Le mois dernier, la Maison Blanche a publié la stratégie nationale de cybersécurité de l'administration Biden. Ce document de près de 40 pages identifie cinq piliers essentiels pour répondre aux exigences, aux défis et aux menaces de l'avenir en matière de sécurité.
Cette stratégie vise essentiellement à aligner les secteurs public et privé sur les innovations en matière de sécurité, dans l'espoir de relever le niveau de la réglementation en matière de sécurité, d'encourager la sécurité dès la conception et de permettre aux États-Unis de prospérer dans un monde post-quantique.
Pour analyser le document, nous nous sommes entretenus avec Ted Shorter, directeur technique de Keyfactor , Tomas Gustavsson, directeur général de PKI , et David Hook, vice-président de Software Engineering, pour une rapide séance de questions-réponses.
Quelle est votre impression sur la stratégie ? Avez-vous des idées générales ?
Ted Shorter : À mon avis, il y a beaucoup de choses à apprécier dans cette stratégie. Il sera essentiel de favoriser une meilleure collaboration entre les secteurs public et privé, et l'intention du rapport de rendre la sécurité plus abordable est un pas dans la bonne direction.
La stratégie vise à encourager la collaboration entre le gouvernement, le secteur public et le secteur privé. À quoi cela pourrait-il ressembler dans la pratique ?
Ted Shorter : Les cybercriminels et les acteurs hostiles des États-nations peuvent attaquer les infrastructures à grande échelle, et les cloisonnements entre le public et le privé entraveront notre capacité à reconnaître et à comprendre ces attaques, ainsi qu'à y répondre.
Pour être clair, ce n'est pas un combat équitable lorsque des entités privées se défendent contre des acteurs étatiques. Ce n'est certainement pas un combat équitable lorsque des entités privées se défendent contre des acteurs étatiques. véritables munitions et des armements réels, et ce n'est pas un combat plus équitable avec les cyber-attaques.
C'est plus facile à dire qu'à faire, mais les secteurs public et privé ont besoin de meilleurs moyens pour partager les informations critiques. Aujourd'hui, les responsables de la sécurité du secteur privé sont souvent découragés de partager des informations sur les attaques par crainte d'amendes, de mauvaise presse, etc.
Comment les travaux du gouvernement visant à moderniser les systèmes IT/OT fédéraux peuvent-ils affecter le monde de l'entreprise ?
Ted Shorter : Cette activité ouvrira la voie à des réglementations en matière de sécurité pour un ensemble d'appareils beaucoup plus large qu'aujourd'hui, ce qui est une bonne chose. Lorsque tout le monde sera soumis aux mêmes règles de sécurité, les fabricants d'appareils n'auront plus à s'inquiéter des dépenses de sécurité relatives à leurs appareils.
L'inconvénient, bien sûr, est que ces réglementations devront s'appliquer à l'échelle mondiale. à l'échelle mondiale car les appareils sont fabriqués partout. Dans le cas contraire, les normes n'auront pas beaucoup d'effet.
Comment cette stratégie s'intégrera-t-elle dans les pratiques de développement sécurisé de software , en particulier lorsque le volume d'identités des machines continuera d'augmenter ?
Tomas Gustavsson : Il y a beaucoup de choses en jeu ici. Software Les équipes de développement doivent élaborer de nouvelles solutions en gardant la sécurité à l'esprit dès le départ. En ce qui concerne les identités des machines, les identifiants codés en dur ou les identifiants conservés dans les référentiels de code doivent être supprimés et mieux protégés.
Si les identités des produits ne font pas nécessairement partie du cycle de développement de software , le processus de développement lui-même peut consommer un certain nombre de certificats. Les machines et les API nécessitent une authentification forte, les développeurs ont besoin de certificats SSH et de certificats de signature, et le code est signé à différentes étapes, ce qui nécessite des certificats de signature de code et une protection forte des clés privées.
Dans une architecture zéro confiance, l'ensemble du flux de code et de communication de bout en bout nécessite tout simplement un système moderne, piloté par API et évolutif : PKI.
