Mois de la sensibilisation à la cybersécurité : Neuf choses que les équipes de sécurité doivent savoir PKI

Dans le cadre du Mois de la sensibilisation à la cybersécuritéKeyfactor met l'accent sur les façons dont les équipes peuvent s'adapter au défi croissant que représente la gestion des certificats et des identités des machines au sein de leur organisation.

Jusqu'à récemment, la cryptographie à clé publique était une pratique assez marginale. Cependant, avec l'émergence du travail à distance, de l'informatique en nuage et des appareils IoT , le volume et la prévalence des certificats ont explosé. 

Cette vulnérabilité croissante est en train de devenir un vecteur d'attaque privilégié par les acteurs malveillants. Entre-temps, les entreprises ont été prises au dépourvu, s'efforçant d'évaluer l'état des certificats au sein de leur organisation et de mettre en œuvre des politiques à long terme pour les sécuriser et les gérer.  

KeyfactorLe rapport 2022 sur l'état de l'identité des machines (2022 State of Machine Identity Report) révèle que les entreprises possèdent en moyenne 269 562 certificats publics et privés.

La gestion de l'infrastructure à clé publique (PKI) est une tâche ardue lorsqu'elle s'ajoute aux responsabilités principales de votre équipe. Pour gérer et faire évoluer efficacement PKI, les équipes chargées de la sécurité doivent connaître un grand nombre de choses - c'est pourquoi nous en avons présenté neuf que vous devriez prendre en considération.

Un rapport publié en 2021 par Keyfactor et Ponemon a révélé que 50 % des entreprises ne savent pas exactement combien de clés et de certificats elles possèdent. Et dans le Keyfactordans son rapport 2022 sur l'état de l'identité des machinesl'obtention d'une visibilité complète de tous les certificats était la principale priorité pour PKI et la gestion des certificats.

Cette situation est symptomatique de la prolifération de PKI - plusieurs équipes utilisant différentes autorités de certification. autorités de certification (21 en moyenne) sans centralisation du suivi et de la gestion des certificats. Pour ajouter à la complexité, de nombreuses organisations n'établissent pas clairement la propriété de PKI au sein de l'entreprise.

La solution consiste à mettre en œuvre une solution de gestion du cycle de vie des certificats. Keyfactor Command est une solution de gestion du cycle de vie des certificats et d'automatisation. une solution de gestion du cycle de vie des certificats et d'automatisation qui peut être déployée sur site, en tant que service, ou combinée à une solution privée hébergée dans le nuage PKI (connue sous le nom de PKI-as-a-Service). Quel que soit le mode de déploiement choisi, vous serez en mesure de découvrir et de gérer rapidement les certificats existants dans votre environnement, puis d'augmenter les opérations PKI en fonction de l'évolution des besoins de l'entreprise.

De nombreuses équipes informatiques et de sécurité ont tout simplement trop d'autres priorités pour intégrer la gestion de PKI dans leurs responsabilités quotidiennes. En fin de compte, d'autres tâches sont plus essentielles à la nature de leur rôle. PKI sera relégué au second plan par rapport à la maintenance des systèmes, à la réponse aux incidents et à l'investigation des alertes. Selon l'étude KeyfactorRapport sur l'état de l'identité des machines en 2022:

• 65% des entreprises sont préoccupées par l'augmentation de la charge de travail et le risque de pannes causés par la réduction de la durée de vie des certificats TLS . 
• 50% ont déclaré qu'ils n'avaient pas assez de personnel informatique dédié à leur PKI. 
• 33 % des organisations considèrent que le manque de temps et de budget est le principal obstacle à l'adoption d'une stratégie de gestion du site PKI à l'échelle de l'entreprise.

Parallèlement, la durée de vie des certificats diminue afin de protéger les entreprises contre les menaces de compromission ou de vol de certificats. Depuis 2020, 398 jours est la durée de vie largement acceptée pour les certificats. pour les certificats. Cependant, de nombreuses autorités de certification adoptent des durées de vie de 90 jours.

Ces durées de vie continueront à diminuer, ce qui signifie que les certificats expireront plus fréquemment, augmentant ainsi l'exposition au risque pour les organisations qui ne disposent pas d'un système fiable de gestion de PKI. En l'absence de ressources adéquates sur le site PKI , la gestion des certificats expirés coûtera de plus en plus cher.

"D'accord", pensez-vous.nous allons simplement créer une équipe interne PKI composée d'analystes de l'informatique et de la sécurité que nous avons déjà au sein de notre personnel."

