Que vous gériez des clés et des certificats prenant en charge le shell sécurisé (SSH), SSL/TLS, ou d'autres systèmes et opérations liés à l'infrastructure à clé publique (PKI), vous avez probablement un problème de cryptographie sur les bras.
Pourquoi ?
Comme dans de nombreuses entreprises, les décisions relatives à la gestion de la cryptographie sont prises par des groupes disparates. Chaque fonction ECM dispose de différentes équipes chargées de relever les défis liés à leur gestion spécifique de la cryptographie.
Ce qu'il faut faire pour nettoyer les dégâts causés par les crypto-monnaies
Pour gérer la sécurité des clés et des secrets, les RSSI et les responsables de la sécurité recherchent une orchestration transparente entre les unités opérationnelles. Cette orchestration permet de s'assurer que leurs systèmes sont protégés et que leurs employés peuvent travailler efficacement sans introduire de vulnérabilités.
Un nouveau rapport publié par TAG Cyber, donnant une méthodologie pratique pour gérer le cycle de vie cryptographique de bout en bout, est présenté aux équipes des entreprises.
Étape 1 : Définir les politiques et les responsabilités
Comme pour toute autre politique informatique ou de cybersécurité, la définition des politiques et des responsabilités de l'ECM doit permettre de rationaliser les tâches afin d'atteindre les objectifs de sécurité et les objectifs de l'entreprise.
Une politique approfondie devrait commencer par une stratégie de haut niveau et passer à des détails plus tactiques, notamment la génération, la distribution, la comptabilité, le stockage, l'utilisation et la destruction des clés, ainsi que les lignes directrices en matière d'autorisation et les contrôles de sécurité des clés.
Les étapes importantes de la création d'un processus de cycle de vie ECM organisationnel comprennent les tâches suivantes :
- Définir les objectifs et la stratégie de gestion des cléset des certificats : Développer et documenter les objectifs et la stratégie de gestion des clés et des certificats de l'organisation, en précisant si le programme sera centralisé ou décentralisé, qui en sera responsable, où les politiques seront stockées et comment elles seront maintenues.
- Documenter l'architecture ECM existante: Développer et documenter l'architecture actuelle de gestion des clés et des certificats de l'organisation. Pour ce faire, il convient de s'intéresser rapidement à l'inventaire des tâches ECM en cours.
- Identifier les exigences pertinentes en matière de chiffrement: Valider les exigences actuelles et futures en matière de cryptage, y compris tout audit ou mandat réglementaire émanant d'organismes externes.
Étape 2 : Établir un inventaire cryptographique
Les outils d'inventaire cryptographique automatisés localisent, identifient et signalent les clés et les certificats configurés. Ces outils aident les administrateurs à suivre l'utilisation de la cryptographie, à limiter la prolifération des clés, à valider les contrôles d'accès et à garantir la rotation des clés SSH en temps voulu.
Voici quelques méthodes courantes de découverte qui sont essentielles pour obtenir une visibilité complète à l'aide d'un outil de soutien :
- Intégration CA pour SSL/TLS: L'intégration directe avec les autorités de certification permet d'identifier chaque certificat émis.
- Découverte basée sur le réseau pour SSL/TLS: Les outils peuvent analyser les plages IP, les sous-réseaux et les ports pour trouver les certificats SSL .
- Découverte des clés SSH et SSL/TLS sur l'appareil: Il s'agit de la découverte, avec ou sans agent, des magasins de clés et des systèmes de fichiers.
- IaaS pour les certifications émises dans le nuage : De nouveaux protocoles tels que le Key Management Interoperability Protocol (KMIP) de l'OASIS aident les différents fournisseurs de services en nuage à découvrir les certificats et à fournir des capacités BYOK (bring-your-own-key).
Étape 3 : Identifier les vulnérabilités et y remédier
L'utilisation de la cryptographie peut comporter des vulnérabilités susceptibles de menacer la confidentialité, l'intégrité ou la disponibilité des données ou des systèmes qu'elle est censée protéger.
