Comment établir un inventaire des actifs cryptographiques dans le cloud, les environnements CI/CD et sur les appareils

La réalisation d'un inventaire cryptographique constitue une pratique fondamentale pour gérer les risques de sécurité, respecter les exigences de conformité et garantir l'agilité cryptographique. La Maison Blanche l'a identifié comme la première étape, et la plus cruciale, que les organisations doivent franchir pour se préparer à la transition vers un environnement à l'épreuve de l'informatique quantique. Les autorités de régulation aux États-Unis, à Singapour et dans l'Union européenne ont publié des notes consultatives recommandant sa mise en œuvre, et les organismes de normalisation, notamment le NIST, le NCCoE, le FS-ISAC, le PCI-SSC et l'ETSI, accordent une attention accrue à l'élaboration et à l'adoption d'inventaires cryptographiques complets. 

Pourtant, de nombreuses organisations s'appuient encore sur des registres incomplets, manuels ou obsolètes qui ne permettent pas de déterminer où la cryptographie est réellement présente. Les clés cryptographiques, les certificats et les algorithmes sont intégrés dans les applications, les systèmes de fichiers, les interfaces réseau, hardware , les services cloud et les systèmes hérités, ce qui les rend difficiles à localiser sans outils dédiés et sans processus spécifiques. Les outils traditionnels de gestion des vulnérabilités et des menaces ne sont pas conçus pour établir un inventaire cryptographique ; ils se concentrent sur un large éventail de menaces, dont seules certaines sont liées à la cryptographie. 

Ce guide explique comment réaliser un inventaire cryptographique en suivant les meilleures pratiques qui prennent en compte trois éléments essentiels de l'entreprise moderne : les environnements cloud, les pipelines d'intégration et de déploiement continus (CI/CD) et les appareils connectés. 

Qu'est-ce qu'un inventaire cryptographique ?

Un inventaire cryptographique est un registre centralisé et mis à jour en permanence qui recense tous les actifs cryptographiques utilisés au sein d'une organisation. Il s'agit d'un registre dynamique, exhaustif et systématique de toutes les instances actuelles et en évolution des actifs cryptographiques au sein de l'infrastructure numérique étendue d'une organisation. 

Un inventaire cryptographique moderne va bien au-delà des simples tableaux Excel statiques. Il reflète l'utilisation et l'exposition aux risques en temps réel au sein de l'infrastructure, des applications et des appareils, et vise à fournir une vue d'ensemble unifiée et détaillée de l'emplacement et du mode de déploiement des objets cryptographiques. Fondamentalement, un inventaire cryptographique cherche à répondre à plusieurs questions essentielles : 

• Qu'avons-nous ?
  Un inventaire complet de tous les objets cryptographiques déployés au sein de l'organisation, y compris ceux présents dans les applications tierces achetées ou acquises. 

• Où se trouvent les ressources ?
  L'emplacement exact des objets cryptographiques au sein des infrastructures et entre celles-ci. 

• Quelle est leur efficacité ?
  La cryptographie mise en œuvre produit-elle les résultats escomptés et est-elle adaptée à l'usage auquel elle est destinée ? 

• Quel est notre niveau de confiance ?
  Évaluation des identités au regard des politiques « zero-trust », de la qualité de la génération de clés et de la robustesse cryptographique par rapport aux besoins de l'organisation. 

• Par quoi devons-nous commencer ?
  Des informations prioritaires et exploitables pour les mesures correctives, telles que la résolution des failles de sécurité, le respect des exigences de conformité et la planification d'une transition quantique sécurisée. 

Le champ d'application d'un inventaire cryptographique couvre un large éventail d'éléments, notamment les certificats, les clés, les algorithmes, les référentiels, les protocoles et les bibliothèques, dans tous les environnements où ces éléments sont utilisés. 

Pourquoi l'inventaire cryptographique est une bonne pratique pour garantir l'agilité cryptographique 

Sans un inventaire complet, les organisations ne peuvent pas assurer en toute sécurité la maintenance de base de leur infrastructure cryptographique, qu'il s'agisse de renouveler les certificats, de remplacer les algorithmes ou de réagir de manière appropriée aux nouvelles menaces. L'agilité cryptographique— c'est-à-dire la capacité à passer rapidement et efficacement d'un algorithme, d'une bibliothèque, d'une clé, d'un certificat ou d'un protocole cryptographique à un autre sans perturbation opérationnelle majeure — ne peut être atteinte sans la mise en place d'un inventaire cryptographique solide. 