Bien trop souvent, les organisations font peser PKI sur les épaules d'un personnel qui n'a qu'une expérience limitée (voire aucune) de la gestion de PKI. Bien que vos techniciens en informatique et en sécurité soient probablement très compétents, ils partent de zéro dans un paysage PKI en constante évolution. 

• Le niveau de changement et d'incertitude autour de PKI est le principal obstacle à l'adoption d'une stratégie de gestion de PKI à l'échelle de l'entreprise. 
• Le manque de personnel qualifié est le deuxième obstacle le plus important à l'adoption d'une stratégie à l'échelle de l'entreprise. [KeyfactorRapport sur l'état de l'identité des machines en 2022]

La courbe d'apprentissage est trop raide et les enjeux sont trop importants pour laisser votre site PKI entre les mains de quelqu'un qui n'est pas expérimenté et compétent dans le domaine PKI . 

L'obtention de PKI commence par la conception. Cependant, il existe un grand nombre d'aspects de la conception de PKI qui, une fois configurés, ne peuvent être modifiés sans un redéploiement complet. Ces aspects rigides ont des implications significatives pour l'utilisation à long terme de votre PKI.

Le personnel et les ressources dédiés au site PKI deviennent indispensables. Si l'on PKI doivent S'ils doivent être confiés à des professionnels de l'informatique et de la sécurité ayant d'autres responsabilités importantes, les organisations doivent s'efforcer de réduire autant que possible la complexité de la gestion de PKI .

Quel que soit le contexte, les processus manuels sont l'ennemi de la modernisation, de l'échelle et de la transformation. Dans le contexte de PKI , les processus manuels associés à un manque d'expertise sur PKI sont la recette d'un désastre.

• Le processus de demande, de génération et de déploiement manuel d'un nouveau certificat est fastidieux, en particulier lorsque les personnes qui s'en chargent ne sont pas à l'aise avec PKI. 
• 42% des organisations utilisent encore des feuilles de calcul pour suivre et gérer les certificats. Pourtant, les feuilles de calcul ne peuvent pas vous avertir lorsqu'un certificat expire ou est sur le point d'expirer, et elles ne peuvent pas non plus signaler les erreurs dues à la saisie manuelle des données.
• Les processus manuels se prêtent à une utilisation ad hoc et incohérente par les équipes. Ce manque de standardisation rend difficile la mise en place et l'extension des meilleures pratiques.
• Lorsque des vulnérabilités sont révélées, il est vital d'agir rapidement pour remplacer les certificats, mais les processus manuels ne permettent pas de réagir avec la rapidité nécessaire. Cela est particulièrement vrai en cas de compromission d'une autorité de certification, qui nécessite l'émission en masse de nouveaux certificats.

L'automatisation est la solution. Avec une plateforme de gestion centralisée PKI , vous n'avez pas à vous occuper de vos certificats. De la surveillance continue et des alertes automatisées aux intégrations API en passant par la possibilité pour les utilisateurs finaux d'exécuter leurs propres processus de certification, l'automatisation des processus PKI est la clé de l'évolutivité.

Travail à distance, IoT, DevOps - le périmètre du réseau traditionnel n'est plus ce qu'il était. Les membres de l'équipe ont besoin d'un accès sécurisé aux systèmes et aux applications qui leur permettent de travailler. En ce qui concerne le travail à distance et IoT, le défi de la sécurisation des appareils réside dans une toute nouvelle série de conditions et de facteurs qui échappent à votre contrôle. Si quelqu'un travaille à distance, les appareils et les réseaux par lesquels il accède à vos serveurs peuvent ne pas être à la hauteur en termes de sécurité. Pour les appareils IoT , l'appareil doit se connecter à un serveur pour en valider la propriété, quel que soit l'endroit où il est activé.

Pour DevOps, tout est question d'échelle et de vitesse. Les processus manuels de PKI décrits ci-dessus représentent un défi important pour la dynamique DevOps et la réalisation de CI/CD. Un site PKI rationalisé et efficace peut accélérer les cycles de développement tout en améliorant la qualité, sans sacrifier la sécurité.

Quel que soit le degré de renforcement de votre dispositif de sécurité aujourd'hui, il se détériorera au fil du temps. De nouvelles technologies et menaces apparaissent sans cesse. Avec le temps, toute mise en œuvre de la sécurité s'effondrera, et aucune méthode de cryptage n'est invincible. 

