La cryptographie est à la base de toute transaction sécurisée, de toute communication et de tout processus de vérification d'identité. Alors que les organisations s'efforcent de moderniser leur dispositif de sécurité, il est essentiel de comprendre quels sont les composants cryptographiques présents dans leurs systèmes et comment ils sont configurés.
C'est là qu'intervient la nomenclature cryptographique (CBOM), un concept qui s'appuie sur la nomenclatureSoftware (SBOM), largement connue, en se concentrant spécifiquement sur les capacités cryptographiques intégrées dans les applications software .
Qu'est-ce qu'une nomenclature cryptographique ?
A CBOM est un inventaire structuré des éléments cryptographiques intégrés dans une application software . Il énumère les composants critiques tels que
- Algorithmes (par exemple, AES-256, RSA-2048)
- Bibliothèques (par exemple, OpenSSL, Bouncy Castle)
- Clés et tailles de clés prises en charge (par exemple, RSA-2048, ECC-384)
En formalisant ces informations, un CBOM établit une première compréhension de l'architecture cryptographique d'une version software .
Cette visibilité permet d'identifier les vulnérabilités potentielles ou les écarts par rapport aux normes de sécurité et favorise les audits et la conformité avec des cadres tels que le NIST.
Les limites de CBOM pour la visibilité cryptographique
Bien qu'un CBOM fournisse des informations précieuses, il présente des limites inhérentes :
- Vue statique : Un CBOM reflète les capacités intégrées mais ne reflète pas la façon dont software est configuré ou utilisé dans une organisation spécifique.
- Manque de données opérationnelles : Il n'indiquera pas si une organisation utilise SHA-1 ou SHA-256, même si les deux algorithmes sont pris en charge.
- Taches aveugles au niveau du déploiement : Les détails de la configuration, l'approvisionnement en clés et les mises à jour ne sont pas pris en compte.
En bref, un CBOM ne peut à lui seul fournir une image complète du dispositif cryptographique d'une organisation.
Dépasser le CBOM : construire un inventaire cryptographique
Un inventaire cryptographique complet va bien au-delà des capacités software statiques. Il recense tous les actifs et toutes les opérations cryptographiques de l'entreprise, notamment
- Clés, certificats et secrets
- Algorithmes, chiffrement et protocoles
- Keystores et bibliothèques
- Politiques, vulnérabilités et dépendances
Cet inventaire doit être documenté :
- Capacités intégrées des software et du hardware.
- les configurations propres à l'organisation (par exemple, les algorithmes activés, les politiques de rotation des clés).
- Utilisation opérationnelle (par exemple, comment la cryptographie est appliquée pour protéger des données sensibles).
Par exemple, il peut préciser qu'un serveur utilise un HSM pour stocker les clés TLS renouvelées tous les 90 jours, ou spécifier les suites de chiffrement activées sur un serveur web pour garantir l'alignement avec les politiques de l'organisation.
CBOM et inventaire cryptographique : Complémentaires et non concurrents
Un CBOM et un inventaire cryptographique fonctionnent mieux ensemble :
- Portée : Le CBOM se concentre sur les capacités cryptographiques intégrées ; l'inventaire couvre le paysage plus large de l'entreprise, y compris les configurations et l'utilisation.
- Objectif : le CBOM aide à identifier les faiblesses potentielles des versions software ; l'inventaire permet une gestion globale des risques cryptographiques.
- Sources de données : Le CBOM est dérivé du code source ; l'inventaire nécessite la collecte de données provenant de systèmes et d'environnements hétérogènes.
- Mises à jour dynamiques : Le CBOM est lié aux versions software ; l'inventaire doit évoluer en permanence avec les changements d'infrastructure.
- Perspectives politiques : Le CBOM identifie les faiblesses ; l'inventaire fournit des informations sur la conformité dans l'ensemble de l'écosystème numérique.
En intégrant les deux, les organisations obtiennent une vue complète de leur position cryptographique, ce qui est essentiel pour la gestion des vulnérabilités, la conformité et la préparation à des défis tels que la cryptographie post-quantique.
Pourquoi c'est important aujourd'hui
Avec l'évolution des menaces et le renforcement des cadres de conformité, les entreprises doivent passer d'une gestion cryptographique réactive à une gestion cryptographique proactive.
Le CBOM est un élément essentiel, mais l'objectif ultime est de disposer d'un inventaire cryptographique vivant à l'échelle de l'organisation, qui permette une visibilité continue, une hiérarchisation des risques et des mesures correctives.
Cette approche permet aux organisations de s'attaquer en toute confiance aux vulnérabilités d'aujourd'hui et de se préparer aux défis de demain, tels que l'informatique quantique, sans replatformage coûteux ni temps d'arrêt.
Principaux enseignements
Un CBOM est nécessaire mais pas suffisant. Il fournit des informations essentielles sur les composants cryptographiques présents dans votre software, mais il doit être mis en œuvre dans le cadre d'un inventaire cryptographique plus large pour apporter une véritable valeur ajoutée en termes de sécurité et de conformité.
Prochaines étapes
Commencez par évaluer si votre organisation maintient un CBOM et comment il s'intègre à vos pratiques de gestion cryptographique plus larges. Ensuite, explorez les solutions qui prennent en charge à la fois la cartographie statique des capacités et l'inventaire dynamique pour une réduction des risques et une mise en conformité permanentes.
