• Accueil
  • Blog
  • PKI
  • Crypto-Agilité grand public et autres tendances émergentes en cryptographie : Partie 2

Crypto-Agilité grand public et autres tendances émergentes en cryptographie : Partie 2

PKI

Cet article a été initialement publié par Spiceworks News & Insights le 8 août 2022.

Dans le premier article de cette série en deux parties, Ted Shorter, directeur technique de Keyfactor, a abordé quelques tendances clés de la cryptographie et de l'infrastructure à clé publique (PKI). Dans cet article, le deuxième de la série, il aborde quelques autres tendances cruciales à surveiller dans le domaine de la cryptographie cette année.

Dans le monde numérique d'aujourd'hui, la cryptographie s'est imposée comme l'un des outils les plus importants pour construire des systèmes sécurisés. En exploitant correctement la cryptographie, les entreprises modernes peuvent garantir l'intégrité, la confidentialité et l'authenticité des données sensibles qui sont essentielles aux activités de l'entreprise.

Dans la première partie de cette série, nous avons abordé certaines des plus grandes tendances et des changements émergents dans le domaine de la cryptographie qui, selon nous, devraient avoir un impact considérable sur les activités et les besoins cryptographiques des entreprises. Pour compléter cette liste, voici deux autres des tendances les plus significatives en matière de cryptographie que nous prévoyons pour cette année.

Prédiction 4 : La crypto-agilité va se généraliser - une fois que les équipes DevOps et de sécurité auront appris à collaborer.

La prise de conscience croissante des risques liés à la chaîne d'approvisionnement, la tendance mondiale à la confiance zéro et l'adoption généralisée de l'infrastructure à clé publique (PKI) pour la sécurité de software exigent que les organisations donnent la priorité à la crypto-agilité, c'est-à-dire à la capacité de passer rapidement d'une primitive cryptographique à une autre et d'un algorithme à un autre sans que le reste de l'infrastructure du système ne soit affecté de manière significative par les changements. En fait, selon Keyfactor et l'Institut Ponemon, 57 % des responsables des technologies de l'information et de la sécurité ont identifié la crypto-agilité comme une priorité stratégique majeure dans la préparation à l'informatique quantique.

Aujourd'hui, la vitesse et la sécurité dominent le monde de la technologie d'entreprise. Malheureusement, ces deux aspects sont souvent en contradiction, ce qui crée un décalage entre les équipes DevOps et les équipes de sécurité. Les équipes DevOps doivent agir rapidement pour développer des produits conformes aux besoins du marché, et nombre d'entre elles ne se soucient guère de l'origine des certificats et des politiques auxquelles ils se conforment, tant qu'elles disposent de ce dont elles ont besoin pour continuer à avancer à toute vitesse. Face à cette préoccupation première, de nombreuses équipes DevOps ont commencé à émettre leurs propres certificats numériques, créant ainsi de nombreux angles morts pour leurs homologues chargés de la sécurité et laissant leurs solutions exposées à des risques. En fait, la plupart des équipes de sécurité ne savent pas exactement combien de certificats ont été émis, et encore moins où ils se trouvent et quand ils expirent.

La clé pour combler ce fossé sans sacrifier la vitesse ou la sécurité est d'introduire des contrôles en arrière-plan pour les certificats qui sont émis par les outils DevOps. Cette approche permet aux équipes DevOps d'évoluer aussi rapidement qu'elles le souhaitent sans modifier leur architecture existante, puisqu'elles peuvent continuer à émettre et à utiliser des certificats de la même manière qu'elles l'ont fait jusqu'à présent. Mais en arrière-plan, elle donne aux équipes de sécurité une visibilité sur chaque certificat émis afin d'appliquer des politiques et de garantir la responsabilité. Grâce à la gestion automatisée du cycle de vie des certificats, l'équipe de sécurité peut renouveler automatiquement les certificats à mesure qu'ils expirent afin de s'assurer que rien ne se brise et de gérer les certificats avec la rapidité nécessaire.

Ce type de collaboration donnera naissance à une véritable crypto-agilité. Les organisations utiliseront la cryptographie à son plein potentiel, notamment en déployant des identités numériques selon les besoins, en sécurisant la chaîne d'approvisionnement software et en déployant PKI pour soutenir DevSecOps, tout en ayant la capacité de réagir rapidement aux changements.

Prédiction 5 : Les normes de sécurité seront adoptées sous forme de lignes directrices

L'impact potentiel de la technologie quantique menace à la fois la sécurité nationale et le fondement même de la sécurité de l'internet. Selon la National Security Agency, un ordinateur quantique d'une taille et d'une sophistication suffisantes serait capable de casser une grande partie de la cryptographie à clé publique utilisée sur les systèmes numériques à travers les États-Unis.

Début mai, l'administration Biden-Harris a annoncé un décret visant à renforcer le comité consultatif de l'initiative nationale quantique. Ce comité guidera l'élaboration des politiques et travaillera directement sous l'égide de la Maison Blanche pour veiller à ce que le président Biden, le Congrès, les agences fédérales et le public disposent des informations les plus récentes et les plus précises sur les avancées de la technologie quantique. Parallèlement, le président Joe Biden a signé un mémorandum sur la sécurité nationale, qui décrit les mesures à prendre pour atténuer les risques posés à l'infrastructure de cybersécurité des États-Unis. Ces deux directives visent à faire progresser les initiatives nationales dans le domaine de la science quantique et à sensibiliser aux menaces potentielles que l'informatique quantique fait peser sur l'intégrité de la sécurité de l'internet.

En outre, un certain nombre de groupes industriels, notamment dans les secteurs de l'automobile et de la médecine, élaborent leurs propres normes de sécurité. À mesure que la menace de l'informatique quantique se rapproche, les normes de sécurité seront de plus en plus adoptées sous forme de lignes directrices, voire de réglementations.

Les cyberincidents très médiatisés de l'année dernière ont mis en lumière l'impact soudain et important que les menaces modernes peuvent avoir sur les besoins d'une organisation en matière de cybersécurité et de cryptographie. Alors que nous réfléchissons à ce que nous réserve l'année à venir, la confiance et l'agilité deviendront primordiales pour garantir que les entreprises continuent à fonctionner en toute sécurité. Face aux événements perturbateurs de l'année dernière, les entreprises ont de plus en plus adopté le principe de la confiance zéro, "ne faire confiance à rien, valider tout". Dans ce modèle, PKI et les identités des machines sont devenues des technologies essentielles pour authentifier et établir la confiance numérique entre les utilisateurs, les appareils et les charges de travail dans toute l'entreprise.

Toutefois, il est important de se rappeler que la confiance n'est pas statique. Avec l'évolution du paysage des menaces et l'émergence de nouvelles technologies telles que l'informatique quantique, les normes de sécurité changeront inévitablement. La capacité d'une organisation à gérer efficacement et à adapter rapidement l'infrastructure PKI et les identités des machines aux nouveaux algorithmes, normes et environnements (c'est-à-dire sa crypto-agilité) sera tout aussi importante.

La bonne nouvelle, c'est que les organisations sont de plus en plus conscientes de l'urgence de devenir plus agiles sur le plan cryptographique. Dans notre récente enquête analysant le rôle de PKI, des clés et des certificats numériques dans la sécurisation des organisations informatiques, la préparation à la crypto-agilité a été classée comme une priorité stratégique majeure pour la sécurité numérique par 57% des professionnels de la sécurité informatique. Le paysage des menaces continuant d'évoluer, l'importance de la cryptographie ne fera que croître, de même que la nécessité d'une gestion centralisée des identités des machines.