicative.
- Architecte IAM étendant son périmètre au PAM et à la PKI.
- Consultant secteur public spécialisé eIDAS / signature.
Types de missions
- Refonte de la PKI ADCS d'un grand compte : hiérarchie, HSM, modèles.
- Migration ADCS → EJBCA pour des raisons de souveraineté.
- Mise en place du code signing post-incident chez un éditeur.
- Déploiement S/MIME sur 20 000 boîtes mail avec Intune.
- Audit PKI : vulnérabilités ESC, modèles vulnérables, comptes service.
- Intégration HSM Thales / Entrust dans une PKI existante.
- Conformité eIDAS pour un fournisseur de services de confiance.
Certifications et formations qui comptent
- Microsoft AZ-800 / AZ-801 : pour l'ancrage Windows Server.
- CISSP : valorisée sur les missions seniors.
- Thales / Entrust : formations HSM spécifiques.
- EJBCA Trainings PrimeKey / Keyfactor.
Tendances actuelles
- Algorithmes post-quantiques : ML-DSA, ML-KEM, premiers déploiements pilotes.
- Durée de vie raccourcie des certificats publics (90 jours, puis 47 jours côté CA/B Forum).
- Automatisation totale via ACME, EST, CMP.
- Convergence PKI + Secrets management (HashiCorp Vault, CyberArk Conjur).
- eIDAS 2 : wallet européen d'identité, signature qualifiée mobile.
Pour le pendant accès privilégiés, voir la fiche consultant PAM.
Industries qui recrutent
- Banque-Assurance : conformité, signature qualifiée, code signing.
- Industrie / IoT : certificats device, firmware signing.
- Santé : carte CPS, signature documents, S/MIME.
- Secteur public / défense : eIDAS, souveraineté.
- Telecom : certificats infra, équipements 5G.
Vous n'êtes pas seul
Les missions PKI sérieuses se trouvent rarement sur les plateformes généralistes — elles passent par des intermédiaires qui comprennent la criticité du sujet. ForTeam IT, ESN partenaire des profils cybersécurité, accompagne les consultants PKI expérimentés sur des missions chez des clients finaux qui valorisent l'expertise et qui paient au juste TJM.
À lire aussi
Vous êtes consultant IT freelance ?
Rejoignez ForTeam IT et accédez à des missions sélectionnées chez nos clients grands comptes.
Rejoindre la communauté