![[Rapport d'analyste] 2021 Tag Cyber Security Annual](https://www.keyfactor.com/wp-content/uploads/Security-Annual-1.png)
Le 2021 Tag Cyber Security Annual est sorti aujourd'hui et il est rempli de plus de 300 pages de perspectives de marché et d'informations sur l'industrie. Tag Cyber a récemment collaboré avec Keyfactor sur un cadre d'approche de la gestion de la cryptographie d'entreprise et m'a interviewé sur la façon dont les équipes peuvent maîtriser leur désordre en matière de cryptographie.
Jetez un coup d'œil à mon interview ci-dessous et téléchargez le rapport pour lire d'autres interviews d'experts comme Ann Johnson, vice-présidente de Microsoft.
Ann donnera une conférence au Keyfactor Critical Trust Summit le 21 octobre, alors inscrivez-vous dès aujourd'hui pour écouter sa conférence et plus de 15 autres sessions sur l'atteinte de la crypto-agilité !
"L'automatisation au service de la crypto-monnaie" avec Ted Shorter
TAG Cyber : Quelles sont les plaintes concernant PKI?
Un rapport annuel que nous réalisons chaque année avec l'Institut Ponemon met en lumière certaines des principales plaintes relatives à la gestion de l'information et de la communication. PKI. L'un des principaux problèmes est que les entreprises ne disposent pas du personnel informatique et InfoSec adéquat ayant une expertise en PKI. Environ 53 % des organisations sont incapables d'embaucher et de retenir suffisamment de personnel qualifié en sécurité informatique ayant des compétences en PKI. La réorientation des ressources informatiques, associée à la diminution du nombre d'experts en PKI et en cryptographie dans l'industrie, a laissé la plupart des déploiements de PKI en manque de personnel.
Les organisations ont également tendance à considérer les certificats PKI en relation avec SSL/TLS. Elles se concentrent surtout sur les certificats SSL/TLS utilisés pour les applications internes ou orientées vers l'internet. Cependant, la gestion de SSL/TLS n'est qu'une fraction du paysage des certificats. Les services en nuage, les conteneurs et les réseaux de services utilisent tous des communications de machine à machine qui reposent sur des certificats d'authentification du client. De nombreuses pannes ne sont pas dues à l'expiration des certificats du serveur SSL , mais à l'absence de suivi des certificats d'authentification des clients des services web.
Il suffit d'un seul pour passer à travers les mailles du filet, et pourtant 74 % des experts en informatique et en sécurité pensent que leur organisation ne sait pas combien de clés et de certificats elle possède, et encore moins où les trouver lorsqu'ils arrivent à expiration.
TAG CYBER : Quelles sont les tendances actuelles du marché qui affectent PKI et la cryptographie ?
Alors que certains ont tendance à considérer que le site PKI est dépassé, il est en fait plus utilisé que jamais. On estime à 88 750 le nombre moyen de clés et de certificats utilisés aujourd'hui par les organisations pour sécuriser les données et authentifier les systèmes.
La migration vers le cloud nécessite des changements importants dans les pratiques de gestion des clés et des certificats. La plupart des entreprises qui adoptent DevOps utilisent des certificats pour sécuriser les conteneurs, mais sont moins confiantes dans leur capacité à faire évoluer PKI dans les centres de données sur site, dans le nuage et dans les environnements hybrides.
La plus grande tendance pour PKI est le provisionnement et la gestion de l'identité des appareils IoT . Lorsque vous entendez qu'il y aura 25 milliards de "choses" connectées d'ici 2021, cela soulève immédiatement la question : "Comment sont-ils sécurisés ? Les entreprises doivent non seulement intégrer la sécurité lors de la conception et de la fabrication, mais aussi réfléchir à la manière de mettre à jour cette sécurité si elle est assortie d'un certificat.