L'agilité commerciale signifie la capacité à s'adapter rapidement avec un minimum de perturbations. Dans le contexte de PKI , la crypto-agilité signifie que votre entreprise peut faire évoluer ses processus PKI sans perturber l'ensemble de l'infrastructure informatique ou de sécurité. La crypto-agilité permet aux organisations de garder une longueur d'avance sur les vulnérabilités avant qu'elles ne soient révélées par une rupture, une infraction ou une pénalité de conformité. 

L'agilité et l'adaptabilité créent la durabilité-une architecture PKI durable qui peut évoluer avec votre entreprise, suivre le rythme des réglementations de plus en plus strictes et même contribuer aux initiatives d'innovation.

L'explosion des cas d'utilisation et du volume autour de PKI nécessite un nouvel ensemble de bonnes pratiques. Lorsqu'elles sont mises en œuvre dès le départ, ces pratiques peuvent préserver l'intégrité de votre site PKI et vous éviter un redéploiement perturbateur plus tard.

Avec PKI, il n'est pas possible d'improviser au fur et à mesure. Vous devez disposer d'une feuille de route détaillée avant de faire le premier pas.

• Comment le site PKI est-il utilisé dans votre organisation et comment devra-t-il être utilisé à l'avenir ?
• Quelles sont les meilleures politiques et procédures pour gérer les certificats tout au long de leur cycle de vie dans votre organisation ? 
• Quels contrôles allez-vous mettre en place pour soutenir ces politiques et procédures ? 
• Comment allez-vous saisir, expliquer et documenter les changements apportés à votre plan et à votre site PKI?

La mise en place d'un bon design sur votre site PKI n'est qu'un début. Un site PKI nécessite beaucoup d'entretien et de maintenance pour rester fonctionnel. C'est un risque pour les équipes de sécurité qui se concentrent sur la mise en œuvre de PKI , mais pas sur son exploitation indéfinie.

Lorsque vous gérez PKI en interne, vous devez intégrer des audits réguliers dans votre pratique PKI . Un audit doit comprendre un examen et un test de tous les éléments énumérés dans votre politique de certification et vos déclarations de pratiques de certification (CP/CPS), ainsi que des plans de continuité des activités et de reprise après sinistre pour tous les composants de PKI . S'il existe un besoin légitime de changement, lancez un contrôle des changements pour mettre à jour l'un ou l'autre des documents. Considérez-les comme des documents vivants qui évoluent pour maintenir le niveau d'assurance prévu par le site PKI.

Les organisations qui programment et réalisent leurs propres audits internes peuvent régulièrement et facilement identifier les problèmes, répondre aux questions des auditeurs externes et fournir la preuve du niveau d'assurance requis. PKI Les propriétaires devraient également surveiller et comparer les contrôles de leur entreprise PKI avec les normes actuelles et émergentes, y compris le CA/Browser Forum, WebTrust et les organismes de réglementation du secteur. Cela permet à l'organisation de rester à l'affût des tendances qui pourraient entraîner des lacunes sur PKI . Une autre bonne pratique consiste à effectuer un bilan de santé annuel à l'adresse PKI afin de découvrir tout ce que l'organisation n'a peut-être pas pris en compte.

Les ressources nécessaires à la conception, à la mise en œuvre, à la maintenance et à l'évolution de PKI en interne représentent un coût élevé et une barrière technique importante, en particulier dans le contexte actuel de pénurie de main-d'œuvre dans le domaine de la cybersécurité. pénurie actuelle de main-d'œuvre dans le domaine de la cybersécurité.

Alors, comment aborder correctement la mise en œuvre de PKI , gérer l'afflux généralisé de certificats dans votre entreprise et développer PKI grâce à la visibilité, la traçabilité et l'automatisation face à un paysage qui évolue rapidement ?

Un partenaire disposant d'une grande expertise sur PKI peut vous fournir une solution clé en main pour la mise en œuvre et l'exploitation de votre propre site interne PKI- ou vous proposer une gestion totale de PKI en tant que service de confiance.

Les risques d'une gestion inadéquate de PKI ne feront qu'augmenter, mais la complexité n'a pas à en souffrir. Keyfactor aide les entreprises (y compris celles dont les équipes manquent de ressources) à sécuriser chaque clé numérique et chaque certificat pour les entreprises multi-cloud, DevOps et la sécurité intégrée IoT . Cliquez ici pour en savoir plus sur ce que nous offronsCliquez ici pour en savoir plus sur ce que nous offrons, y compris sur la façon dont notre Cloud PKI-as-a-Service offre à chaque organisation l'accès à une équipe d'élite d'experts en cybersécurité.