Étant donné que les algorithmes cryptographiques doivent être remplacés périodiquement et que les exigences en matière de cryptographie varient d'une juridiction à l'autre, les systèmes doivent être conçus pour s'adapter sans heurts aux changements d'algorithmes. Offrir une telle flexibilité n'est plus une option : c'est une nécessité pour garantir la sécurité à long terme, l'interopérabilité et la conformité réglementaire. 

Le respect des bonnes pratiques en matière d'inventaire cryptographique permet notamment : 

• Réduction du risque d'interruption liée aux certificats.
  Ces interruptions peuvent être causées par des certificats expirés ou inconnus. La détection automatisée et le suivi du cycle de vie garantissent que les certificats n'expirent pas silencieusement en production. 

• Une réaction plus rapide face à l'abandon d'algorithmes ou à la divulgation de vulnérabilités.
  Lorsque de nouveaux CVE et CWE sont découverts, les organisations disposant d'un inventaire complet peuvent rapidement identifier les actifs concernés et déclencher des mesures correctives, voire des mises à jour automatiques si celles-ci sont configurées. 

• Une meilleure préparation aux audits et à la conformité.
  Les environnements réglementaires manifestent une volonté croissante de garantir l'adoption des normes en constante évolution. La conformité à ces normes réduit le risque d'amendes et de sanctions légales dans un contexte où la réglementation évolue. 

• Une base pratique pour la planification de la cryptographie post-quantique.
  La transition vers la sécurité quantique constituera un processus de maturation important, s'étalant sur plusieurs années, qui touchera tous les aspects d'une organisation et de sa chaîne de valeur. Un inventaire cryptographique offre la visibilité nécessaire pour identifier les ressources les plus exposées au risque quantique et hiérarchiser les mesures pratiques à prendre. 

Éléments à inclure dans un inventaire cryptographique (bonnes pratiques) 

Un inventaire cryptographique efficace ne se limite pas aux certificats numériques. Un inventaire conforme aux meilleures pratiques doit recenser les ressources cryptographiques réparties en trois grandes catégories : la cryptographie opérationnelle, software et la cryptographie réseau. 

Un inventaire des meilleures pratiques devrait inclure : 

• Certificats :
  certificats publics, privés, internes, auto-signés, certificats d'entité finale, autorités de certification racine et magasins de confiance utilisés pour TLS, TLS mutuel TLS mTLS), la signature et d'autres fins. 

• Clés cryptographiques et magasins de clés :
  clés privées et publiques, clés symétriques secrètes, magasins de clés, jetons et autres secrets cryptographiques déployés dans les systèmes, y compris ceux gérés par des HSM, des KMS et des coffres à clés. 

• Algorithmes, protocoles, ainsi que leurs paramètres et configurations :
  y compris les tailles de clés, les suites de chiffrement, les mécanismes d'échange de clés, les codes d'authentification de messages et d'autres éléments cryptographiques. L'inventaire doit indiquer non seulement quels algorithmes sont pris en charge, mais aussi comment les systèmes sont spécifiquement configurés pour les utiliser. 

• Bibliothèques et API cryptographiques :
   bibliothèques liées à hardware software hardware permettant d'effectuer des opérations cryptographiques (par exemple, OpenSSL, Bouncy Castle), y compris les informations de version et les vulnérabilités connues. 

• Autorités de certification :
  les autorités de certification internes et externes, ainsi que la manière dont elles sont gérées au sein de l'organisation. 

• Ancrages de confiance et racines de confiance :
  racines de confiance intégrées dans des composants hardware , y compris ceux qui ne peuvent pas être modifiés. 

Les inventaires incomplets constituent l’une des principales causes de blocage ou d’échec des migrations cryptographiques. Une nomenclature cryptographique (CBOM) offre une visibilité sur les fonctionnalités intégrées des software, mais elle ne fournit pas d’informations sur la manière dont les applications sont configurées dans un environnement spécifique. L’inventaire cryptographique d’une organisation doit donc offrir une vue d’ensemble complète : fonctionnalités intégrées, configuration d’exécution et utilisation cryptographique effective. 

