Comment identifier si votre organisation présente un déficit de confiance critique ?

Serait-il surprenant de savoir que plus de 74 % des entreprises ne savent même pas combien de clés et de certificats elles possèdent, et encore moins où ils se trouvent ou quand ils expirent ? Un rapport récent de l'industrie a mis en évidence cette statistique révélatrice ainsi que la réalité selon laquelle l'échelle massive de clés et de certificats publics/privés nécessaires pour assurer la sécurité des entreprises a créé un fossé de confiance critique.

Avant de comprendre comment identifier cette lacune, il est important de comprendre comment l'infrastructure des entreprises a évolué au fil du temps.

Dans l'informatique traditionnelle d'il y a 10 à 15 ans, la plupart de vos données et applications fonctionnaient sur une infrastructure dédiée au sein de votre centre de données. Ces serveurs étaient configurés manuellement par les équipes informatiques et opérationnelles pour fonctionner pendant de longues périodes. Cette approche statique était également copiée par l'équipe de sécurité qui se concentrait principalement sur la configuration du périmètre intérieur. Le périmètre contenait des défenses qui définissaient ce qui entrait dans l'organisation et quelles connexions étaient autorisées en dehors du périmètre.

Dans cet environnement, l'infrastructure à clé publique (PKI ) était principalement axée sur les certificats SSL/TLS utilisés pour sécuriser les actifs orientés vers l'internet (par exemple, les transactions sur le web, les sites web). Ces opérations First Gen PKI ou web PKI étaient d'une portée limitée et ne nécessitaient qu'un minimum de frais généraux. La sécurité peut n'avoir à gérer qu'une centaine de certificats, voire moins, et peut donc se contenter de gérer ces certificats à l'aide d'une feuille de calcul.

Cependant, au fur et à mesure que le réseau de l'entreprise s'est développé, il est devenu nécessaire de mettre en place un site privé PKI pour gérer les communications et les données. Il a donc fallu configurer l'autorité de certification (CA) software et commencer à émettre des certificats pour le Wi-Fi, le VPN et l'authentification des appareils. La plupart de ces certificats ont été automatisés par le biais d'une inscription automatique. Bien que cela ait pu fonctionner pour sécuriser leurs actifs internes, une nouvelle ère de perturbation a rendu la gestion du site privé PKI extrêmement complexe.

Internet est devenu la nouvelle plateforme d'exploitation et les modèles traditionnels de sécurité sur site ne sont plus efficaces. Ce n'est pas une surprise pour tout le monde, mais il est important de comprendre les facteurs à l'origine de cette perturbation des réseaux d'entreprise.

Toutes ces perturbations ont contraint les entreprises à adopter une stratégie multi-cloud pour leur infrastructure. Cette nouvelle stratégie a déplacé l'attention de la sécurisation du périmètre vers la sécurisation des données et des applications elles-mêmes. Pour ce faire, nous utilisons des clés et des certificats publics/privés, connus sous le nom d'identités numériques.

Les nombreux cas d'utilisation de PKI se sont développés au même rythme que les identités numériques à protéger. Au lieu de gérer quelques centaines de certificats, les opérations de sécurité doivent désormais en gérer des milliers, voire des millions, qui fonctionnent au sein d'une infrastructure multicloud.

Voici quelques cas d'utilisation de PKI dans une infrastructure multi-cloud, et quelques implications à prendre en compte :

• Utiliser des conteneurs : Les équipes DevOps utilisent des conteneurs hautement automatisés (par exemple Kubernetes, Docker) comme blocs de construction pour la livraison software dans les environnements cloud. Cependant, si les conteneurs sont créés et détruits par l'automatisation, les certificats peuvent-ils être fournis de manière sûre et fiable aux conteneurs à la même vitesse ?
• Adoption de CI/CD : les pipelines de livraison continue (CD) permettent aux équipes d'utiliser des outils d'intégration continue (CI) tels que Jenkins pour construire, tester et déployer leur code. Ces équipes ont tendance à fonctionner en silos en dehors de la gouvernance traditionnelle PKI par le biais d'une autorité de certification auto-signée (par exemple HashiCorp Vault). Alors que les équipes publient plus rapidement, la sécurité n'est pas consciente de l'augmentation du nombre de certificats non fiables et inconnus.
• Opérations de signature de code sécurisées : La vitesse et l'ampleur de la signature de code ont également augmenté avec une main-d'œuvre diversifiée dans le monde entier. La plupart des entreprises emploient à la fois des développeurs à temps plein et des prestataires de services qui doivent signer du code sans exposer les clés privées à des attaques potentielles.
• Évolution des appareils mobiles et IoT: Les outils de gestion de la mobilité d'entreprise utilisent également des certificats pour sécuriser les appareils mobiles en dehors de l'utilisation traditionnelle de PKI. Si l'on ajoute l'explosion des appareils IoT qui nécessitent une autorisation et des identités uniques, le problème de l'évolution continue de se poser.
• Accès au réseau distribué : Auparavant, nous pouvions faire confiance à presque tout ce qui se trouvait à l'intérieur de notre environnement réseau protégé par le périmètre. Désormais, les routeurs, les commutateurs, les équilibreurs de charge et les pare-feu ont tous besoin d'une identité unique pour être fiables.

