[Interview du CTO] Le mouvement des entreprises vers PKI as-a-Service

Maintenir une infrastructure de clés publiques (PKI) sécurisée, évolutive et bien gérée n'est pas une tâche facile. C'est pourquoi de nombreuses entreprises commencent à repenser leur ancien site PKI et à passer à un service d'entreprise PKI as-a-Service.

J'ai récemment eu l'occasion de m'entretenir avec Ed Amoroso, analyste principal et PDG de TAG Cyber, au sujet de la résurgence de PKI dans les cas d'utilisation des entreprises et de IoT .

Regardez l'intégralité de ma vidéo et lisez une partie de la transcription ci-dessous.

Nous avons commencé à proposer PKI en tant que service il y a environ huit ans, à peu près au moment où nous avons lancé notre plateforme software . L'offre "as-a-Service" et la gestion des certificats sont toutes deux nées des besoins non satisfaits que nous avons constatés chez nos clients.

Bien qu'il soit possible d'acheter des certificats numériques x.509 auprès de fournisseurs publics, la plupart des entreprises ont également besoin de PKI privés pour le Wi-Fi, les services web et les appareils internes. Cela signifie que les entreprises ne peuvent pas conserver une PKI bien gérée, bien architecturée et évolutive en "paramétrant et en oubliant" leur PKI.

Parfois, ils doivent être transparents parce que quelque chose de terrible s'est produit. Nous avons des clients qui, avant d'adopter PKI as-a-Service, avaient mal configuré leur PKI par inadvertance.

Par exemple, un client avait mis en place un système interne PKI pour crypter les ordinateurs portables et les ordinateurs de bureau. Puis il a fini par externaliser toute son informatique, et dans cette transition, il a perdu toute l'expertise sur l'endroit où toutes les clés étaient stockées, sur la manière dont l'archivage fonctionnait. Elle s'est donc retrouvée avec plus de 70 000 ordinateurs portables et de bureau qu'elle ne pouvait pas décrypter.

Que vous gériez votre propre site PKI ou que nous le fassions pour vous, vous devez disposer d'un inventaire complet de toutes les clés.

Les certificats de puits sont très similaires à un permis de conduire ou à un passeport. Dans ces deux cas, l'une des similitudes est qu'il existe une date d'obsolescence prédéfinie.

Dans le cas d'un passeport ou d'un permis de conduire, les raisons sont multiples. Vous avez peut-être changé d'adresse, ou vous avez vieilli et vous ne ressemblez plus à la photo de votre permis de conduire. Cette date de renouvellement prédéfinie oblige à établir un plan pour la mise à jour de ces documents.

Dans le cas des certificats numériques, il convient d'adopter une approche holistique :

• Comment délivrer les certificats ?
• Comment les amener là où ils doivent aller ?
• Quand peuvent-ils être utilisés ?
• Qui est autorisé à les obtenir ?
• Quels sont les registres et les politiques dont je dispose à cet égard ?
• Qui est autorisé à révoquer ce certificat et à faire en sorte qu'il ne soit plus digne de confiance ?

Et bien sûr, lorsque le certificat commence à être exploré, il faut savoir qui sera responsable de sa mise à jour. Il existe manifestement des produits tels que Keyfactor, qui peuvent aider à gérer toutes ces parties du cycle de vie.

L'automatisation joue un rôle crucial dans ce cycle de renouvellement et peut contribuer à éviter les temps d'arrêt et les pannes.

C'est le cas.

PKI existe depuis longtemps, mais ce qui s'est produit récemment, c'est une explosion des cas d'utilisation, à la fois dans les entreprises et certainement sur IoT.

Ce que nous voyons sur IoT, c'est ce concept d'objets qui n'ont jamais eu de piles de réseau et qui sont maintenant capables de communiquer. Dès que vous avez la possibilité de communiquer, vous devez être en mesure de faire des choses comme l'authentification.

Comment savoir si mon interlocuteur est légitime ? Comment savoir si les informations que j'envoie sont sécurisées ? Comment puis-je savoir si la mise à jour d'un micrologiciel que je diffuse est légitime ? Si vous envoyez une mise à jour de micrologiciel à un stimulateur cardiaque ou à une pompe à insuline, vous feriez mieux de vous assurer qu'ils sont authentiques.

Cependant, la plupart des entreprises qui se lancent dans l'authentification IoT ne prennent pas en compte la possibilité de mise à jour dans le cycle de vie de leur appareil.

La raison pour laquelle les certificats expirent n'est pas de rendre la vie des gens misérable. C'est parce que l'âge de l'algorithme, l'âge de la clé, deviennent peu sûrs avec le temps. Et c'est également vrai pour les appareils IoT .

Il peut être difficile de mettre à jour une clé sur un appareil IoT , mais cela ne vous dispense pas du fait que la cryptographie qu'il utilise ne sera plus sûre d'ici cinq à dix ans. Nous pouvons prédire ce genre de choses parce que les algorithmes que nous utilisions il y a cinq ou dix ans ne sont plus sûrs aujourd'hui.