Étape 1 : Identifier les actifs cryptographiques dans les environnements cloud  

Les plateformes cloud entraînent une multiplication considérable des éléments cryptographiques. Les clés cryptographiques, les certificats et les algorithmes sont intégrés dans un ensemble hétérogène de services cloud, et la nature dynamique des environnements cloud implique que de nouveaux éléments cryptographiques sont constamment créés, mis à jour ou retirés. 

Parmi les bonnes pratiques en matière d'inventaire cryptographique dans le cloud, on peut citer : 

• Découvrez les certificats et les clés utilisés dans les environnements IaaS, PaaS et les services gérés.
  Cela inclut la configuration cryptographique et les éléments d'identité déployés au sein des systèmes centraux fonctionnant sur des infrastructures et des plateformes tierces (IaaS et PaaS), tels que les instances de calcul, les bases de données gérées, les passerelles API et les plateformes d'orchestration de conteneurs. 

• Identifier les éléments cryptographiques intégrés aux différents mécanismes.
  Les équilibreurs de charge, les passerelles, les maillages de services et d'autres unités d'infrastructure réseau sont inclus dans cette catégorie. Ces composants gèrent souvent leurs propres magasins de certificats et leurs propres configurations cryptographiques, qui ne sont pas nécessairement visibles de manière centralisée. 

• Suivre la propriété et l'état du cycle de vie des certificats natifs du cloud.
  Attribuez clairement la propriété de chaque ressource cryptographique afin de garantir la responsabilité et une correction plus rapide en cas de problème. Comprendre la valeur et la sensibilité des données ou des systèmes protégés permet de hiérarchiser les efforts de découverte. 

Les environnements d'infrastructure à distance évoluent constamment, avec de nouveaux déploiements, mises à jour et configurations. Par conséquent, l'inventaire des ressources cryptographiques dans le cloud doit être automatisé et continu pour rester précis à grande échelle. L'inventaire manuel ne peut tout simplement pas suivre le rythme des changements dans les architectures natives du cloud. Les solutions automatisées peuvent suivre le cycle de vie des clés cryptographiques et des certificats, évaluer l'adéquation cryptographique et déclencher des changements lorsque cela est nécessaire. Il est tout aussi important d'identifier l'utilisation de la cryptographie au-delà des actifs actuellement gérés (tels que les certificats réseau non gérés, les clés intégrées et les déploiements KMS externes) afin d'obtenir une visibilité complète sur l'environnement cryptographique de l'organisation. 

Étape 2 : Recenser les éléments de cryptographie intégrés dans les pipelines CI/CD 

Les pipelines CI/CD sont des flux de travail automatisés qui permettent de compiler, de tester et de déployer software , depuis le système de contrôle de version jusqu'à l'environnement de production, de manière cohérente et reproductible. En raison de la manière dont ils sont utilisés, ils constituent souvent un angle mort dans les inventaires cryptographiques. Software — c'est-à-dire les capacités cryptographiques et les éléments d'identité intégrés aux applications par les équipes de développement — échappe souvent aux analyses de sécurité traditionnelles. 

Parmi les bonnes pratiques, on peut citer : 

• Analyse des pipelines à la recherche de certificats, de clés et de secrets utilisés dans les builds.
  Les objets binaires dans les pipelines CI/CD peuvent contenir des éléments cryptographiques intégrés qui ne sont pas visibles par une simple analyse au niveau du réseau. 

• Identification des bibliothèques cryptographiques utilisées dans le code source ou intégrées dans les binaires compilés.
  Un CBOM peut aider à formaliser la visibilité sur les capacités cryptographiques intégrées à chaque version d'application, y compris les algorithmes (par exemple, AES-256, RSA-2048), les bibliothèques (par exemple, OpenSSL, Bouncy Castle) et les types de clés pris en charge. 

• Détection des clés codées en dur ou réutilisées.
  Les clés obsolètes, codées en dur, réutilisées ou révoquées détectées dans n'importe quel composant du pipeline représentent des risques cachés que les outils de découverte automatisée peuvent identifier et signaler en vue d'une correction. 