Les récentes atteintes à la sécurité des certificats illustrent-elles particulièrement bien la nécessité de mettre en place des pratiques de développement sécurisées sur le site software ?
Tomas Gustavsson : Dans la récente violation de GitHub, les attaquants ont téléchargé des clés de signature de code qui étaient stockées dans le référentiel de code, ce qui souligne la nécessité de séparer le code et les clés.
Dans ce cas précis, les clés étaient cryptées et rien ne prouve que l'attaquant soit parvenu à les décrypter, mais il n'en reste pas moins que l'enquête a été inutilement nerveuse. Le respect des meilleures pratiques et l'utilisation de systèmes externes (HSM) pour la signature des clés auraient évité à l'entreprise de s'embrouiller dans son enquête.
Pour les organisations qui cherchent à adopter des pratiques de développement sécurisées, je recommanderais trois conseils :
- Étudiez les meilleures pratiques et les lignes directrices des leaders de l'industrie et des agences gouvernementales telles que le NIST et l'ENISA.
- Ne conservez jamais le code et les informations d'identification au même endroit.
- Maintenir les systèmes à jour et adopter des architectures de confiance zéro.
Le quatrième pilier mentionne le quantique. Que doivent faire les responsables de la sécurité pour se préparer à l'avenir ?
David Hook : Les dirigeants doivent se poser les questions suivantes : "Que dois-je protéger ?" et "Comment est-ce que je le protège actuellement ?".
Le premier point est important car les vecteurs d'attaque évoluent. Face à des techniques telles que la collecte de données, nous devons comprendre que toutes les données ne sont pas égales. Certaines données n'ont besoin d'être protégées que pendant de courtes périodes, tandis que d'autres ont besoin d'être protégées pendant beaucoup plus longtemps. Les dirigeants doivent donner la priorité aux données qui nécessitent une protection à long terme.
Répondre à la deuxième question s'est avéré plus difficile qu'il n'y paraît. La plupart des systèmes comportent de nombreuses pièces mobiles, dont certaines ont été travaillées pendant des années par de nombreux développeurs, qui utilisent souvent des bibliothèques et des outils dont la provenance est incertaine. En l'absence d'une nomenclature appropriée ( software ), les dirigeants découvriront probablement que tout n'a pas été fait comme cela a été documenté ou revendiqué.
La résilience de la chaîne d'approvisionnement ne consiste pas seulement à être certain que les infrastructures critiques seront maintenues et soutenues, mais aussi à savoir comment elles ont été construites.
Quel rôle jouera Keyfactor dans le soutien des stratégies post-quantiques ?
David Hook : S'il incombe à des organisations comme le NIST de parrainer le développement d'algorithmes PQC, c'est à nous qu'il revient de convertir ces algorithmes en quelque chose de tangible et d'utile pour l'ensemble de la communauté. C'est ce que nous faisons activement en introduisant des algorithmes post-quantiques sur Bouncy Castle et en soutenant les certificats post-quantiques pour Keyfactor EJBCA et Keyfactor Command .
Keyfactor a également pris l'initiative de sécuriser la chaîne d'approvisionnement. La transparence qui accompagne open-source software peut être un avantage - elle permet certainement de savoir comment les choses ont été construites - mais le chaînon manquant est le soutien des utilisateurs et la durabilité. Bouncy Castle et EJBCA ont trouvé leur place dans l'infrastructure critique de nombreuses organisations, et elles sont rendues durables et résistantes grâce au soutien de ces organisations en cas de besoin.
À mesure que la confiance numérique devient une préoccupation majeure des gouvernements, des organismes de réglementation et des stratégies d'entreprise, Keyfactor continuera à rendre ces développements accessibles et exploitables par les responsables de la sécurité.
En savoir plus
Pour savoir comment les entreprises abordent la gestion de l'identité des machines et le site PKI, consultez le rapport 2023 State of Machine Identity de KeyfactorRapport 2023 sur l'état de l'identité des machines.
