Tout devient numérique. Aucune entreprise, quelle que soit la mesure dans laquelle elle dépend d'une présence physique (pensez à l'aménagement paysager, à l'entretien), n'est à l'abri de ce changement.
Alors que COVID-19 a accéléré la transformation vers le numérique, de nombreuses organisations ont réalisé à quel point elles s'appuyaient sur des programmes vieux de plusieurs dizaines d'années qui devaient être mis à jour.
À l'avenir, le domaine le plus important auquel il convient de prêter attention dans le cadre du passage au numérique est celui de la sécurité. Plus précisément, alors que de plus en plus d'entités numériques continuent à apparaître et à créer des données, comment pouvons-nous faire confiance à ces données ?
C'est ce qui a motivé notre récente discussion avec David Mahdi, vice-président et analyste de la sécurité et de la protection de la vie privée chez Gartner. Cliquez ici pour visionner l'intégralité du webinaireou lisez la suite pour en savoir plus.
Comment nous en sommes arrivés là : Un changement de paradigme dans le développement numérique
Nous sommes actuellement au milieu d'un changement de paradigme autour du développement numérique qui nécessitera des changements importants dans la façon dont les organisations abordent la sécurité.
Cette évolution est centrée sur l'essor des applications numériques, notamment le volume des applications, la vitesse à laquelle elles sont créées et la diversité des personnes qui créent ces applications et les données qui y sont associées. Tout le monde, des développeurs aux chefs d'entreprise (grâce aux interfaces à code faible ou inexistant), contribue désormais au développement numérique, et tous ces résultats nécessiteront des mesures de sécurité.
Globalement, l'essor du développement numérique a de sérieuses implications pour tout ce qui concerne la consommation de matériel cryptographique (les organisations doivent fournir un accès rapide et facile aux clés d'une manière sûre et gérable) et l'emplacement de toutes ces applications (sur site ou dans un nuage hybride ou dans un nuage multiple).
Dans ce contexte, l'idée d'un réseau protégé a disparu. Aujourd'hui, les réseaux sont beaucoup plus software-définis et beaucoup plus dynamiques. En outre, les identités jouent désormais un rôle majeur dans l'accès à la sécurité. Cela signifie que dans le monde des nuages hybrides et du travail à distance, les organisations ne peuvent plus faire confiance à n'importe quelle entité sur le réseau.
Aujourd'hui, au lieu que le réseau serve de périmètre, c'est l'identité qui est le nouveau périmètre. Nous en avons vu l'importance dans les attaques d'ingénierie sociale, comme le phishing, qui utilisent l'identité comme point d'entrée. Auparavant, les organisations partaient du principe que si quelqu'un avait accès à l'application, il avait accès aux données. Mais nous ne pouvons plus compter sur cette approche. Nous sommes désormais dans un monde où la confiance est nulle, où l'accès est plus fluide et où nous devons comprendre qui et quoi accède aux données. Cela nécessite une authentification mutuelle dans laquelle les données authentifient l'utilisateur et vice versa.
Se concentrer sur ce qui compte : Données et identités
Le passage au numérique, et en particulier à l'informatique dématérialisée, exige une nouvelle approche de la sécurité et concentre l'attention sur ce qui compte le plus à l'avenir : Les données et les identités. Il est important de noter que les identités couvrent à la fois les identités humaines et les identités des machines - ces dernières continueront à exploser dans l'entreprise et nécessiteront des mesures de sécurité évolutives et cohérentes, même si elles peuvent sembler inoffensives.
En fin de compte, cette situation crée des couches de dépendance, car il ne peut y avoir d'entreprise numérique sans confiance numérique. Pour obtenir cette confiance, il faut comprendre les identités numériques, et la cryptographie est l'infrastructure critique qui sous-tend ces identités numériques.
Considérez la situation suivante : Votre entreprise doit envoyer un contrat à un nouveau partenaire. Comment savez-vous que votre contact au sein de cette entreprise est bien celui qui signe le document de l'autre côté ? Pour faire confiance à cette transaction commerciale numérique, vous avez besoin d'un moyen de vérifier son identité numérique, et la manière la plus sûre de le faire est la cryptographie.
Jusqu'à présent, l'accès a été largement contrôlé par des mots de passe, mais cette approche peut être faible pour les humains et est encore plus dangereuse lorsque l'on ajoute des mots de passe codés en dur pour les machines. C'est pourquoi, à l'avenir, une cryptographie bien gérée devrait être l'élément vital de toute entreprise numérique. C'est déjà largement le cas, puisque tout, de la banque en ligne à la réservation de billets d'avion, repose sur la cryptographie.
Principaux défis : Gérer efficacement un vaste programme PKI
Heureusement, PKI et la cryptographie sont désormais courantes dans divers cas d'utilisation, notamment l'accès sécurisé, la sécurité des appareils, l'authentification des utilisateurs, les signatures numériques, les identités numériques et la numérisation dans le cadre de l'hyper-automatisation et du DevOps.
Malheureusement, cette situation a créé un sérieux défi, car plus PKI et la cryptographie sont répandus, plus ils peuvent être difficiles à gérer. Plus précisément, les rapports montrent que de nombreuses organisations utilisent aujourd'hui plusieurs autorités de certification (AC) pour gérer divers programmes PKI , ce qui a entraîné une prolifération des AC. En bref, il est difficile pour quiconque d'obtenir une vue centralisée des certificats existant dans l'organisation - visibilité qui est nécessaire pour gérer et maintenir correctement les certificats afin d'éviter qu'ils ne deviennent vulnérables tout au long de leur cycle de vie.
