Vos ressources cryptographiques sont essentielles pour sécuriser les communications et les données numériques. Ces actifs comprennent les clés de chiffrement, les certificats et les algorithmes.
Cependant, vous devez tenir à jour l'inventaire de vos actifs cryptographiques. Si vous ne le faites pas, vous risquez d'être confronté à plusieurs scénarios préjudiciables. Les biens cryptographiques périmés ou faibles constituent d'excellentes cibles pour les pirates informatiques, car ils sont vulnérables aux failles de sécurité. Il sera également plus difficile d'atténuer les effets d'une violation de la sécurité parce que vous ne savez pas quels actifs cryptographiques se trouvent dans votre inventaire, et il sera plus difficile de procéder à une intervention en cas d'incident et à une analyse médico-légale.
Nous passons à la cryptographie post-quantique (CQP)Cependant, les ordinateurs quantiques peuvent aussi facilement venir à bout des méthodes actuelles de sécurité des données. Vous avez besoin de stratégies défensives modernes pour vous préparer à l'ère de la PQC.
Ces stratégies reposent sur la compréhension de l'inventaire de vos actifs cryptographiques. L'audit de votre inventaire fait partie d'une bonne gouvernance d'entreprise et de la conformité aux réglementations. L'impact d'une violation due à une mauvaise gestion de l'inventaire des ressources cryptographiques ne se limiterait pas à des amendes, mais porterait gravement atteinte à la réputation d'une organisation. L'audit de l'inventaire des biens cryptographiques est une étape vers la réduction du risque de cybersécurité, vous préparant à un avenir de PQC.
L'informatique quantique : Voici ce qui est en jeu
Le National Institute of Standards and Technology (NIST) des États-Unis recommande vivement aux organisations d'être prêtes pour le PQC d'ici 2030. Toutefois, les progrès de l'informatique quantique pourraient être encore plus rapides que cela, c'est pourquoi il est essentiel d'agir maintenant.
Comment l'informatique quantique affectera-t-elle la cryptographie actuelle ? Voyons ce qu'il en est de la blockchain à titre d'exemple.
La blockchain s'appuie sur la cryptographie asymétrique pour vérifier les transactions et maintenir la sécurité du grand livre. L'informatique quantique peut facilement venir à bout de cette cryptographie. Nous nous retrouverons dans une situation où les signatures pourront être falsifiées et où la confiance dans la blockchain s'effondrera.
Les pirates informatiques se préparent déjà à cette situation. Les organisations devraient en faire autant. Les attaques de type "Harvest Now, Decrypt Later" (HNDL) consistent à collecter des données cryptées maintenanten attendant que l'informatique quantique progresse au point de pouvoir les décrypter. Si vous possédez des données sensibles telles que des dossiers financiers, des données de santé ou de la propriété intellectuelle qui doivent rester en sécurité pendant une décennie ou plus, vous êtes en danger.
Il y a de bonnes nouvelles : les algorithmes à sécurité quantique peuvent résister à une attaque d'ordinateur quantique. Développés par le NIST, ces algorithmes peuvent sécuriser un large éventail d'informations électroniques, des messages électroniques confidentiels aux transactions de commerce électronique.
La question qui se pose est la suivante : lequel de vos actifs cryptographiques doit être transféré vers un algorithme à sécurité quantique ? C'est là qu'intervient l'audit de vos actifs.
La relation entre les audits et la crypto-agilité
À l'ère de la PQC, la crypto-agilité sera vitale pour protéger les organisations.
La crypto-agilité désigne la capacité de remplacer et d'adapter les algorithmes cryptographiques pour les protocoles, les applications, les software, le hardware et les infrastructures sans perturber leur fonctionnement afin d'atteindre la résilience.
L'audit de votre inventaire d'actifs cryptographiques vous permet de déterminer ce qui doit être mis à jour ou remplacé. En prenant des mesures fondées sur les enseignements tirés d'un audit , vous renforcez la résilience de votre organisation contre les attaques utilisant des technologies quantiques. C'est ce que vous voulez accomplir, alors examinons les principaux avantages d'un audit.
Identifier les actifs cryptographiques faibles ou périmés
La première étape de l'audit des actifs cryptographiques consiste à déterminer ce qui est faible ou périmé.
Lorsque les algorithmes SHA-1 et RSA-1024 ont été développés, ils protégeaient contre les menaces de l'époque. les menaces de l'époque (ou les menaces envisagées à l'époque). Cependant, les menaces évoluent. Les algorithmes, les clés et les certificats doivent également évoluer, sinon ils ne vous protégeront pas. Si vos clés ou certificats utilisent des algorithmes anciens, les risques de cyberattaque augmentent.
L'utilisation d'actifs périmés crée des failles de sécurité que les pirates peuvent utiliser pour exploiter vos vulnérabilités. Par exemple, un attaquant surveillant votre trafic pourrait utiliser un bien expiré pour le modifier et en faire le destinataire d'un transfert d'argent. pour se faire passer pour le destinataire d'un transfert d'argent. En découvrant et en mettant à jour ces actifs, vous pouvez éviter les problèmes de confiance et les violations de la conformité.