Sans visibilité sur le CI/CD, les entreprises risquent de déployer des solutions cryptographiques non sécurisées ou non conformes dans leurs environnements de production. La cryptographie faisant désormais partie intégrante de tout software moderne, l'agilité cryptographique doit être mise sur un pied d'égalité avec les meilleures pratiques software agile. Cela implique d'intégrer les pratiques de gestion de l'inventaire cryptographique au cœur même du cycle de vie du développement, plutôt que de les considérer comme une préoccupation post-déploiement. 

Étape 3 : Recenser les appareils, les micrologiciels et les actifs à longue durée de vie 

Les appareils et les micrologiciels posent des défis particuliers en matière d'inventaire cryptographique. Hardware — c'est-à-dire la cryptographie utilisée pour sécuriser les systèmes cyber-physiques tels que IoT périphériques, les modules de confiance intégrés, les puces cryptographiques et les contrôleurs industriels — nécessite des méthodes de recensement spécialisées. 

Les bonnes pratiques en matière d'inventaire des appareils comprennent : 

• Suivi des identités des appareils et des certificats intégrés.
  Cela inclut la racine de confiance stockée et protégée au sein hardware dédié, les clés cryptographiques dans hardware dédié, ainsi que les capacités cryptographiques prises en charge par chaque dispositif. 

• Identification des signatures à longue durée de vie utilisées dans software de micrologiciels et software .
  Les signatures numériques qui jouissent d'une confiance de longue date, comme celles présentes dans le micrologiciel des IoT à longue durée de vie et les racines de confiance, constituent des actifs hautement prioritaires pour la planification d'une transition à l'ère de la sécurité quantique. 

• Cartographie des dépendances cryptographiques pour les appareils IoT, OT et en périphérie.
  Ces ressources peuvent présenter une interopérabilité limitée au sein du parc informatique d'une organisation, et nombre d'entre elles intègrent des implémentations de cryptographie antérieures aux meilleures pratiques actuelles. 

Ces ressources sont souvent les plus difficiles et les plus critiques à migrer lorsque les algorithmes changent. Les appareils déployés sur le terrain peuvent fonctionner pendant une décennie, voire plus, ce qui les rend particulièrement vulnérables à « Harvest Now, Decrypt Later » , dans lesquelles des acteurs malveillants collectent aujourd’hui des données chiffrées dans l’intention de les déchiffrer lorsque des ordinateurs quantiques seront disponibles. 

Étape 4 : Centraliser les données d'inventaire pour plus de visibilité et de contrôle 

La simple découverte ne suffit pas. Le principe consistant à mettre en place un référentiel dynamique et fiable de données relatives à la cryptographie, conçu pour permettre aux utilisateurs et aux systèmes de prendre des décisions et d'agir, est essentiel pour transformer les données brutes issues de la découverte en valeur opérationnelle. 

Les listes de bonnes pratiques sont les suivantes : 

• Centralisé au sein d'un système unique faisant autorité.
  L'objectif est de disposer d'une ou plusieurs sources fiables sur lesquelles d'autres systèmes peuvent s'appuyer pour prendre des décisions et agir. Bien qu'une approche fédérée avec plusieurs inventaires soit parfois nécessaire (en particulier lorsque la réglementation locale exige le stockage local des actifs cryptographiques), il doit en fin de compte exister une source unique de vérité permettant un meilleur contrôle et une meilleure supervision. 

• Mise à jour en continu grâce à l'automatisation.
  Les solutions automatisées garantissent la mise à jour de l'inventaire cryptographique en temps quasi réel, ce qui permet aux équipes de sécurité de réagir aux menaces, de prévenir les interruptions de service, de faciliter la production de rapports de conformité et de mener des analyses forensiques. 

• Recherche possible par type d'actif, algorithme, propriétaire et niveau de risque.
  La prise en compte du contexte via les métadonnées — notamment la criticité des actifs, la propriété et la responsabilité, les vulnérabilités associées et les exigences de conformité réglementaire — est essentielle pour tirer les bonnes conclusions et permettre la mise en œuvre de mesures correctives. 

La centralisation permet aux équipes de sécurité d'agir rapidement lorsque des modifications cryptographiques s'imposent. Sans visibilité centralisée, les vulnérabilités identifiées ne peuvent pas être traitées sans délai par les équipes compétentes, et l'organisation ne dispose pas de la vue d'ensemble nécessaire pour hiérarchiser les mesures correctives à grande échelle. 

