Les idées de Chris Hickman, directeur de la sécurité, sur le rapport 2019 de l'institut Keyfactor-Ponemon : L'impact des identités numériques non sécurisées
La cybersécurité n'est jamais figée. Les menaces évoluant chaque jour, même les contrôles préventifs les plus sophistiqués n'arrêteront pas toutes les attaques.
C'est pourquoi les entreprises sont de plus en plus nombreuses à passer de la prévention et de la protection à une réponse efficace aux menaces.
L'infrastructure à clé publique (PKI) est la pierre angulaire de toute stratégie de cybersécurité d'entreprise. Les clés et les certificats numériques sont pratiquement omniprésents et assurent la protection cryptographique de la quasi-totalité des sites hardware et software que nous utilisons tous les jours.
Mais malgré une évolution vers une réponse efficace, PKI ne reçoit pas la même attention que d'autres outils de cybersécurité dans l'entreprise. Pourtant, le même principe s'applique et la récente vague d'incidents liés à la cryptographie montre que la plupart des entreprises sont mal équipées pour réagir efficacement en cas de problème.
Pourquoi vous ne pouvez pas vous permettre d'ignorer la crypto-agilité
Comme le dit le proverbe, "les choses arrivent" - et lorsqu'elles arrivent, elles mettent souvent à l'épreuve notre degré de préparation.
En tant que responsables de la cybersécurité et des technologies de l'information, nous nous préparons généralement à tout incident de sécurité susceptible de menacer notre organisation, mais disposez-vous d'un plan pour répondre aux événements liés aux cryptomonnaies ?
Une étude récente de l'Institut Ponemon sur l'impact des identités numériques non sécurisées révèle que les entreprises possèdent en moyenne près de 140 000 clés et certificats dans leur environnement, mais que plus de 60 % des personnes interrogées s'inquiètent de leur capacité à les sécuriser.
Que se passe-t-il lorsque les clés et les certificats auxquels vous faites confiance aujourd'hui deviennent votre plus grand risque demain ?
Examinons quelques-uns des incidents liés aux cryptomonnaies qui peuvent menacer votre entreprise.
1. Compromission de l'autorité de certification (AC)
Les certificats font l'objet d'une double confiance : explicite et omniprésente.
- La confiance explicite consiste à permettre à un appareil de faire confiance à un certain certificat ou à l'autorité de certification qui l'a émis.
- On parle de confiance omniprésente lorsqu'une autorité de certification est reconnue par un navigateur, une application ou un système d'exploitation (par exemple Google Chrome ou Windows OS) et que le certificat est conservé dans un "magasin de confiance".
Mais que se passe-t-il lorsqu'une autorité de certification (AC) n'est plus digne de confiance ? Il se peut que l'autorité de certification ait été violée ou qu'elle n'ait pas respecté les normes cryptographiques.
Quelle que soit la manière dont cela s'est produit, votre source de confiance pour les clés et les certificats vous a fait défaut et vous devez maintenant ramasser les morceaux.
Lorsque des violations de l'AC se produisent - le rapport Ponemon montre que les organisations ont connu deux incidents de compromission de l'AC au cours des 24 derniers mois - l'impact est énorme. Selon ce même rapport, le coût moyen de la reprise après ces événements est de 13,2 millions de dollars.
Même GoDaddy, Apple et Google ne peuvent pas garantir que vos certificats sont sécurisés et conformes aux normes du secteur - ils ont récemment émis à tort près d'un million de certificats de confiance pour les navigateurs qui ne répondaient pas aux normes en vigueur.
Malgré le risque minime, le coût de la recherche et du remplacement de ces certificats était considérable pour les organisations.
2. Bogues de la bibliothèque cryptographique
La découverte d'un bogue dans une cryptothèque peut également entraîner la nécessité de générer de nouvelles clés et de réémettre des certificats en fonction de la technologie utilisée pour la corriger ou la remplacer.
En octobre 2017, une faille découverte dans une bibliothèque software utilisée par les Trusted Platform Modules (TPM) d'Infineon pour générer des clés privées RSA a rendu vulnérables des millions de dispositifs de sécurité. Dans ce cas, il ne suffisait pas d'installer des mises à jour du micrologiciel - presque toutes les grandes entreprises dans le monde ont dû se démener pour révoquer et remplacer manuellement les clés de chiffrement faibles.
3. Dépréciation de l'algorithme
Les algorithmes cryptographiques évoluent. En fait, il est difficile de trouver un algorithme cryptographique ou un mécanisme de hachage qui ne nous ait pas fait défaut ces dernières années - remplacé par une alternative plus forte et moins cassante.
Il suffit de penser aux clés et aux algorithmes de hachage auxquels nous faisions confiance en 2007, de MD5 et SHA-1 aux clés RSA de 1024 bits. Aucun n'est acceptable aujourd'hui.
Les experts dans le domaine de l'informatique quantique prévoient que les ordinateurs quantiques seront viables dans les 15 prochaines années. Ce bond en avant est susceptible de perturber les composants clés de la cryptographie telle que nous la connaissons, obligeant les entreprises à s'orienter vers de nouvelles stratégies, normes cryptographiques et technologies.
La recherche et le remplacement des clés et des certificats sur les systèmes concernés sont encore largement manuels, ce qui représente un coût et un risque considérables pour l'organisation. Lors du passage de SHA-1 à SHA-2, plusieurs organisations ont fait état de dépenses supérieures à 5 millions de dollars. Et cela suppose qu'aucun audit n'a échoué en cours de route, auquel cas les coûts pourraient dépasser largement les 14 millions de dollars.
4. Utilisation abusive des clés et des certificats
Les clés privées sont essentielles pour décrypter les données et permettre l'accès aux informations critiques. Mais entre de mauvaises mains, elles peuvent être utilisées pour usurper l'identité d'une entité de confiance et obtenir un accès illimité à votre réseau.
Les attaquants peuvent cibler les clés de confiance utilisées par les pare-feu, les équilibreurs de charge et les serveurs, ce qui leur permet de se cacher dans votre trafic crypté. Ne sachant pas quelle clé a été volée, les équipes informatiques et de sécurité sont obligées de générer de nouvelles clés et de nouveaux certificats pour des centaines de systèmes.
Les organisations estiment qu'elles ont connu en moyenne plus de quatre incidents d'utilisation abusive de certificats et de clés de serveur, ce qui a coûté en moyenne 13,4 millions de dollars au cours des deux dernières années.
Crypto-Agility - C'est maintenant qu'il faut commencer
À l'échelle de l'infrastructure de clés publiques actuelle, les scripts manuels et les feuilles de calcul sont tout simplement inefficaces.
La crypto-agilité permet de gérer vos clés et vos certificats de manière proactive et réactive. Si votre entreprise n'est pas crypto-agile, il est temps de commencer. L'agilité cryptographique est impérative à l'approche de l'ère de la cryptographie post-quantique.
L'élaboration d'une stratégie efficace de gestion des clés et des certificats et l'investissement dans l'automatisation peuvent vous aider à garder une longueur d'avance en matière de sécurité et à réduire l'impact et le coût des incidents liés aux cryptomonnaies pour votre entreprise.
Vous voulez en savoir plus ? Téléchargez cet eBook et commencez votre chemin vers une solution crypto-agile PKI, ou consultez notre dernière version - Keyfactor Command 6 - conçue pour permettre une gestion crypto-agile des clés d'entreprise à l'échelle.