Empêcher la cryptographie non autorisée ou fantôme
Il y a cryptographie non autorisée ou cryptographie fantôme lorsque les employés utilisent des software tiers pour le cryptage à l'insu du service informatique. Elle présente un risque pour les organisations car elle obscurcit ce qui se passe et rend plus difficile la compréhension des actifs cryptographiques existants. Supposons qu'un employé utilise un software tiers pour chiffrer des données. Même si ce software est autorisé, le service informatique n'en a pas connaissance et ne peut pas le contrôler.
Voici un autre exemple : un développeur ou une équipe de développeurs décide d'utiliser des des certificats auto-signés. Les certificats auto-signés sont des certificats de clé publique dont les signatures peuvent être vérifiées par la clé publique contenue dans les certificats. Ils sont pratiques, mais ne garantissent pas l'authenticité des informations contenues dans le certificat.
Lorsque des individus ou des équipes prennent ce genre de raccourcis, les actifs cryptographiques se multiplient, ce qui les rend plus difficiles, voire impossibles à contrôler par l'équipe de sécurité ou informatique appropriée. Le contrôle centralisé de ces actifs renforce votre posture de sécurité en offrant la visibilité nécessaire pour combler les lacunes de sécurité et effectuer les mises à jour en temps voulu.
Préparez l'avenir de votre organisation avec Crypto-Agility
Utilisez-vous d'anciens algorithmes ? Les organismes de normalisation comme le NIST les abandonnent parce qu'ils ne peuvent plus protéger efficacement les organisations, en particulier contre les risques potentiels de l'informatique quantique.
L'ère de la CQP se profilant à l'horizon, vous devez identifier les actifs existants et les mettre à niveau. Au cours d'un audit, vous signalerez les actifs qui doivent passer à une cryptographie plus efficace, ou vous déterminerez ce qui est à l'épreuve du temps. Cette étape est cruciale dans votre cheminement vers l'agilité cryptographique.
Réduire les risques opérationnels et éviter les pannes
Lors de l'audit de vos ressources cryptographiques, vous pouvez découvrir des renouvellements manqués ou des clés mal configurées. Ces éléments peuvent entraîner des interruptions de service.
Les méthodes manuelles de suivi des biens et de leurs dates d'expiration augmentent les risques. Les méthodes de suivi manuel sont sujettes aux erreurs. Vous pouvez facilement saisir des données incorrectes et il n'existe aucun moyen de mettre automatiquement à jour les enregistrements lorsque vous ajoutez ou supprimez un bien. Si vous cherchez à automatiser vos processus PKI , Keyfactor Command offre une visibilité complète, une orchestration et une automatisation de l'ensemble de votre PKI et de votre paysage de certificats dans une seule plateforme. Demander une démonstration.
L'audit révèle les lacunes dans la gestion du cycle de vie afin que vous puissiez gérer de manière proactive les renouvellements pour maintenir la fiabilité du service et la confiance des clients.
Points clés à retenir concernant l'audit des actifs cryptographiques
Il est facile de considérer l'audit des actifs cryptographiques comme un processus unique. Or, ce n'est pas le cas. Voici pourquoi :
- On ne peut pas gérer ce que l'on ne sait pas que l'on a. La cryptographie fantôme ou non autorisée permet aux actifs cryptographiques de proliférer, et les actifs faibles ou obsolètes peuvent mettre votre organisation en danger. À mesure que nous nous rapprochons de la PQC, la nécessité d'être agile en matière de cryptographie est vitale.
- L'automatisation est la seule voie pratique pour la gestion des actifs cryptographiques à l'avenir. Les méthodes manuelles sont sujettes aux erreurs, lentes et non viables à grande échelle.
- La découverte automatisée et la surveillance continue assurent la sécurité de votre organisation en identifiant les risques.. Vous n'avez plus à deviner quels sont vos actifs, vous pouvez être sûr de leur existence et des risques qu'ils représentent.
Se préparer à la CQP grâce à la découverte et à la surveillance automatisées
L'ère de l'informatique quantique pourrait arriver plus vite qu'on ne le pense. Les pirates informatiques s'y préparent déjà. Et vous ?
Voici comment vous pouvez vous préparer :
- Ne considérez pas l'audit des actifs cryptographiques comme un exercice unique.
- L'automatisation de vos capacités de découverte et de surveillance accélère les processus d'audit cryptographique afin qu'ils deviennent une partie intégrante de vos processus de sécurité.
- Keyfactor Command permet d'automatiser la découverte, l'inventaire et le renouvellement des certificats et des clés, ce qui vous permet d'éviter les pannes, de réduire les risques et de respecter les délais de conformité.
N'attendez pas une panne ou un échec de l'audit. Commencez dès maintenant à auditer votre inventaire cryptographique et automatisez le processus à l'aide d'une solution spécialement conçue à cet effet. Demandez une démonstration pour voir comment Keyfactor Command peut vous aider.