Ces cas d'utilisation mettent en évidence de nouvelles complexités dans la gestion du cycle de vie des identités numériques à grande échelle. La mauvaise gestion des clés et des certificats privés/publics continue de perturber les opérations et de saper la confiance dans de nombreuses organisations aujourd'hui, ce qui se traduit par un déficit de confiance critique.

En résumé, le déficit critique de confiance doit être identifié, reconnu et comblé pour garantir la sécurité de l'entreprise.

Ces cas d'utilisation sont une bonne nouvelle pour ceux qui cherchent à exploiter plus largement PKI dans leur organisation. Cependant, c'est une mauvaise nouvelle si leur site PKI n'a pas été conçu pour ce niveau d'échelle et de complexité.

Voici quelques-uns des indicateurs clés de notre récent rapport sur le secteur qui identifient un déficit critique de confiance :

• Interruptions opérationnelles : Au cours des deux dernières années, 87 % des entreprises interrogées ont connu des interruptions non planifiées dues à des certificats expirés et 55 % en ont connu quatre ou plus. Sachant que Gartner estime qu 'une heure d'indisponibilité du réseau équivaut à 300 000 dollars, il n'est pas difficile de comprendre à quel point les interruptions de service sont coûteuses pour l'entreprise.
• Audits ratés : Au-delà des pannes opérationnelles, les personnes interrogées ont également admis avoir subi en moyenne 6 échecs d'audit au cours des deux dernières années, ce qui représentait un risque sérieux pour la sécurité.
• Pénurie de personnel : PKI L'expertise est un ensemble de compétences rares et le placement de talents au sein de votre organisation s'avère difficile pour la plupart d'entre eux. Il en résulte un manque de contrôle sur les processus internes nécessaires à l'émission, au déploiement et à la gestion des identités numériques tout au long de leur cycle de vie. Seuls 38% des répondants estiment disposer d'une couverture acceptable sur PKI .
• Manque de visibilité/contrôle : Comme nous l'avons déjà mentionné, 74% des entreprises ne connaissent pas le nombre exact de clés et de certificats que leur organisation a dispersés à travers un mélange de plateformes multi-cloud, mobiles et IoT . En outre, plus de 76 % des personnes interrogées ont indiqué que l'incapacité à sécuriser ces clés et ces certificats sapait la confiance dans leur entreprise.

Si vous n'évaluez pas correctement la manière dont votre organisation gère actuellement les clés et les certificats numériques, l'écart de confiance critique ne fera que se creuser au fur et à mesure que le nombre d'identités numériques dont dépend votre organisation augmentera.

Voici quelques pistes utiles pour envisager de combler le déficit critique de confiance.

• Repensez votre PKI: La réalité des cas d'utilisation de PKI peut être écrasante et il est impératif que vous ayez une stratégie à long terme pour gérer votre PKI. Réalisez un audit pour savoir qui "possède" PKI dans votre organisation et comment il le gère parmi ses autres responsabilités. Suivez le nombre d'identités numériques émises par votre organisation d'une semaine à l'autre pour voir où la capacité maximale pourrait atteindre un point de rupture.
• Passer de la réactivité à la proactivité : Selon Gartner*, "les responsables de la sécurité qui parviennent à repositionner la gestion des certificats X.509 dans un contexte commercial convaincant, tel que l'entreprise numérique et l'activation de la confiance, augmenteront la réussite du programme de 60 %, contre moins de 10 % aujourd'hui". Il faut passer d'une vision des identités sécurisées comme un problème à une vision comme un élément essentiel de la sécurisation de votre entreprise numérique.
• Prévoir la crypto-agilité : La plupart des organisations ont planifié les progrès de l'informatique quantique et la manière dont ils affecteront les pratiques de cryptage. Toutefois, près de 50 % des personnes interrogées craignent que l'essor de l'informatique quantique n'exige des changements importants dans les pratiques de gestion des certificats et de PKI . Pour résoudre le problème de l'avenir de l'informatique quantique, il faut agir maintenant, et non pas pendant son arrivée éventuelle.

*Aperçu technologique de la gestion des certificats X.509, David Mahdi, David Collinson, octobre 2019