Voici quelques-unes des vulnérabilités les plus courantes que les équipes d'entreprise peuvent identifier dans les algorithmes, protocoles, outils et systèmes cryptographiques qu'elles déploient :
- Algorithmes: Algorithmes faibles susceptibles d'être vulnérables aux attaques actuelles et futures
- Stockage: Le stockage et la gestion incorrects des clés peuvent entraîner la perte de données.
- Configuration: Mauvaise gestion de la configuration, ce qui complique l'administration
- Règles: Règles laxistes pour la génération de clés, l'autorisation et l'authentification
- Visibilité: Manque de visibilité sur la signature numérique et d'autres tâches cryptographiques
Étape 4 : Contrôler et auditer en permanence
Les pratiques de gestion dans toute utilisation organisationnelle de la cryptographie devraient impliquer une technologie et des processus de surveillance continue et d'audit régulier. Une couverture continue implique une compréhension précise et permanente qui se rapproche le plus possible d'une visibilité en temps réel. Pour ce faire, une organisation doit disposer de plans définis pour tous les aspects de l'examen, de la collecte de données, de la surveillance et de l'évaluation de l'ECM. Une liste de contrôle type peut inclure
- Audit : Les équipes ECM doivent régulièrement vérifier l'accès et l'utilisation des certificats de signature de code, en accordant une attention particulière aux signataires, aux approbateurs et aux délais de signature.
- Contrôler : Le contrôle de l'activité liée à l'autorité de certification permet de s'assurer que la délivrance des certificats reste dans les limites des seuils définis.
- Horodatage : Les équipes ECM doivent examiner en permanence le code d'horodatage pour détecter les problèmes ou les anomalies.
- Expiration : Les équipes doivent identifier les certificats expirés ou non conformes à la politique et y remédier au fur et à mesure de l'évolution de cette dernière (par exemple, certificats auto-signés, non autorisés ou faibles).
- L'autorisation : Il est important d'auditer les processus d'autorisation et de vérification de la fiabilité des points d'ancrage.
- Signature : L'examen du processus de soumission et d'approbation de la signature du code peut empêcher la signature de codes non approuvés ou malveillants.
- Révocation : Le processus de surveillance doit comprendre un audit répété des processus de révocation des certificats.
Étape 5 : Automatiser le cycle de vie de manière agile
Chacune des quatre étapes décrites ci-dessus fait référence à l'utilisation d'outils automatisés. Cette démarche est motivée par la volonté de faire évoluer le processus ECM et de fournir une visibilité continue sur l'inventaire, l'utilisation et les vulnérabilités.
L'objectif de cette cinquième étape - qui peut être réalisée en parallèle avec les autres étapes du processus - est d'unifier l'automatisation dans une architecture commune afin de rationaliser l'utilisation et de minimiser à la fois les risques et les coûts.
Le défi de cette tâche de conception et de développement de l'automatisation est de sélectionner une plateforme de bout en bout appropriée qui fonctionne de manière transparente dans tous les aspects de l'environnement et qui s'intègre dans les cycles de développement et de déploiement. Il est donc conseillé aux équipes de sécurité des entreprises de faire leurs devoirs afin de sélectionner le meilleur partenaire commercial ECM qui peut les aider à automatiser le processus de manière efficace.
Commencez à nettoyer votre désordre
Les équipes de sécurité des entreprises continueront à lutter pour garder le contrôle sur l'ensemble de leur processus de cryptage jusqu'à ce qu'elles donnent la priorité à une stratégie unifiée. Keyfactor simplifie et unifie le processus de cryptage dans son ensemble, permettant à nos clients d'obtenir une visibilité, de définir des procédures et d'utiliser l'automatisation pour se sortir d'un désordre cryptographique.
Pour lire l'intégralité du rapport et voir comment vous pouvez commencer par une auto-évaluation de la façon dont la cryptographie est utilisée et gérée dans votre entreprise aujourd'hui, téléchargez-le ici.
Et pour en savoir plus, inscrivez-vous à notre prochain webinaire, Comment aborder votre stratégie de cryptographie de bout en bout :