Un inventaire complet des actifs cryptographiques ne repose pas seulement sur l'identification de chaque actif, mais aussi sur la consolidation des données à l'échelle de l'écosystème technologique dans son ensemble. L'intégration des informations provenant des plateformes existantes permet aux organisations de se forger une vision plus précise et constamment mise à jour de leur posture cryptographique. Il est donc essentiel de tirer parti de l'écosystème technologique existant pour garantir la visibilité, réduire les angles morts et maintenir l'évolutivité opérationnelle. 

Étape 5 : Enrichir l'inventaire en y intégrant le contexte en matière de risques et de conformité 

Un inventaire cryptographique ne devient exploitable que lorsqu'on y intègre l'évaluation des risques. Les informations gagnent en valeur lorsqu'elles sont replacées dans leur contexte et transformées en informations exploitables, faisant ainsi des données brutes un outil d'aide à la décision. 

Parmi les bonnes pratiques, on peut citer : 

• Signaler les éléments cryptographiques périmés, faibles ou non conformes.
  Cela inclut les certificats arrivés à expiration, les certificats non conformes et auto-signés, les algorithmes, protocoles ou bibliothèques obsolètes, ainsi que les tailles de clés non sécurisées. 

• Identifier les algorithmes obsolètes, les configurations incorrectes et les paramètres non sécurisés.
  Les organisations doivent évaluer si la cryptographie qu'elles ont déployée produit les résultats escomptés et est adaptée à l'usage prévu, et pas seulement si elle existe. 

• Hiérarchiser les actifs en fonction de leur importance stratégique pour l'entreprise et de leur niveau d'exposition.
  Une approche fondée sur les risques consiste à cartographier l'ensemble de la pile technologique, à évaluer le niveau de sécurité de chaque actif et à hiérarchiser ceux qui protègent des données sensibles ou qui sont essentiels aux opérations commerciales clés au regard des scénarios de risques critiques pour l'entreprise. 

Cela transforme l'inventaire, qui passe d'un simple document à un outil d'aide à la décision. Grâce à un système de notation par ordre de priorité, les administrateurs peuvent cibler efficacement leurs mesures correctives en traitant en premier lieu les risques les plus critiques. Les certificats vulnérables peuvent être renouvelés ou révoqués, et l'automatisation renforce encore l'efficacité en permettant une correction transparente tout en prenant en charge les processus de validation pour les actifs sensibles ou à haut risque. 

Étape 6 : Assurer l'exactitude de l'inventaire au fil du temps 

Les inventaires statiques se déprécient rapidement. Les environnements informatiques dynamiques à grande échelle évoluent constamment, avec de nouveaux déploiements, des mises à jour et des configurations. Sans maintenance continue, un inventaire cryptographique devient rapidement incomplet et peu fiable. 

Parmi les bonnes pratiques actuellement en vigueur, on peut citer : 

• Automatiser l'inventaire et les mises à jour.
  Cela inclut la surveillance des modifications apportées aux bibliothèques des fournisseurs, des nouvelles vulnérabilités CVE, des clés potentiellement compromises, des nouvelles réglementations ou recommandations, ainsi que des changements dans les normes cryptographiques. Les systèmes d'automatisation peuvent suivre le cycle de vie des clés cryptographiques et des certificats, évaluer l'adéquation cryptographique et déclencher des modifications si nécessaire. 

• Intégrer l'inventaire aux processus de gestion du cycle de vie des certificats.
  En reliant la découverte, l'évaluation des risques et la correction au sein d'un cycle de vie unifié, on garantit l'exactitude de l'inventaire à mesure que les certificats sont émis, renouvelés, révoqués et remplacés. 

• Vérifiez régulièrement les données d'inventaire dans le cadre des opérations de sécurité.
   La gestion agile du cycle de vie des actifs cryptographiques est un aspect important des opérations de cybersécurité et de la résilience. Lorsque de nouvelles vulnérabilités sont découvertes, un inventaire à jour permet de mettre rapidement à jour les actifs. 

Une maintenance continue est essentielle pour garantir la flexibilité cryptographique dans des environnements dynamiques. Le processus de découverte cryptographique doit être permanent et ne pas se limiter à un projet ponctuel. Cela permet aux entreprises de s'adapter au rythme effréné des changements dans les infrastructures modernes. 

