Faire les bons investissements pour lutter contre la pénurie de main-d'œuvre dans le domaine de la cybersécurité

Le secteur mondial de la cybersécurité est confronté à une grave pénurie de main-d'œuvre. Bien que le vivier de travailleurs de la cybersécurité ait augmenté, les postes vacants sur le marché de l'emploi ont progressé encore plus rapidement, à tel point que le ministère de la sécurité intérieure a qualifié la pénurie de une menace importante pour la sécurité nationale.

Selon un rapport de (ISC)² Cybersecurity Workforce(ISC)² Cybersecurity Workforce), le déficit mondial de main-d'œuvre en cybersécurité en 2022 est de 3,4 millions de personnes, le chiffre le plus élevé jamais atteint. Le rapport souligne également que la main-d'œuvre américaine dans le domaine de la cybersécurité n'augmente que de 5,5 %, alors que la croissance mondiale est de 11,1 %.

Keyfactoraide les responsables de la sécurité à comprendre la dynamique de la pénurie de main-d'œuvre dans le domaine de la cybersécurité et propose des stratégies pour atténuer son impact sur leur posture de sécurité et l'efficacité de leur équipe.

Cette pénurie représente une menace importante pour les entreprises. Non seulement les équipes de sécurité en manque de personnel peinent à rester à l'affût des menaces actives contre les réseaux d'entreprise, mais elles perdent également la bande passante dont elles ont besoin pour patcher les systèmes critiques, évaluer et gérer les risques, et faire respecter les meilleures pratiques qui assurent la sécurité du réseau. 

L'adoption d'outils ou le recrutement de nouveaux talents peut ne pas résoudre les inefficacités sous-jacentes qui empêchent la mise à l'échelle. L'investissement adéquat redonne de la bande passante aux équipes de sécurité et simplifie leur travail quotidien tout en assurant l'évolutivité et la flexibilité pour l'avenir. 

Pour les entreprises qui chargent leurs équipes de sécurité générale ou d'informatique de gérer l'infrastructure à clé publique (PKI), la modernisation de PKI peut fournir l'élément de transformation dont les équipes ont besoin pour rester vigilantes et efficaces.

Alors que dans le passé, PKI était limité à un ensemble de cas d'utilisation spécifiques et gérables, l'entreprise d'aujourd'hui doit gérer des certificats numériques à grande échelle. KeyfactorLe rapport 2022 State of Machine Identity Management Report a révélé que l'entreprise moyenne se targue de posséder plus de 260 000 certificats émis en interne.

Outre le volume, plusieurs facteurs font de PKI un travail à temps plein que peu d'équipes peuvent réellement et efficacement accomplir, surtout lorsqu'elles sont mises à rude épreuve par la pénurie de main-d'œuvre.

Les certificats sont souvent disséminés dans l'entreprise, ce qui rend difficile la visibilité de l'ensemble de l'inventaire des certificats de l'organisation, en particulier si d'autres équipes peuvent générer leurs propres certificats sans contrôle. de l'inventaire des certificats de l'organisation - en particulier si d'autres équipes peuvent générer leurs propres certificats sans contrôle.

Pour contrôler l'inventaire complet des certificats de l'organisation, les équipes de PKI doivent avoir une visibilité sur les bases de données des autorités de certification (CA), sur les points d'extrémité SSL et TLS sur le réseau, et sur les magasins de clés et de certificats. Il doit également exister une hiérarchie de propriété claire entre les opérateurs PKI et les gestionnaires, les approbateurs et les utilisateurs de certificats.

KeyfactorLe rapport 2022 sur l'état de la gestion de l'identité des machines (2022 State of Machine Identity Management Report) montre que 42 % des organisations utilisent des feuilles de calcul pour suivre le cycle de vie des certificats et que 38 % utilisent des outils maison.

En conséquence, l'équipe PKI doit suivre manuellement les expirations de certificats à venir, se tenir au courant des demandes d'émission et d'approbation de certificats, et superviser le renouvellement et l'installation de nouveaux certificats. Le manque d'expertise et de responsabilité parmi les parties prenantes entrave encore plus les flux de travail manuels encombrants autour de PKI. 

