Promouvoir la confiance et la conformité dans les services financiers

Dans le paysage commercial complexe et le monde de plus en plus numérique d'aujourd'hui, les organisations de toutes sortes sont confrontées aux défis universels que sont l'établissement de la confiance et la garantie de la conformité. C'est particulièrement vrai pour les organisations de services financiers.

Néanmoins, la confiance et le respect des règles sont essentiels à la poursuite du succès. Que faut-il donc ? Nous avons récemment discuté de la manière dont les organisations de services financiers peuvent introduire un site PKI évolutif et flexible afin de répondre aux exigences réglementaires strictes tout en favorisant l'innovation et l'amélioration de l'expérience client, de mettre en place un cadre de sécurité solide basé sur les meilleures pratiques du secteur et de rationaliser les processus de gestion de l'identité et de l'accès. Lisez la suite pour un résumé de notre conversation, ou cliquez ici pour regarder l'intégralité du webinaire.

Le monde qui nous entoure est en train de changer : Alors que de nombreuses organisations géraient auparavant leurs propres centres de données, sécurisant tout à l'intérieur d'un périmètre physique, ce n'est plus le cas aujourd'hui. De plus en plus d'organisations s'appuient sur le cloud, par exemple via Azure, pour sécuriser les ressources à l'intérieur et à l'extérieur des quatre murs d'un bureau. Cette nouvelle approche exige des entreprises qu'elles identifient facilement les utilisateurs et les appareils, où qu'ils soient - même s'ils se trouvent dans une zone totalement non protégée - et qu'elles leur donnent juste assez d'accès pour qu'ils puissent accomplir leur travail, rien de plus. L'utilisation de certificats basés sur l'identité soutient ce nouveau monde.

Tout cela devient particulièrement important lorsque nous examinons les identités des machines, qui sont aujourd'hui omniprésentes (ordinateurs de bureau, téléphones, appareilsIoT ). Mais la gestion des identités des machines est un défi pour plusieurs raisons :

• Les identités des machines sont souvent invisibles, alors qu'elles jouent un rôle essentiel pour garantir l'intégrité et la confidentialité des communications critiques.
• Les identités des machines ne sont pas non plus clairement identifiées, car de nombreuses équipes ignorent souvent combien il y en a, à qui elles appartiennent, comment elles sont utilisées et où elles le sont.
• Les identités des machines sont éphémères, mais elles doivent également être fiables et dignes de confiance, car elles protègent les transactions financières et les données des clients.

Malgré ces difficultés, il est essentiel de bien gérer les identités des machines, car elles contribuent à renforcer la sécurité des services financiers en créant la confiance. Lorsqu'elles sont gérées correctement par le biais de certificats et de PKI, les identités des machines nous permettent de savoir que nous pouvons faire confiance à un appareil, qu'il est bien celui qu'il prétend être et qu'il n'utilise pas un certificat falsifié.

Que faut-il donc ? Les certificats et PKI pour les identités des machines comportent trois aspects essentiels :

• Délivrer des certificats numériques : C'est ici que tout commence. Vous devez émettre des certificats appropriés pour gérer les identités des utilisateurs et des appareils de manière adéquate, en vous assurant qu'ils sont délivrés aux bonnes personnes ou aux bons appareils et que ces personnes et ces appareils sont autorisés et dignes de confiance.
• Automatiser la gestion du cycle de vie des certificats : Ensuite, que fait-on après l'émission d'un certificat ? Il a un cycle de vie complet qui doit être géré - installation, liaison, utilisation et révocation du certificat - et le meilleur moyen d'y parvenir est l'automatisation.
• Gestion des signatures numériques : Enfin, les certificats peuvent contribuer à la prise en charge des signatures numériques, qu'il s'agisse de la signature de codes, de documents ou d'autres choses.

Selon le rapport 2023 State of Machine Identity Management Report de Keyfactor, les principaux problèmes et défis liés aux identités des machines pour de nombreuses organisations, y compris les sociétés de services financiers, sont les suivants :

• Modèles décentralisés PKI : Souvent, de nouveaux cas d'utilisation apparaissent et différentes équipes commencent à faire les choses à leur manière. C'est une bonne solution pour accélérer les choses, mais cela s'accumule au fil du temps et crée une prolifération qui devient très difficile à gérer pour une seule personne ou même une seule équipe. Après tout, il est très difficile de reprendre le contrôle centralisé de ce qui se passe lorsque PKI est utilisé différemment partout, sans parler de la visibilité sur ce qui se passe.
• Certificats à courte durée de vie : La durée de vie des certificats est de plus en plus courte, avec à l'horizon la possibilité d'une durée de vie de 90 jours pour les certificats TLS . Ces durées de vie plus courtes signifient que les certificats nécessitent une attention et une gestion plus fréquentes.

• Exigences en matière d'attestation des clés : Les nouvelles règles d'attestation des clés établies par le Forum des autorités de certification et de navigation (CA/B) concernant la protection des clés de signature de code requièrent également une plus grande attention de la part des équipes de sécurité.

• Révolution post-quantique : La préparation de la transition vers des algorithmes à sécurité quantique candidats au NIST occupe aujourd'hui beaucoup de temps et d'énergie, d'autant plus que nous ne connaissons toujours pas les détails de la date et de la nature de cette transition.

Et la complexité des environnements PKI d'aujourd'hui ne fait qu'exacerber ces défis, au lieu de faciliter les choses. Voici quelques-uns des plus grands obstacles à PKI :

• CA et PKI : De nombreuses entreprises disposent de différentes solutions pour émettre et gérer des certificats pour chaque cas d'utilisation potentiel (dont beaucoup sont également obsolètes). Lorsque cela se produit, en particulier dans les grandes organisations, les équipes se retrouvent avec des implémentations multiples et disparates de PKI , ce qui crée beaucoup de complexité ainsi qu'une visibilité limitée. Cela devient un problème sérieux lorsque les organisations ont en moyenne 256 000 certificats répartis entre neuf solutions PKI différentes.

