Les idées de Chris Hickman, directeur de la sécurité, sur le rapport 2019 de l'institut Keyfactor-Ponemon : L'impact des identités numériques non sécurisées
Qu'il s'agisse de protéger votre site web, votre réseau ou vos appareils IoT , les certificats numériques jouent un rôle fondamental dans la sécurisation de pratiquement tous les secteurs d'activité.
En tant que responsable de la sécurité à l'adresse Keyfactor, je m'exprime souvent sous l'angle de la sécurité, en soulignant l'importance de sécuriser les identités numériques dans tous les environnements et d'empêcher l'utilisation abusive des clés et des certificats par des pirates en puissance. Ceux qui cherchent à vous nuire se cachent dans votre réseau, compromettent votre software et détournent vos appareils connectés.
Mais il existe une menace beaucoup moins néfaste mais tout aussi sérieuse pour votre entreprise :
Certificats expirés.
Tous les certificats expirent. Les pannes inattendues ou non planifiées dues à l'expiration des certificats continuent d'affliger les entreprises partout dans le monde.
Quels que soient le temps et les moyens investis dans la prévention, la bataille semble souvent perdue d'avance. En réalité, de nombreuses entreprises adoptent cette stratégie. Acceptant la défaite, elles budgétisent la réparation des pannes.
Pratique ? Peut-être. Rentable ? Loin de là.
Le coût réel des pannes : Recettes, réputation et recouvrement
Voici ce qu'il en est. Il suffit d'un un Il suffit qu'un seul certificat expiré passe entre les mailles du filet pour que vous perdiez l'accès à des systèmes critiques, que vos clients soient frustrés, que votre activité soit interrompue et, en fin de compte, que la réputation que vous avez mis des années à vous forger soit entachée.
Même les plus grands noms de l'industrie ne sont pas à l'abri. Il suffit de penser à la panne de Microsoft Azure due à un certificat négligé, ou aux pannes de réseau majeures qui ont touché des millions de personnes après qu'Ericsson a omis de renouveler les certificats software arrivés à expiration.
Dans les deux cas, un seul un certificat expiré a eu un impact sur des dizaines de millions d'utilisateurs.
Pour ne rien arranger, les certificats expirés sont souvent difficiles à diagnostiquer. Même les équipes de sécurité et d'intervention informatique les plus expérimentées peuvent mettre des jours à identifier un certificat expiré comme étant le coupable. Vient ensuite la tâche de trouver et de remplacer ce certificat partout où il est utilisé dans l'entreprise - une tâche presque impossible pour ceux qui suivent les certificats à l'aide d'une feuille de calcul Excel.
Parlons chiffres
Si vous êtes dans les tranchées des opérations PKI , il n'est pas nécessaire de pousser l'imagination jusqu'à comprendre ce scénario. Pour vous, il s'agit d'un risque quotidien.
Mais ne nous voilons pas la face : les cadres supérieurs ne connaissent pas les clés et les certificats (et s'en soucient encore moins). Et les seules feuilles de calcul qu'ils veulent voir concernent les profits et les pertes, et non les dates d'expiration.
Parlons donc de chiffres.
Une étude récente menée par l'Institut Ponemon pour Keyfactor donne un aperçu des défis posés par les pannes de certificats et de l'impact significatif qu'elles peuvent avoir sur votre entreprise. L'étude a été réalisée auprès de 600 personnes, dont voici les principales conclusions :
- Les personnes interrogées ont connu en moyenne quatre pannes liées à des certificats au cours des deux dernières années.
- La perte économique moyenne liée à ces incidents est estimée à 11,1 millions de dollars.
- Le coût de la seule perte immédiate de revenus est estimé à près de 3 millions de dollars
- Il y a 30 % de chances que les organisations rencontrent les mêmes problèmes au cours des deux prochaines années.
Mais comment un seul un certificat expiré peut coûter 11,1 millions de dollars à votre entreprise ? Examinons quelques scénarios réels pour mettre les choses en perspective.