La rationalisation des processus utilisés pour gérer PKI n'est pas seulement essentielle pour faire face à la pénurie de main-d'œuvre, mais aussi pour débloquer l'évolutivité au fur et à mesure que les organisations continuent à faire évoluer leur utilisation de PKI .

La gestion de PKI nécessite un ensemble de compétences et de connaissances approfondies et spécifiques. Les erreurs commises lors de la phase de conception d'un site PKI au niveau de l'entreprise ne peuvent pas être corrigées sans une refonte totale, en particulier avec le niveau de complexité impliqué dans un paysage de systèmes typique. PKI n'est pas un élément d'infrastructure "prêt à l'emploi et à oublier". Elle a besoin d'une maintenance et d'un entretien continus pour conserver son efficacité.

Une bonne gestion de PKI nécessite du temps pour évaluer l'infrastructure de manière globale et déterminer la voie à suivre. Lorsque les équipes informatiques ou de sécurité s'occupent de PKI en plus de leurs tâches principales, elles peuvent être amenées à donner la priorité à ces tâches par rapport à leurs responsabilités sur PKI . Dans tous les cas, l'organisation est confrontée à un risque accru de panne ou de violation.

D'une manière générale, ces défis contraignent les équipes internes à un mode de gestion réactif PKI. Non seulement cela crée un surcroît de travail pour l'équipe, exacerbant les douleurs liées à la pénurie de main-d'œuvre, mais cela garantit pratiquement les pannes dues à l'expiration des certificats.

La pénurie de main-d'œuvre exige des organisations qu'elles tirent le meilleur parti de leur personnel de sécurité et d'informatique existant. Les bons investissements permettent aux équipes d'accéder aux ressources, aux outils et aux connaissances qui leur manquent pour minimiser le temps qu'elles consacrent à la gestion du site PKI , en conflit avec d'autres tâches et un travail de plus haut niveau. 

La modernisation de PKI peut alléger la charge de travail tout en évitant des catastrophes telles que des audits ratés, des clés et des certificats volés ou mal utilisés, et des pannes imprévues.

Les équipes ne peuvent pas sécuriser ce qu'elles ne peuvent pas voir. Une plateforme de gestion PKI moderne peut détecter les certificats et les clés cachés et inconnus et fournir une visibilité sur les autorités de certification publiques et privées, les points d'extrémité du réseau et les magasins de clés et de certificats.

Cette visibilité permet à l'équipe PKI de remédier aux identités non conformes et faibles et de promouvoir les meilleures pratiques en matière de certificats dans l'ensemble de l'entreprise. Grâce à des fonctionnalités telles que le marquage des certificats et les métadonnées personnalisées, les équipes de PKI peuvent organiser les inventaires de certificats et intégrer les certificats dans les flux de travail des utilisateurs. 

La création d'un centre universel PKI command peut apporter un temps précieux, de la simplicité et de la tranquillité d'esprit aux équipes de sécurité qui manquent de personnel. La centralisation de la gestion de PKI au sein d'une plateforme holistique peut permettre aux équipes d'économiser des heures de travail qu'elles passeraient autrement à rechercher l'état de certificats obscurs et éloignés les uns des autres. Elles seront en mesure de voir venir les expirations et de ne plus se demander si un certificat oublié va expirer sans être détecté.

L'automatisation est peut-être le plus grand avantage d'un système modernisé. PKI. Une solution de gestion PKI peut rationaliser ou automatiser entièrement le processus de renouvellement, d'approvisionnement et d'installation des certificats. Cette fonctionnalité peut virtuellement éliminer le risque de pannes de certificats et éviter la lourde charge de travail que représente la réparation de ces pannes. et d'éviter la lourde charge de travail que représente leur remédiation.

