Faits saillants du rapport 2019 de l'Institut Keyfactor-Ponemon : L'impact des identités numériques non sécurisées
Une chose que la dernière moitié de 2018 nous a apprise est que de très mauvaises choses se produisent lorsque les certificats ne sont pas gérés. De la violation d'Equifax qui n'a pas été détectée pendant 76 jours en raison d'un certificat expiré , entraînant 700 millions de dollars d'amendes, à la panne massive qui a touché presque tous les clients d'O2 et de Softbank à la suite de l'expiration d'un certificat. à la suite de l'expiration d'un certificat - ces entreprises ont prouvé que des millions de personnes sont touchées lorsque les certificats ne sont pas correctement gérés.
En tant qu'OSC, cela me préoccupe beaucoup.
Une nouvelle étude menée par l'Institut Ponemon pour Keyfactor souligne l'ampleur du défi - et pour la première fois, elle relie l'impact d'une gestion inefficace des certificats et des clés aux indicateurs clés de performance de l'organisation qui empêchent les cadres comme nous de dormir.
Le coût fascinant des certificats expirés
Réunissant les commentaires de 600 personnes interrogées dans pratiquement tous les secteurs d'activité, le rapport met en évidence les préoccupations de la communauté technique qui estime que le manque d'attention et d'investissement dans la gestion des identités numériques met les entreprises en danger.
Pensez-y : les plates-formes, les processus et les identités qui s'étendent à l'ensemble d'une organisation sont en danger, tous les jours. Dans tous les secteurs d'activité représentés dans l'étude, la capacité à découvrir, inventorier et automatiser est l'un des plus grands défis auxquels sont confrontées nos équipes PKI (ou dans de nombreux cas, même dans les grandes entreprises, une seule personne ! 74 % des personnes interrogées ont déclaré avoir déjà subi une panne importante à cause d'un certificat expiré, et 42 % pensent qu'une autre panne ayant un impact similaire ou plus important se reproduira au cours des prochains mois.
71 % des personnes interrogées ont déclaré que le manque de visibilité sur les certificats et les clés réellement déployés dans l'entreprise constituait une préoccupation majeure.
Voici donc ce qu'il faut retenir : nous savons que les pannes coûtent de la productivité et peuvent avoir un impact sur les clients, mais cela est souvent considéré comme un coût d'exploitation. Le rapport met en lumière des coûts économiques bien plus importants pour l'organisation :
- La perte économique moyenne liée à un certificat expiré est de 11,1 millions de dollars.
- Les audits qui ont échoué en raison de l'absence d'une gestion et de politiques claires en matière de certificats et de clés ont une incidence de 14,4 millions de dollars.
- L'impact économique de l'utilisation abusive des certificats de signature de code et des clés s'élève à plus de 15 millions de dollars.
Ces chiffres ne représentent pas le coût de l'activité ; ils sont suffisamment puissants pour impliquer les conseils d'administration et influer sur l'évaluation de l'entreprise. Ces types de coûts vont bien au-delà d'un poste budgétaire.
Alors, comment éviter - ou au moins minimiser - le risque ?
Investir dans la gestion de l'identité numérique
Dans de nombreux cas, le processus de découverte, d'inventaire et de gestion des certificats est laissé à des processus manuels qui sont sujets à l'erreur humaine.
Lorsque je demande aux gens comment ils gèrent les certificats, l'écrasante majorité d'entre eux utilisent encore une feuille de calcul pour suivre quels sont les certificats en vigueur, où ils se trouvent et quand ils expirent. Dans certains cas, les clients ont investi dans des produits de gestion des certificats mais, en raison des modèles de licence par certificat, ils ne disposent du budget nécessaire que pour suivre un sous-ensemble de tous les certificats, laissant ainsi une grande partie de l'entreprise sans protection.
J'espère qu'au moins ce rapport servira de signal d'alarme. En tant que responsables de la cybersécurité et de l'informatique, nos entreprises comptent sur nous pour proposer des solutions (et je vous le dis franchement : mon entreprise en propose une), et il y a de fortes chances pour que votre expert PKI essaie de créer une entreprise dans ce but.
J'aimerais en savoir plus sur l'expérience de votre entreprise et la comparer aux conclusions du rapport. N'hésitez pas à me contacter pour convenir d'un rendez-vous.