TAG Cyber : La prolifération des certificats ne semble pas vouloir ralentir, d'autant plus que tout le monde travaille à domicile. Quelle est la place de PKI ?
Vous avez raison de dire que l'utilisation et l'expansion des certificats ne vont pas ralentir de sitôt. PKI est une arme à double tranchant si elle n'est pas correctement conçue et planifiée. La plupart des sites PKI actuels ne sont pas conçus pour aller au-delà du réseau traditionnel des quatre murs de l'organisation.
L'état actuel des organisations PKI n'est pas conçu pour s'adapter à l'informatique dématérialisée et ne dispose pas des capacités nécessaires pour atteindre l'endroit où se trouvent les données. Il n'est plus possible de se contenter de protéger ce qui se trouve à l'intérieur de mes quatre murs. PKI peut être exploité, mais l'échelle doit être intégrée ou le site PKI doit être reconsidéré pour tenir compte de l'échelle.
TAG Cyber : La rapidité et l'assurance élevée peuvent être en contradiction. Comment Keyfactor relève-t-il ce défi ?
Si l'on conçoit une solution dès le départ, en sachant que la vitesse sera une exigence, alors la vitesse et l'assurance élevée ne seront pas en contradiction. Les défis que nous rencontrons chez nos clients sont qu'ils utilisent des architectures et des technologies anciennes pour résoudre des problèmes et des initiatives de nouvelle génération.
Avec notre site PKI en tant que service, ils n'ont pas à se soucier de la vitesse et de l'échelle.
Par exemple, un client du secteur de la fabrication automobile ne pouvait pas maintenir cette dualité de vitesse et d'échelle avec sa solution actuelle. L'une des exigences que nous avons dû prouver dans notre POC était la capacité de faire évoluer l'émission et le renouvellement des certificats sur plus de 500 millions d'appareils. Cela fait beaucoup d'appareils ! Même s'ils n'en avaient pas beaucoup, ils voulaient mettre l'accent sur la charge et l'échelle de notre solution pour s'assurer que nous pourrions répondre à tout besoin d'expansion qui serait nécessaire.
TAG Cyber : Si un client commence avec un désordre de crypto-monnaie, n'est-ce pas une entreprise massive pour eux de commencer sur votre plate-forme ?
La première étape consiste à dresser un inventaire de ce que vous devez comprendre pour remédier au problème. Nous disposons d'outils de balayage, de découverte et de surveillance qui peuvent balayer l'ensemble de votre réseau au-delà de vos certificats SSL/TLS pour les trouver. Nous montrons à nos clients la facilité avec laquelle nous pouvons le faire et ils sont époustouflés par la rapidité avec laquelle nous identifions chaque actif cryptographique sur leur réseau. Et il ne s'agit pas d'une opération ponctuelle ; nous effectuons un balayage continu pour repérer tout certificat susceptible d'être émis à leur insu.
Ensuite, naturellement, vient l'attribution des niveaux de maturité pour permettre l'automatisation et l'agilité. Cela inclut des processus tels que :
- Définir des flux de travail d'automatisation et d'approbation pour la délivrance, l'approvisionnement, le renouvellement et la révocation des certificats
- Identifier les applications prioritaires pour l'automatisation des certificats (par exemple, les serveurs web, les équilibreurs de charge, etc.)
- S'aligner sur les priorités de DevOps et les pratiques d'utilisation des certificats
Notre plateforme est conçue pour suivre le rythme du nombre croissant de clés cryptographiques et de certificats numériques afin de réduire les coûts opérationnels. De nombreuses équipes de sécurité s'efforcent encore de déployer et de gérer les certificats en utilisant un patchwork de feuilles de calcul manuelles, PKI, et des outils fournis par l'autorité de certification.
Cependant, il ne suffit plus de suivre les renouvellements de certificats pour garder une longueur d'avance, car l'évolution des normes cryptographiques remet en question la capacité des entreprises à réagir et à s'adapter.