Lorsque les équipes peuvent automatiser les alertes de renouvellement, programmer des rapports et révoquer ou délivrer des certificats en masse, elles peuvent s'extraire de la routine PKI pour évaluer et affiner PKI à un niveau plus large. Elles peuvent véritablement contrôler leur PKI, plutôt que d'être à sa merci. 

L'automatisation simplifie l'utilisation des certificats pour les utilisateurs finaux tels que les développeurs et les propriétaires d'applications.. Une solution de gestion PKI peut fixer des limites et des normes pour les utilisateurs qui consomment des certificats sans enfreindre les politiques ou la conformité. Ainsi, un site PKI modernisé peut soulager les équipes autres que celles dédiées à l'informatique et à PKI des douleurs liées à la pénurie de main-d'œuvre, contribuant ainsi à l'innovation plutôt que de l'entraver.

Chaque organisation est différente et consomme des certificats de manière unique. Si les plateformes prêtes à l'emploi peuvent offrir des capacités de transformation, les organisations ont besoin d'expertise humaine pour prendre les décisions les plus importantes concernant leurs activités, les organisations ont besoin d'une expertise humaine pour prendre les décisions les plus importantes concernant leur système de certification. PKI.

Un fournisseur PKI ou un expert externe peut travailler avec les équipes de sécurité ou de TI pour comprendre les cas d'utilisation de leur organisation PKI , afin d'architecturer au mieux le PKI en fonction de ces exigences et d'éviter les problèmes de post-production. Un expert ou un fournisseur PKI peut aider à prendre les décisions importantes lors de la phase de conception, comme l'utilisation d'une conception à deux ou trois niveaux ou l'adoption d'un module de sécurité Hardware (HSM). 

Un expert PKI peut s'assurer que ces décisions ne reviennent pas causer des problèmes à l'organisation et simplifier... PKI. Une fois les bases de PKI établies, des politiques et des procédures peuvent être mises en œuvre pour optimiser la gestion de PKI . À partir de là, l'équipe interne responsable de PKI peut administrer l'examen et le test réguliers des composants de PKI , comme le contrôle et l'analyse comparative de PKI par rapport aux normes industrielles actuelles et émergentes en matière de conformité et de sécurité.

Les conseils d'un expert sur PKI peuvent éviter aux équipes d'immenses complications et la difficulté de moderniser leur PKI par tâtonnements. Pendant ce temps, l'organisation paie pour l'expertise dont elle a besoin plutôt que d'embaucher un expert interne PKI .

En plus de faire gagner du temps aux équipes de sécurité et de leur épargner des maux de tête, les gains d'efficacité d'un système modernisé peuvent se traduire par des économies de coûts. d'un site PKI modernisé peuvent permettre de réaliser d'importantes économies.. Non seulement les organisations tireront davantage de valeur des membres de leur équipe existante, en évitant les coûts liés à des embauches inutiles et en réduisant le coût total de possession autour de de 40 %. et en réduisant de 40 % le coût total de possession de PKI , mais aussi en conservant les revenus de l'entreprise.mais elles conserveront également des revenus qui seraient autrement perdus en raison de pannes ou de cyberattaques.

Les entreprises disposent ainsi d'une plus grande marge de manœuvre pour investir dans d'autres secteurs d'activité qui subissent les pressions de la pénurie de main-d'œuvre.

Un jour, la pénurie de main-d'œuvre dans le domaine de la cybersécurité disparaîtra, mais de nombreuses inefficacités sur le site PKI n'ont pas été créées par la pénurie, mais plutôt révélées et amplifiées par elle. Quelles que soient les mesures prises par les organisations pour survivre à la pénurie de main-d'œuvre, l'évolutivité et l'efficacité de PKI seront essentielles pour sécuriser les entreprises dans le monde de demain.

Pour découvrir d'autres façons dont les organisations peuvent rester sûres et agiles pendant la pénurie de main-d'œuvre, téléchargez le nouvel ebook de Keyfactor: Trois stratégies pour faire face à la pénurie de main-d'œuvre dans le domaine de la cybersécurité.