Keyfactor Sommet virtuel : Récapitulation du premier jour

La première journée de notre tout premier sommet virtuel Keyfactor s'est achevée, mais nous n'avons pas encore terminé.

Avec 14 sessions et plus de 500 spectateurs uniques, nous ne pourrions être plus enthousiastes quant à l'accueil réservé par les clients, les analystes du secteur et l'ensemble de la communauté de la cybersécurité et de la cryptographie.

De PKI à DevOps et IoT aux chaînes d'approvisionnement, en passant par les idées pour les leaders de la cybersécurité, notre première journée de sessions a couvert beaucoup de terrain. Et nous avons encore une journée entière de sessions devant nous aujourd'hui.

Si vous avez manqué le premier jour, ne vous inquiétez pas. Vous trouverez ci-dessous un récapitulatif de nos premières sessions :

Jordan Rackie, PDG de Keyfactor , a officiellement donné le coup d'envoi du sommet en soulignant la croissance rapide que Keyfactor a connue au cours des deux dernières années et la façon dont le paysage de la cybersécurité a rapidement évolué au cours de cette période.

La cryptographie est à la base de toute stratégie de sécurité. Pourtant, comme le souligne M. Jordan, la croissance rapide des clés et des certificats numériques a laissé la plupart des organisations mal préparées et vulnérables.

La crypto-agilité est le thème central de notre sommet et la raison pour laquelle plus de 500 professionnels de l'informatique et de la sécurité à travers le monde nous ont virtuellement rejoints pour la première journée.

Comment Keyfactor favorise-t-il la crypto-agilité ? Prenez 10 minutes pour regarder le discours d'ouverture ici.

Ensuite, Daron Roberts (ancien entraîneur de la NFL) a été la tête d'affiche de la session la plus regardée de la journée dans son discours d'ouverture où il donne des conseils pratiques tirés de sa carrière d'entraîneur sur la manière d'articuler le besoin de crypto-agilité avec le conseil d'administration.

Daron l'explique ainsi...

• La complaisance est l'ennemie : nous devons nous efforcer d'élaborer une stratégie pour la crypto-agilité. Certains seront lents à comprendre, d'autres comprendront, d'autres encore seront réticents, mais c'est à vous qu'il incombe d'en faire la démonstration. Commencez par des "micro-gains" et continuez à soulever la question par de petites touches au fil du temps.
• Communiquer comme un champion : La cryptographie est intrinsèquement technique, mais il s'agit d'une question essentielle pour les objectifs de l'entreprise. Commencez par demander "comment pouvons-nous" plutôt que "puis-je" (un piège de type oui/non) pour aligner votre stratégie cryptographique sur les objectifs de l'entreprise.
• Restez dans le bain : Le volume et la vitesse de la cryptographie ne cesseront d'augmenter. La clé pour garder une longueur d'avance est de se mettre constamment en position d'apprendre. Réservez du temps ininterrompu dans votre agenda (ne serait-ce que 30 minutes) pour lire, regarder et apprendre, en dehors de vos activités quotidiennes.

Après les discours d'ouverture, nous avons directement abordé l'un des sujets les plus brûlants de notre agenda : DevOps.

Lors de cette session, Shian Sung et Chris Paul ont expliqué comment TLS et les certificats de signature de code s'intègrent dans le pipeline CI/CD, et pourquoi les équipes de sécurité doivent s'aligner sur leurs homologues pour s'assurer que chaque certificat est fiable, conforme et à jour dans la pile moderne PKI .

Voici quelques-unes des principales conclusions de cette session :

• Limiter l'utilisation des certificats de type "wildcard" et des certificats auto-signés - faciliter l'accès des développeurs à des certificats provenant de sources conformes.
• Ne faites pas aveuglément confiance aux capacités d'émission de certificats intégrées dans les outils DevOps, tels qu'Istio, Kubernetes et HashiCorp Vault.
• Ne pas utiliser de bibliothèques et d'algorithmes cryptographiques sans plan de dépréciation future.

Regardez l'enregistrement de la session ici pour apprendre tout ce qu'il faut faire et ne pas faire pour utiliser PKI dans le cadre de DevOps.

Si vous pensiez que la sécurité dans DevOps était un défi, les chaînes d'approvisionnement IoT sont vertigineuses en comparaison.

Entre la conception du produit, le développement du micrologiciel et la fabrication, un modèle de confiance zéro est essentiel pour sécuriser le cycle de vie de l'appareil IoT . Lors de cette session, Ellen Boehm et Tomas Gustavsson ont expliqué comment intégrer l'identité dans les appareils lorsqu'ils sont fabriqués et déployés dans des environnements non fiables.

Si vous êtes un ingénieur IoT ou un ingénieur en microprogrammation, cette session d'approfondissement est à ne pas manquer.

Il n'est donc pas surprenant que notre prochaine session, Reign in Your Rogue Admins : Meilleures pratiques pour la gestion des certificats SSL/ TLS , figurait dans l'agenda de près de 70 % des participants.

Malgré des avancées telles que IoT et DevOps, la plupart des organisations ont encore du mal à s'attaquer aux cas d'utilisation courants, tels que la gestion des certificats SSL sur les serveurs web et les applications.

Au cours de cette session, d'anciens "administrateurs malhonnêtes" devenus responsables de produits à l'adresse PKI ont discuté des exigences fondamentales d'un programme de gestion des certificats, de la création d'un inventaire à l'activation de l'automatisation, et de tout ce qui se trouve entre les deux. C'est la session idéale pour ceux qui commencent à s'intéresser à PKI et à la gestion des certificats.

Keyfactor Pour les experts plus expérimentés de PKI et les utilisateurs de la plateformeCommand , Brandon Tubandt, SVP of Operations and Customer Success, et Joseph Elbers, Customer Success Manager, couvrent le modèle de maturité de la gestion des certificats de Keyfactor et comment nous permettons aux clients de passer d'une stratégie manuelle à une stratégie dynamique.

Cette session a été plébiscitée par les fans et doit être vue par nos clients ou par toute personne qui évalue actuellement des outils de gestion des certificats. Réservez 30 minutes pour regarder cette session ici.

Vers la fin de la première journée, nous avons porté notre attention sur le leadership en matière de cybersécurité.

Simon Hunt, vice-président chargé de la cybersécurité chez MasterCard, et Uri Lichtenfeld, directeur exécutif chez Morgan Stanley, ont abordé tous les sujets, de leur leadership à leur vision de la cybersécurité et de la crypto-agilité.

Beaucoup de sujets ont été abordés, mais s'il y a une chose à retenir, c'est l'importance de diriger avec empathie. Comme le dit Simon (jeu de mots intentionnel), "j'ai radicalement sous-estimé mon rôle de leader empathique, et la nécessité de ce rôle pour maintenir la cohésion d'une équipe disparate et géographiquement dispersée".

Pour clore la première journée du sommet, Ann Johnson, vice-présidente chargée de la sécurité, de la conformité et de l'identité chez Microsoft (et ancienne administratrice de PKI ), a souligné les défis liés à la sécurisation de la plus grande force de travail à distance de l'histoire.

Regardez la rediffusion pour découvrir l'importance d'un modèle de sécurité "zéro confiance" dans un monde où l'accès à distance est primordial, y compris l'importance critique de l'authentification multifactorielle et de la gestion des identités humaines et machine (par exemple, les certificats TLS , les certificats de signature de code, les clés SSH et les secrets).

Rejoignez-nous pour encore plus de sessions le deuxième jour. Tout commence par une bonne tasse de café (et de crypto).