Erreurs courantes à éviter dans la gestion des actifs cryptographiques 

• S'appuyer sur des tableurs ou un suivi manuel.
  La création manuelle d'un inventaire cryptographique est difficile à grande échelle. Les processus manuels peinent à suivre le rythme des changements constants qui surviennent au sein d'une infrastructure, et les outils traditionnels de gestion des vulnérabilités ne sont pas conçus à cette fin. 

• Répertorier les certificats sans tenir compte des clés, des algorithmes et des bibliothèques.
  Les clés peuvent avoir été mal générées ou compromises. Les algorithmes peuvent être mal configurés ou ne plus être considérés comme sûrs. Les bibliothèques peuvent être développées en interne, obsolètes ou contenir des vulnérabilités connues. Un inventaire complet doit couvrir l'ensemble des actifs cryptographiques. 

• Considérer l'inventaire comme un projet ponctuel.
  La pile technologique est soumise à des changements constants, avec de nouveaux déploiements, mises à jour et configurations. Il est essentiel de maintenir l'inventaire cryptographique à jour à mesure que de nouveaux objets cryptographiques sont introduits ou supprimés de l'infrastructure. 

• Ne pas tenir compte des données et des charges de travail hébergées dans le cloud, du CI/CD et de la cryptographie des appareils.
  Les clés cryptographiques, les certificats et les algorithmes peuvent être dissimulés dans des sources hétérogènes au sein de divers environnements informatiques, notamment les applications compilées, les services cloud, hardware et les systèmes hérités. Les angles morts dans l'un de ces domaines compromettent la valeur de l'ensemble de l'inventaire. 

En évitant ces écueils, on renforce considérablement la résilience cryptographique à long terme et on prépare l'organisation à une transition plus harmonieuse vers des normes résistantes à l'informatique quantique. 

Adopter les meilleures pratiques en matière d'inventaire cryptographique avecKeyfactor 

La mise en place et la gestion d'un inventaire cryptographique continu, automatisé et centralisé ne se limitent pas à de bonnes intentions : elles nécessitent des outils spécialement conçus à cet effet. Passer des bonnes pratiques à la mise en œuvre concrète implique d'adopter des solutions capables de s'adapter à l'ampleur, à la complexité et au rythme des changements dans les environnements d'entreprise modernes. 

CommentKeyfactor les meilleures pratiques en matière de gestion des clés cryptographiques 

Keyfactor, en collaboration avec InfoSec Global (uneKeyfactor ), propose des solutions intégrées qui facilitent directement la mise en œuvre des meilleures pratiques en matière de gestion des actifs cryptographiques : 

• Découverte automatisée dans les environnements cloud, hybrides et sur site.
  En combinant les méthodes de recherche propriétaires de Commandet AgileSec Analytics, la solution fournit un inventaire complet des actifs cryptographiques d’une organisation : certificats, systèmes de gestion des clés, bibliothèques cryptographiques, HSM, terminaux réseau, charges de travail cloud et équilibreurs de charge. 

• Visibilité sur les algorithmes, la taille des clés et leur statut d'expiration.
  AgileSec Analytics détecte de manière proactive les vulnérabilités cryptographiques potentielles, les utilisations abusives ou les violations de conformité, et les classe par ordre de priorité en fonction d'un score de gravité technique. 

• Détection des éléments cryptographiques dans les pipelines CI/CD et les binaires intégrés.
  Les objets binaires présents dans les pipelines CI/CD sont pris en compte par le processus de découverte, ce qui garantit que les ressources cryptographiques introduites au cours du développement sont suivies au même titre que celles en production. 

• Gestion centralisée des autorités de certification internes et externes.
   Keyfactor Command une visibilité à l'échelle de l'entreprise sur toutes les autorités de certification et identités de machines, permettant ainsi aux organisations d'identifier les algorithmes utilisés et de définir des politiques et des flux de travail automatisés. 

• Intégration aux workflows d'automatisation du cycle de vie.
  Les processus automatisés de renouvellement, de provisionnement et de révocation des certificats permettent aux organisations de remplacer les algorithmes et les clés obsolètes et de supprimer les certificats expirés à grande échelle, avec des workflows d'approbation pour les actifs sensibles ou à haut risque. 

Avantages stratégiques 

• L'inventaire devient exploitable, mis à jour en permanence et enrichi d'informations sur les risques ; il ne s'agit plus d'une simple base de données statique. 

