Cet article a été initialement publié par SC Magazine en juillet 2022.
Un rapport que nous avons publié récemment avec l'Institut Ponemon, basé sur plus de 1 200 réponses de professionnels de la sécurité, a révélé que les identités numériques créent des défis opérationnels pour les entreprises modernes. Le nombre d'identités de machines dépassant de loin celui de leurs homologues humains, nous espérions offrir des conseils pratiques pour résoudre ce problème.
Les entreprises modernes d'aujourd'hui s'appuient sur des milliers d'appareils et d'applications pour mener à bien leurs activités quotidiennes. Comme les êtres humains qui composent une organisation, chaque appareil doit avoir sa propre identité, et les équipes de sécurité doivent la gérer et la sécuriser correctement. Cependant, contrairement aux humains, les identités des machines se présentent sous la forme de certificats numériques et de clés cryptographiques, tels que les certificats Transport Layer Security (TLS), les clés Secure Shell (SSH) et les clés de chiffrement.
Bien que les équipes de sécurité et d'informatique aient principalement concentré leurs efforts (et leurs ressources) sur la sécurisation des identités humaines, il est maintenant temps qu'elles se concentrent sur les identités des machines. Selon notre rapport, 81 % des personnes interrogées ont connu de multiples pannes perturbatrices dues à des certificats expirés au cours des 24 derniers mois. Lorsque ces pannes liées aux certificats se produisent, il faut en moyenne 3,3 heures aux entreprises pour réagir et remédier à la situation. Aujourd'hui, les entreprises signalent une augmentation de la fréquence et de l'impact des pannes causées par des certificats non suivis ou expirés. Parce que les durées de vie plus courtes des certificats SSL/TLS sont devenues la nouvelle norme, les certificats expirés ont atteint un niveau record.
Le nombre croissant d'appareils utilisés par les entreprises modernes d'aujourd'hui ne montre aucun signe de ralentissement. Il en va de même pour le nombre de certificats et de clés, ce qui rend de plus en plus difficile la sécurisation des identités des machines dans les entreprises. Heureusement, nous constatons que les entreprises commencent à donner la priorité à la sécurisation et à la gestion de leurs identités machine. Notre étude confirme que 66 % des décideurs informatiques continuent de déployer davantage de clés et de certificats numériques dans leur environnement informatique.
Lorsqu'il s'agit de passer à l'échelle supérieure, il faut se concentrer sur l'automatisation
Les équipes informatiques des entreprises se concentrent sur la progression de l'activité en évoluant et en innovant rapidement pour dépasser les attentes des clients et devancer la concurrence. Rien ne freine la croissance de l'organisation comme les processus manuels qui prennent du temps et accaparent des ressources précieuses au détriment d'autres tâches essentielles. En ce qui concerne les identités des personnes et des machines, le fait de s'appuyer fortement sur des processus manuels (suivi des dates d'expiration des certificats dans une feuille Excel, par exemple) empêche une organisation d'évoluer.
Plus l'entreprise est grande, plus il y a d'appareils et plus il faut de clés pour gérer correctement l'identité des machines. Le nombre croissant de clés nécessaires pour gérer efficacement une entreprise est devenu ingérable. Selon notre rapport, 70 % des personnes interrogées affirment que l'augmentation du nombre de clés et de certificats a alourdi leur charge de travail.
En cas de forte croissance de l'entreprise, l'automatisation du cycle de vie devient une priorité absolue pour l'infrastructure à clé publique (PKI) et la gestion des certificats. Elle permet aux équipes de s'assurer qu'aucune identité de machine et aucun certificat correspondant ne passent entre les mailles du filet. Qu'il s'agisse d'une expansion mondiale ou d'une fusion-acquisition, l'automatisation du cycle de vie des certificats peut offrir la visibilité nécessaire à l'échelle de l'entreprise pour une protection optimale des identités. En fait, l'automatisation du cycle de vie (60 %) et la visibilité complète de tous les certificats (57 %) sont toutes deux apparues comme des besoins prioritaires pour PKI et la gestion des certificats.
Les entreprises peuvent atténuer ce fardeau en s'appuyant davantage sur l'automatisation pour alléger le processus laborieux de leurs équipes de sécurité et d'informatique. L'automatisation permet de tenir un registre du nombre de clés et de certificats, de suivre l'expiration de chaque clé et de chaque certificat et, lorsque l'échéance arrive, d'émettre en temps voulu de nouvelles clés et de nouveaux certificats afin d'éviter les pannes préjudiciables.
Mettre en œuvre une stratégie de confiance zéro
Aujourd'hui, la confiance zéro s' est imposée comme une entreprise critique et stratégique. Défini comme un concept qui met en place un niveau de protection supplémentaire pour n'autoriser que les utilisateurs, les appareils et l'accessibilité autorisés, la confiance zéro aide les entreprises à se protéger des menaces extérieures.
Les ICP, les clés et les certificats jouent tous un rôle essentiel dans la mise en œuvre d'une stratégie de confiance zéro et dans l'obtention d'identités fortes, et ces identités doivent être gérées. Le rapport indique également que 55 % des personnes interrogées considèrent la confiance zéro comme l'un des principaux moteurs de l'augmentation du nombre de PKI, de clés et de certificats.
Lors de la mise en œuvre d'une stratégie de confiance zéro, les entreprises doivent évaluer l'identité au cours du processus d'authentification et d'autorisation afin de s'assurer que l'utilisateur est bien celui qu'il prétend être et qu'il utilise la ressource à laquelle il a droit, où qu'il se trouve.
Le passage rapide à l'informatique dématérialisée
Les entreprises continuent de se lancer à corps perdu dans l'informatique dématérialisée. Cela repousse les limites de l'identité et peut mettre les entreprises au défi de trouver les bonnes solutions pour sécuriser les personnes et les appareils dans les environnements hybrides. Comment les entreprises peuvent-elles relever les défis de l'identité qui accompagnent l'adoption du cloud aujourd'hui ? La crypto-agilité. Être crypto-agile signifie qu'une entreprise peut rapidement et efficacement gérer et adapter l'infrastructure à clé publique (PKI) et les identités des machines à de nouveaux algorithmes et normes.
Grâce à la crypto-agilité, les entreprises peuvent adopter une approche proactive de la sécurisation des identités et réagir aux violations ou aux incidents à la vitesse optimale. Car lorsqu'il s'agit de violations, le timing est primordial. Quelque 57 % des entreprises ont confirmé que la crypto-agilité était devenue une priorité absolue pour la sécurité numérique de leur organisation.
Dans les années à venir, alors que de plus en plus d'entreprises modernisent leur site PKI et migrent vers le cloud, on peut s'attendre à ce qu'un nombre croissant d'entre elles se concentrent sur la crypto-agilité dans leurs plans d'intervention en cas d'incident. Elles seront ainsi mieux préparées à faire face aux nouvelles menaces actuelles visant les identités.
Sur la base des conclusions du rapport, il est clair qu'il y a de nombreuses raisons pour lesquelles la gestion des machines restera une priorité pour les entreprises modernes d'aujourd'hui. Qu'une entreprise cherche à s'agrandir, à mettre en œuvre une stratégie de confiance zéro ou à passer au cloud, l'identité des machines joue un rôle essentiel.