• Certificats auto-signés : De nombreuses organisations n'utilisent même pas une solution PKI pour certains de leurs cas d'utilisation et utilisent à la place des certificats auto-signés. Par exemple, elles émettent un certificat de 10 ans simplement pour cocher une case et faire fonctionner une application, puis l'oublient. Mais cela peut poser de gros problèmes à terme, tant en termes de vulnérabilités de sécurité que de risques d'audit.

• Manque de gouvernance : Lorsque les entreprises ont trop de solutions PKI et/ou n'en utilisent pas du tout, il devient presque impossible de garder le contrôle. Supposons qu'un employé ait été à l'origine d'une solution ponctuelle, mais qu'il ne fasse plus partie de l'entreprise, et qu'il y ait une panne parce que quelque chose a expiré - est-ce que quelqu'un a accès à la solution pour en prendre le contrôle ? Souvent, la réponse est non.

• Le manque d'expertise : De nombreuses entreprises ont du mal à trouver des experts PKI et finissent par déléguer ces responsabilités à des personnes ayant peu d'expérience dans le domaine PKI, ce qui accroît encore les risques.

Quelle est donc la solution à tout cela ? Une solution évolutive et flexible : PKI, qui peut prendre en charge une variété de cas d'utilisation, sécuriser de nouvelles applications, de nouveaux effectifs, de nouveaux appareils et de nouvelles infrastructures, et réduire la complexité globale. En fin de compte, la bonne configuration de PKI offre une visibilité et un contrôle complets sur votre environnement. 

Une solution PKI évolutive et flexible permet aux administrateurs de suivre, contrôler et mettre à jour facilement les certificats sur différents appareils et gammes de produits. Elle prend en charge la gestion du cycle de vie, les processus de renouvellement automatisés et la possibilité de révoquer et de remplacer les certificats compromis ou obsolètes. En outre, il s'intègre aux cadres et outils de sécurité existants pour rationaliser les flux de travail et garantir une opérabilité transparente - en particulier pour la signature du code, qui minimise le risque d'exécution de software malveillants et sécurise toutes les nouvelles versions des applications destinées aux clients. Enfin, et c'est peut-être le point le plus important, elle utilise l'automatisation pour suivre le rythme, car le provisionnement et la gestion manuels des certificats deviennent peu pratiques et sources d'erreurs à grande échelle.

Bien entendu, il ne s'agit pas seulement de mettre en place la bonne solution PKI : Les organisations ont également besoin d'une gestion appropriée. C'est là que nous voyons deséquipes reprendre PKI en tant que fonction centrale, en en faisant un service partagé interne pour fournir à tous les membres de l'organisation des services contrôlés, fiables et automatisés qui sont faciles à surveiller. Cette approche permet non seulement de réduire les risques, mais aussi de gagner du temps et de l'argent.

Tout cela est particulièrement important dans les services financiers, où les organisations doivent non seulement sécuriser les cas d'utilisation informatique typiques comme le courrier électronique, mais aussi les applications bancaires internes, les transactions, le traitement des paiements, etc.

EQ Bank fait beaucoup de transactions électroniques et a identifié PKI comme un pilier de sécurité clé pour son organisation. Malheureusement, elle disposait d'une empreinte PKI très dispersée, composée de solutions ponctuelles difficiles à gérer. Plus précisément, elle avait du mal à obtenir un inventaire précis de ses certificats, à traiter les demandes internes et ne se sentait pas bien placée pour passer les audits.

Pour renverser la situation, EQ Bank a mis en œuvre Keyfactor en tant que service partagé central pour prendre en charge l'ensemble de la gestion du cycle de vie de ses certificats. Keyfactor lui a permis de rationaliser le processus d'émission des certificats en automatisant tout, de la mise en production des certificats à leur rotation et à leur renouvellement. En conséquence, ils n'effectuent plus de suivi manuel et ont évité les pannes dues à l'expiration des certificats. De plus, son équipe DevOps peut automatiser l'émission et la rotation des certificats dans ses conteneurs Docker, son service Azure Kubernetes et ses déploiements Istio Service Mesh. Aujourd'hui, la banque considère PKI comme une couche de sécurité beaucoup plus solide et sait qu'elle est en bonne position pour passer les audits.

Les organisations de services financiers doivent anticiper les risques de sécurité potentiels en mettant en œuvre un programme PKI évolutif et flexible le plus tôt possible. Pour minimiser les risques, il est essentiel d'être proactif dans ce domaine, en particulier lorsqu'il s'agit d'effectuer ses propres audits et de résoudre les problèmes éventuels.

Cette proactivité commence par le remplacement des processus manuels statiques par une sécurité dynamique et automatisée qui facilite l'identification et la gestion des certificats tout au long de leur cycle de vie. Elle nécessite également une équipe compétente pour gérer cette solution afin de garantir l'authentification de chaque charge de travail, appareil et produit livrable sur software , et de maintenir la visibilité et la fiabilité nécessaires pour éviter les pannes.

Vous souhaitez en savoir plus sur ce qu'il faut faire et sur la façon dont Keyfactor peut aider les organisations de services financiers à donner la priorité à PKI? Cliquez ici pour regarder l'intégralité du webinaire pour une discussion plus approfondie, y compris un examen approfondi de Keyfactor Signum , qui est maintenant disponible sur Microsoft Azure pour les développeurs de signer facilement et en toute sécurité le code et les conteneurs sans aucune perturbation de la productivité.