• Une correction plus rapide des actifs vulnérables ou non conformes grâce à un système de notation par ordre de priorité et à des procédures de renouvellement et de révocation en un clic (ou automatisées). 

• Réduisez les risques liés aux interruptions de certificats en assurant une visibilité complète et en temps réel sur l'ensemble de l'environnement cryptographique. 

• Une base pour l'agilité cryptographique et la préparation à la cryptographie post-quantique, incluant une prise en charge intégrée pour tester les certificats hybrides et post-quantiques avecKeyfactor EJBCA, ainsi que la signature de code résistante à l'attaque quantique avecKeyfactor SignServer.

Prêt à passer des bonnes pratiques à la mise en œuvre ? Découvrez commentKeyfactor vous aider à établir un inventaire cryptographique complet et à accélérer votre transition vers l'agilité cryptographique : 

• Identification des certificats: Assurer une visibilité à l'échelle de l'entreprise sur toutes les identités des machines et tous les certificats. 

• Automatisation du cycle de vie des certificats: Automatisez le renouvellement, la délivrance et la révocation des certificats à grande échelle. 

• Demander une démo: Découvrez commentKeyfactor AgileSec Analytics s'associent pour offrir une visibilité et un contrôle cryptographiques à 360 degrés. 

Inventaire cryptographique Foire aux questions :

À quelle fréquence faut-il mettre à jour un inventaire cryptographique ?
En permanence. Les meilleures pratiques s'appuient sur la détection automatisée plutôt que sur des examens manuels périodiques. Le flux continu de nouveaux déploiements, de mises à jour et de configurations crée un environnement technologique en constante évolution, et l'automatisation garantit que l'inventaire cryptographique est mis à jour en temps quasi réel. Cela permet aux équipes de sécurité de réagir aux menaces, de prévenir les interruptions de service et de faciliter la production de rapports de conformité sans avoir à recourir à des audits programmés. 

Un inventaire cryptographique est-il nécessaire pour la cryptographie post-quantique ?
Oui. Sans savoir où les algorithmes et les certificats sont utilisés, la migration vers la cryptographie post-quantique ne peut pas être effectuée en toute sécurité. La Maison Blanche a chargé les agences fédérales de constituer un inventaire cryptographique, première étape cruciale dans la préparation de la transition vers une sécurité quantique. Les ordinateurs quantiques capables de briser la cryptographie à clé publique devraient être disponibles d'ici 5 à 15 ans, et la transition vers des algorithmes résistants à la cryptographie quantique touchera tous les aspects de l'infrastructure d'une organisation. 

Qui devrait être responsable de l'inventaire cryptographique ?
La responsabilité incombe généralement aux équipes chargées de la sécurité, de la plateforme et de l'infrastructure, avec une visibilité et une gouvernance centralisées. Dans la pratique, un cadre supérieur (tel que le RSSI) devrait être tenu responsable de la gestion de la cryptographie, tandis que la responsabilité opérationnelle peut être centralisée ou répartie entre différents groupes, notamment DevSecOps, l'informatique, une équipe dédiée à la cryptographie et la conformité en matière de sécurité. L'utilisation d'un modèle RACI (Responsable, Comptable, Consulté, Informé) permet de s'assurer que les décisions relatives à la cryptographie ne sont pas prises sans l'expertise appropriée. 

Quels processus faudrait-il mettre en place ou modifier pour maintenir un inventaire à jour ?
Plusieurs changements importants permettent une gestion plus efficace de l'inventaire cryptographique : 

• Centraliser la politique cryptographique et la visibilité.
  Mettre en place une source centralisée pour l'inventaire cryptographique qui serve de référentiel unique et fiable pour la prise de décision à l'échelle de l'organisation. 

• Automatisez la gestion des actifs cryptographiques.
  Déployez des outils automatisés de découverte et de gestion du cycle de vie capables de suivre les clés, les certificats, les algorithmes et les bibliothèques dans tous les environnements, en temps quasi réel. 

• Limitez l'approvisionnement aux appareils qui permettent une gestion automatisée.
  Dans la mesure du possible, uniformisez l'infrastructure et les appareils qui prennent en charge la détection et la gestion cryptographiques automatisées, afin de réduire la part des actifs nécessitant une intervention manuelle.