Les idées de Chris Hickman, directeur de la sécurité, sur le rapport 2019 de l'institut Keyfactor-Ponemon : L'impact des identités numériques non sécurisées
Des milliers de certificats numériques sécurisent votre entreprise chaque jour, mais de nombreuses organisations n'ont une visibilité que sur quelques centaines au mieux. Avec l'augmentation du nombre d'utilisateurs, d'appareils et d'applications sur le réseau, le nombre de clés et de certificats ne cesse de croître, mais les budgets et le personnel ne semblent pas pouvoir suivre.
Les réglementations en matière de conformité semblent évoluer tout aussi rapidement, laissant les équipes informatiques et de sécurité dans l'obligation de respecter les normes réglementaires, sans parler de prendre de l'avance.
Pour ceux qui sont en première ligne de l'infrastructure à clé publique (PKI), le suivi des clés et des certificats peut facilement ressembler au Far West, où les administrateurs malhonnêtes et les cybercriminels sont une menace constante pour l'entreprise qu'ils s'efforcent de défendre. Mais pour les responsables de la cybersécurité et de l'informatique qui ne sont pas impliqués dans le quotidien, il s'agit d'une activité habituelle.
Jusqu'à ce que l'auditeur vienne frapper à la porte...
L'inévitable audit de la gestion des clés : Êtes-vous prêt ?
Il est déjà difficile de rester à l'affût des certificats expirés, mais cela ne suffit pas. Les organisations sont de plus en plus soumises à l'examen minutieux des organismes de réglementation du secteur. Les auditeurs veulent savoir si les clés et les certificats de votre organisation sont gérés, protégés et conformes aux normes du secteur.
La non-conformité est souvent synonyme de délais imposés pour la mise en œuvre de mesures correctives, d'éloignement du personnel informatique hautement qualifié des projets stratégiques, et d'une course effrénée pour trouver et réparer les éléments d'actif non conformes.
Il ne s'agit pas seulement d'audits occasionnels.
À l'heure où les entreprises s'orientent vers des cartes de score de sécurité et des programmes de cybersécurité basés sur des indicateurs clés de performance (parfois liés à la rémunération), les équipes chargées de la sécurité informatique et de la conformité doivent s'assurer que chaque certificat est conforme aux normes de l'entreprise, et être en mesure de le prouver.
Pour répondre à ces scénarios d'audit, vos équipes devront produire un rapport démontrant que chaque certificat est conforme aux politiques de l'entreprise et aux normes du secteur.
Cela semble simple, n'est-ce pas ? Pas tout à fait.
Se tenir au courant de la conformité
Une étude récente de l'Institut Ponemon sur L'impact des identités numériques non sécurisées révèle que la plupart des organisations ont encore du mal à se mettre en conformité. L'étude a recueilli les commentaires de près de 600 personnes, dont voici quelques points saillants :
- Les répondants ont connu en moyenne plus de cinq échecs d'audit ou incidents de conformité au cours des deux dernières années.
- La perte économique moyenne liée à ces incidents est estimée à 14,4 millions de dollars.
- La productivité des utilisateurs et des équipes de sécurité informatique est la plus affectée par l'échec des audits.
- Il y a 42 % de chances que les organisations fassent la même expérience au cours des deux prochaines années.
Mais pourquoi les organisations échouent-elles si souvent à respecter la conformité ?
Le plus souvent, des certificats erronés et non conformes se frayent un chemin dans votre réseau en raison d'un manque de contrôles stricts des demandes de certificats et d'une application insuffisante de la politique.
Étant donné que les certificats numériques jouent un rôle essentiel dans pratiquement tous les secteurs d'activité - de la protection de votre réseau et de vos appareils connectés à la sécurisation de votre site web - de nombreuses parties prenantes sont impliquées. Les processus manuels et lents d'obtention de certificats auprès du service informatique conduisent souvent les autres unités opérationnelles à opter pour des solutions plus rapides et non conformes.
En l'absence de contrôles sur la manière dont les administrateurs demandent, renouvellent et installent les certificats, ils sont beaucoup plus susceptibles d'enfreindre les politiques informatiques, et il devient rapidement impossible de savoir où se trouve chaque certificat, comment ils sont utilisés et qui en est le propriétaire.
La plus grande erreur est de penser qu'un suivi manuel dans Excel ou dans une base de données répondra aux exigences de l'audit. Les auditeurs examineront ces feuilles de calcul avec encore plus d'attention, afin de s'assurer que les données n'ont pas été manipulées ou saisies de manière incorrecte.
Si vous êtes familier avec ce processus, vous savez qu'il peut prendre plusieurs jours, voire plus pour les environnements de grande taille. En d'autres termes, une gestion des clés et des certificats non contrôlée, non documentée et non appliquée fera inévitablement de chaque audit un cauchemar logistique.
3 façons de garantir la réussite de l'audit de gestion des clés
Alors, que pouvez-vous faire pour que votre prochain audit soit un succès ?
- Automatiser les demandes de certificats : Appliquez des contrôles stricts et automatisez le processus de demande, de renouvellement et d'émission de certificats pour chaque unité opérationnelle. De cette façon, vous conservez un inventaire complet et une piste d'audit des clés et des certificats à partir d'un emplacement unique, et vos équipes échangent des processus manuels fastidieux contre un libre-service instantané.
- Investissez dans la crypto-agilité: Savoir où se trouve chaque certificat n'est qu'une partie du défi de l'audit. Si un audit révèle des violations de la politique, vous devez être en mesure de changer rapidement les clés et les certificats sur les actifs, sans intervention manuelle.
- Envisagez l'hébergement dans le nuage PKI: Les fournisseurs de services gérés PKI fournissent généralement de meilleures preuves pour les points d'audit que les solutions sur site, car les solutions de sécurité hébergées dans le nuage doivent être conformes aux normes de l'industrie.
En tant que responsables de la cybersécurité et de l'informatique, nous savons qu'un seul audit raté peut avoir un impact sérieux sur la productivité de nos équipes, la réputation de notre marque et, bien sûr, la confiance en notre propre capacité à assurer la sécurité de l'entreprise.
C'est notre rôle de faire sortir la cybersécurité des sous-sols et de la faire entrer dans la salle du conseil d'administration. Avec un siège à la table, nos équipes peuvent planifier des moyens plus efficaces pour faire face aux menaces émergentes et aux obstacles à la conformité - réduisant ainsi le risque d'échecs d'audit imprévus (et coûteux).
J'aimerais en savoir plus sur l'expérience de votre entreprise et la comparer aux conclusions du rapport. N'hésitez pas à me contacter et trouvons un moment pour discuter.