La plupart des organisations se concentrent sur la génération de clés cryptographiques et de certificats, nécessaires à l'authentification basée sur l'identité, mais il est également important de les maintenir en les faisant pivoter et en les déplaçant en fonction de l'évolution des besoins d'accès et des exigences générales en matière de sécurité. Le fait que ce cycle de vie puisse devenir très complexe très rapidement pour les identités humaines et les identités des machines rend essentiel le fait de disposer d'un moyen centralisé et automatisé de gérer le cycle de vie complet des certificats.
Ce défi ne fera que croître à mesure que le nombre d'identités, humaines et numériques, nécessitant une authentification augmentera.
Centraliser PKI: Soutenir la sécurité de l'identité avec une gestion consolidée
Comme la sécurité fondée sur l'identité devient de plus en plus importante et que de plus en plus d'identités, en particulier d'identités de machines, entrent en jeu, la seule solution consiste à centraliser les programmes PKI .
La plupart des organisations disposent aujourd'hui de 50 à 70 solutions pour gérer la sécurité. Cela crée de nombreux silos et signifie que très peu de solutions, voire aucune, ne sont pleinement optimisées. Même s'il n'y aura jamais de solution unique pour tout régler, plus les organisations pourront se regrouper sur une plateforme centralisée, meilleurs seront les résultats.
C'est là qu'entre en jeu une solutionPKI évolutive et automatisée capable de prendre en charge la gestion de l'identité des machines. Les meilleures solutions permettent de limiter l'exposition au risque en pensant à la sécurité de l'identité d'abord et de prendre en charge l'échelle grâce à la gestion automatisée des certificats pour le nombre toujours croissant d'identités. Nous pouvons considérer le modèle de maturité pour atteindre cette solution idéale comme suit :
Établir et maintenir la confiance : La valeur des personnes et des processus
La mise en place des bonnes solutions de cryptographie est une première étape importante, mais ce n'est pas la dernière étape du passage au numérique. Ce passage nécessite également l'introduction des bonnes personnes et des bons processus.
Par exemple, si votre organisation met en place un programme d'infrastructure à clé publique (PKI), vous devez également réfléchir à la manière dont toutes les personnes qui créent des systèmes et des applications (ce qui inclut désormais les développeurs et même les équipes non techniques) peuvent facilement obtenir des certificats.
S'ils ne savent pas qu'ils ont besoin d'un certificat ou s'ils ne peuvent pas l'obtenir facilement, le programme PKI peut rapidement tomber à l'eau. Ils n'ont pas besoin de connaître les rouages de tout, ils doivent simplement savoir ce dont ils ont besoin et où l'obtenir, comme si vous aviez besoin d'une vidange d'huile pour votre voiture.
Globalement, la responsabilité d'établir et de maintenir la confiance incombe au personnel de chaque organisation, et pour permettre aux membres de l'équipe de sécurité et à d'autres personnes de s'acquitter efficacement de cette responsabilité, il faut mettre en place des processus qui facilitent la participation de tous.
L'une des meilleures façons de soutenir les programmes PKI par le biais du personnel et des processus consiste à mettre en place un centre d'excellence en cryptographie. Il peut s'agir d'un groupe d'experts en cryptographie qui définissent des lignes directrices pour l'organisation et mettent au point des processus qui indiquent clairement aux personnes de toute l'entreprise les solutions de sécurité dont elles ont besoin et où elles peuvent les obtenir.
La mission du centre d'excellence en cryptographie devrait être la suivante :
- Définir la propriété
- Assurer le leadership
- Recherche et recueil des besoins
- Diffuser les meilleures pratiques
- Jouer le rôle de conseiller et d'expert en la matière
- Former et habiliter les chefs d'unité opérationnelle
Garantir un avenir sûr : Principales recommandations du Gartner
À mesure que le passage au numérique progresse, les organisations doivent reconnaître l'importance d'une sécurité axée sur l'identité et la valeur des programmes PKI pour gérer correctement l'explosion de ces identités au sein de l'entreprise. Dans ce contexte, Gartner recommande les meilleures pratiques suivantes pour commencer :
- Mettre en place un programme de gestion de l'identité des machines : Évaluez les outils et la technologie dont vous disposez aujourd'hui pour comprendre comment vous gérez actuellement les identités des machines et où se situent les responsabilités au sein de l'organisation.
- Attribuer la responsabilité de la gestion des informations d'identification des machines : Introduire un centre d'excellence en cryptographie pour centraliser la gestion et les responsabilités. Une grande partie de cette tâche consistera à déterminer les responsables de la sécurité et les responsables non informatiques qui doivent faire partie de ce groupe.
- Évaluer les solutions disponibles au fur et à mesure que le marché se développe : Alors que le marché continue de mûrir, prenez le temps de comprendre les différentes solutions disponibles pour faciliter l'évolution et l'automatisation de la gestion des identités. Bien que vous puissiez avoir besoin d'outils différents pour des éléments tels que la gestion des identités ou la gestion des certificats, plus vous pouvez consolider, mieux c'est.
Vous souhaitez en savoir plus sur ce qu'il faut faire ? Cliquez ici pour visionner l'intégralité du webinaire.
