Les organisations de toutes tailles ont adopté la transformation numérique pour dégager de nouvelles sources de revenus, fonctionner plus efficacement et fournir des produits et services de qualité plus rapidement que jamais. Les nouvelles plateformes informatiques et pratiques de développement - de la main-d'œuvre mobile au cloud, en passant par IoT et DevOps - créent davantage d'opportunités de croissance et d'agilité.
La connectivité a donc augmenté de manière exponentielle, dépassant le périmètre traditionnel. Internet est devenu la nouvelle plateforme d'exploitation, les organisations passant d'environnements réseau autonomes et hautement fiables à une infrastructure multicloud dispersée.
En raison du nombre croissant d'appareils et d'applications connectés, combiné aux opérations commerciales en constante évolution des entreprises, d'énormes quantités de données commerciales et de données vitales (dans le cas des appareils médicaux) transitent par des millions de points de connexion, ce qui multiplie notre surface d'attaque potentielle.
Dans ce monde sans frontières traditionnelles ni périmètres de réseau, comment les organisations établissent-elles la confiance ?
Le rôle des identités numériques
L'identité numérique est le fondement de la sécurité dans ce nouveau paradigme. Les équipes de sécurité doivent identifier ce qui est fiable et ce qui ne l'est pas avant d'autoriser l'accès aux données critiques. Chaque utilisateur, appareil et application a besoin d'une identité numérique unique pour s'authentifier et se connecter en toute sécurité.
Pour ce faire, les organisations utilisent des certificats et des clés numériques pour vérifier l'authenticité et crypter les communications. Cependant, comme la connectivité continue de croître, le nombre de clés et de certificats utilisés pour protéger ces connexions augmente également, et avec lui, la complexité de leur gestion.
Des lacunes de sécurité généralisées
Près de la moitié des entreprises utilisent plus de 10 000 certificats dans leur environnement informatique. En l'absence d'une gestion appropriée, ces actifs destinés à instaurer la confiance peuvent trop rapidement devenir des sources de risque. Les clés privées compromises utilisées pour signer du code ou décrypter des données sensibles peuvent être utilisées par des pirates pour distribuer des logiciels malveillants ou voler des données, tandis que les certificats expirés peuvent mettre hors service des applications critiques, voire des réseaux entiers.
Un nombre croissant d'entreprises ont été victimes de pannes liées à des certificats qui ont affecté des millions d'utilisateurs finaux. Les certificats inconnus ou expirés ne font pas qu'endommager les systèmes ; ils créent également des zones d'ombre dans le réseau qui rendent les organisations vulnérables aux violations. L'exemple le plus évident est celui de la faille d'Equifax, qui n'a pas été détectée pendant des mois à cause d'un seul certificat expiré.
Le vol et l'utilisation abusive des clés ont également causé des dommages importants aux entreprises. Cette année encore, deux grandes brèches ont été révélées au public. Dans les deux cas, les attaquants ont eu accès à des clés privées mal protégées pour distribuer des logiciels malveillants à des milliers d'appareils (dans le cas d'ASUS) ou pour compromettre la confiance des clients (dans le cas de NordVPN).
S'il est facile de citer ces quelques exemples, les lacunes de sécurité sous-jacentes à l'origine de ces incidents sont largement répandues dans la plupart des organisations aujourd'hui. Selon un rapport Ponemon de 2019, 74 % des organisations affirment que les certificats ont causé et causent encore des temps d'arrêt ou des pannes non planifiés. En outre, le vol et l'utilisation abusive des clés et des certificats de serveur auront un impact sur 39 % des organisations au cours des deux prochaines années.
Mais pourquoi la situation s'aggrave-t-elle au lieu de s'améliorer ?
Multiplication des risques et des défis
Malgré les progrès de la conteneurisation, de l'informatique en nuage et de IoT, la majorité des administrateurs d'infrastructures à clé publique (PKI ) déploient et gèrent encore des certificats en utilisant des méthodes dépassées. Le suivi manuel des certificats sur des feuilles de calcul ou à l'aide de scripts personnalisés était peut-être suffisant pour l'infrastructure statique des années 90, mais les environnements modernes sont agiles et automatisés. La plupart des organisations ne disposent tout simplement pas du personnel, des processus et de la technologie nécessaires pour fournir, mettre à jour et révoquer efficacement les certificats à la vitesse et à l'échelle requises par leur activité.
Les cycles de vie plus courts des certificats, imposés par l'industrie et l'infrastructure instantanément évolutive, posent de nouveaux défis, multipliant la charge de travail des équipes informatiques et de sécurité par deux ou trois dans de nombreux cas. Une mosaïque de feuilles de calcul, de sites internes PKI et d'autorités de certification publiques (AC) est source d'inefficacité et de risque de panne ou de violation en raison d'une erreur humaine.
Il ne suffit pas de se tenir au courant de l'expiration des certificats. Les algorithmes cryptographiques sur lesquels nous nous appuyons aujourd'hui seront un jour obsolètes, si ce n'est pas à cause de l'évolution des normes industrielles, mais à cause des progrès de l'informatique quantique qui pourraient rendre vulnérables même les clés et les algorithmes les plus robustes. Trouver et remplacer des algorithmes à grande échelle sera problématique pour la plupart des organisations, sachant qu'il leur a fallu des années pour abandonner les algorithmes MD5 et SHA1.
Une gestion efficace de PKI et de la cryptographie nécessite également un ensemble de compétences et de ressources spécialisées, mais les équipes de sécurité ont du mal à les trouver et à les conserver. Seules 39 % des organisations déclarent avoir suffisamment de personnel de sécurité informatique dédié au déploiement de PKI . Il n'est donc pas étonnant que nous ayons assisté à une flambée d'incidents liés aux certificats et aux clés au cours des dernières années.
La transformation numérique expose-t-elle votre entreprise ?
En tant que responsables des technologies de l'information et de la sécurité, nous sommes inondés d'articles sur les failles de sécurité. Nos fils d'actualité sont tellement encombrés d'articles et de messages que nous y sommes devenus insensibles. Pourtant, il est devenu évident que l'évolution du paysage informatique a laissé nos organisations plus exposées que jamais.
Découvrez comment les entreprises protègent leurs identités numériques en 2020. Lisez le rapport 2020 Keyfactor-Ponemon Institute pour savoir où en est votre entreprise.