Avant d'entrer en contact avec Keyfactor, un transporteur aérien multinational utilisait des certificats numériques pour sécuriser ses systèmes logistiques, des plans de vol à la gestion des chargements. Exemple concret : un certificat non géré a expiré, paralysant l'accès à ces systèmes critiques. Alors que les équipes de sécurité informatique s'efforçaient de trouver la source du problème et d'y remédier, l'ensemble de la flotte a été cloué au sol.
Le temps que le certificat expiré soit découvert et mis à jour, deux jours entiers d'interruptions opérationnelles se sont traduits par des millions de dollars de pertes de revenus.
Que diriez-vous d'un exemple familier ? Le vol tristement célèbre de 148 millions de données personnelles d'Equifax est passé inaperçu pendant une période incroyable de 76 jours. Comment cela s'est-il produit ? Equifax n'a pas vu l'exfiltration de données, car le dispositif conçu pour détecter une telle violation était inactif depuis 19 mois en raison d'un certificat expiré. Equifax aurait dépensé près de 243 millions de dollars pour se remettre de la violation.
Loin d'être un poste budgétaire supplémentaire, le coût des pannes dues à des certificats expirés suffit à attirer l'attention des responsables de la cybersécurité et de l'informatique.
La bonne nouvelle, c'est qu'il n'est pas impossible d'éviter les pannes, mais il faut de la constance pour y parvenir (sans parler de la bonne technologie).
Comment arrêter une panne avant qu'elle ne se produise ?
Les pannes dues à des certificats expirés sont tout à fait évitables. Alors pourquoi ces pannes continuent-elles d'affecter les entreprises aujourd'hui ?
Dans certains cas, elles ont investi dans des outils de gestion des certificats, mais ne disposent que du budget nécessaire pour suivre un sous-ensemble de tous les certificats en raison des frais de licence par certificat. Cependant, dans la plupart des cas, les organisations choisissent de suivre les certificats à l'aide d'une feuille de calcul. Il devient alors presque impossible de détecter rapidement un certificat expiré et d'y répondre. Et lorsque vous êtes confronté à une panne, les délais de remédiation sont critiques.
Alors, que pouvez-vous faire pour éviter la prochaine panne de 11 millions de dollars ?
- Découvrez et inventoriez tous les certificats : Pouvez-vous vous rappeler combien de certificats vous possédez, à qui vous les avez achetés et où ils se trouvent ? Le renouvellement des certificats n'est pas complexe en soi, mais vous devez d'abord trouver les certificats sur votre réseau avant de pouvoir les réparer. Et vous ne devriez pas être limité par un outil dont le modèle de tarification est basé sur le nombre de certificats.
- Intégrer les systèmes existants : Quelle est la rapidité de réaction face à un certificat expiré ? La surveillance continue et les alertes constituent une étape essentielle de la gestion du cycle de vie. Vous disposez probablement déjà d'outils. Le plus souvent, il suffit d'un simple plug-in API pour s'intégrer à vos systèmes existants de ticketing et de workflow (pensez à ServiceNow ou Remedy).
- Investir dans la technologie de l'automatisation : Investir dans l'automatisation est une question de bon sens. Elle réduit le risque d'erreur humaine, assure une gestion continue du cycle de vie des certificats et permet au personnel informatique de se redéployer sur d'autres initiatives importantes dans le cadre d'un budget limité.
Sans les bonnes personnes, les bons processus et les bons outils, les certificats numériques peuvent souvent ressembler à des bombes à retardement. En tant que responsables de la cybersécurité et de l'informatique qui pilotent la stratégie de l'entreprise, nous savons qu'investir dans les bonnes choses peut nous aider à protéger nos organisations contre les certificats périmés et à atténuer l'impact des pannes inattendues lorsqu'elles se produisent.
J'aimerais en savoir plus sur l'expérience de votre entreprise et la comparer aux conclusions du rapport. N'hésitez pas à me contacter et trouvons un moment pour discuter.