L'adoption de l'informatique dématérialisée et de l'informatique "en tant que service" a changé notre façon de travailler. Il fut un temps où la migration de l'infrastructure et des applications vers l'informatique dématérialisée suscitait la peur et le doute. Cette époque d'incertitude est révolue. Aujourd'hui, il s'agit de choisir le bon moment. Et de financement. Et de la confiance que l'on peut accorder à ses fournisseurs de services d'informatique dématérialisée. Le défi qui continue de paralyser la transformation numérique des entreprises aujourd'hui est la volonté d'entreprendre des projets complexes afin de récolter les fruits qui attendent de l'autre côté.
En d'autres termes, la question n'est plus "devrions-nous utiliser le nuage" mais plutôt "comment, où et dans quelle mesure pouvons-nous exploiter le nuage à notre avantage ?" Cela commence souvent par quelques serveurs et applications, pour finalement s'étendre à des applications plus critiques qui permettent à la sécurité, au DevOps et à l'informatique d'évoluer rapidement et de répondre à l'évolution des besoins de l'entreprise.
La sécurité dans l'informatique dématérialisée
Lorsque l'on parle de sécurité, l'informatique dématérialisée occupe le devant de la scène. C'est un domaine de l'entreprise qui ne peut pas être contrecarré par des guerres de budget ou de priorité de projet. Les violations majeures dont nous avons été témoins de la part d'entreprises telles qu'Equifax et Target ne se sont pas produites parce que les mesures de sécurité n'étaient pas en place.
Sur Keyfactor, nous avons discuté avec des centaines de professionnels de l'informatique responsables de la sécurité de leur entreprise. Le plus souvent, les brèches, petites ou grandes, sont dues à des erreurs humaines involontaires. Les attaques les plus réussies sont le fait de pirates qui exploitent les vulnérabilités causées par de simples erreurs de configuration et de négligence. Des choses comme des mots de passe par défaut ou des certificats numériques expirés.
La complexité est l'ennemie de la sécurité. Si le fonctionnement des contrôles de sécurité exige un niveau élevé de connaissances, il est logique que les difficultés liées au talent ou à une simple erreur humaine soient plus susceptibles qu'ailleurs d'avoir un impact négatif sur le profil de sécurité global de votre entreprise.
Les entreprises se sentant plus en sécurité avec le cloud et comprenant l'importance de travailler avec des fournisseurs de services gérés qui prennent également la sécurité au sérieux, les RSSI considèrent les services basés sur le cloud comme un moyen d'automatiser les processus, de décharger l'infrastructure dorsale et les tâches de maintenance, et de permettre à leurs équipes de se concentrer sur ce qu'elles font le mieux, à savoir protéger l'activité de l'entreprise.
PKI: Risques et défis en matière de sécurité
L'infrastructure à clé publique (PKI) est la pierre angulaire de la sécurité dans toute entreprise - elle permet le cryptage et les connexions sécurisées entre les personnes, les applications et les appareils dans l'ensemble de l'organisation. PKI ne se limite plus à des cas d'utilisation isolés tels que le courrier électronique sécurisé, les signatures numériques et les certificats SSL .
PKI Aujourd'hui, on s'attend à ce qu'elle prenne en charge un nombre croissant d'appareils connectés et d'applications d'entreprise, telles que DevOps et IoT security. Et avec l'arrivée de réglementations plus strictes en matière de sécurité des données, les entreprises dépendent plus que jamais de PKI pour garantir la confiance.
Avec tous ses avantages avérés, il n'est pas surprenant que PKI soit complexe - très complexe. Contrairement à d'autres outils de sécurité, il ne s'agit pas seulement de technologie. PKI est un ensemble de pièces mobiles comprenant hardware, software, des politiques et des procédures. Et dans les moyennes et grandes entreprises, il est souvent responsable de la protection de centaines de milliers de certificats numériques. Pour bien faire, il faut maîtriser à la fois l'art et la science.
Mais malgré le rôle central de PKIdans la cybersécurité, les objectifs des entreprises ne tournent pas autour de la création d'un solide PKI. Une entreprise moyenne utilise 75 produits différents pour sécuriser son réseau. Les ingénieurs et les professionnels de la sécurité ont probablement plusieurs autres responsabilités, comme les audits, les évaluations des risques, les tests de pénétration, etc. Il n'est donc pas surprenant que seulement 39 % des organisations déclarent avoir suffisamment de personnel de sécurité informatique dédié à PKI, selon une étude Keyfactor-Ponemon de 2019.
Non seulement PKI est plus complexe que la plupart des gens ne le pensent, mais il s'agit d'un système qui fonctionne sur une longue durée, et qu'il est donc facile de mettre de côté, d'ignorer ou même d'oublier complètement - jusqu'à ce qu'une brèche ou une panne grave se produise.
Les mandats de conformité, les changements commerciaux et l'évolution de la cryptographie en tant que pratique sont autant de bonnes raisons de réexaminer la façon dont vous gérez votre site PKI. Lorsqu'il est construit et exploité en toute sécurité, votre site PKI devrait offrir un niveau d'assurance élevé dès sa mise en œuvre et tout au long de son cycle de vie, mais ce n'est pas une mince affaire.
Quelle est la solution ? Il faut se tourner vers le nuage.
PKI géré dans le nuage
Lorsqu'il s'agit de PKI, deux options s'offrent à vous :
- Créez votre propre PKI en interne
- Tirer parti d'une solution gérée hébergée dans le nuage PKI.
" PKI n 'est pas impossible. La vraie question est de savoir si votre organisation dispose des ressources et de l'expertise nécessaires pour bien construire et sécuriser l'infrastructure. Même si vous disposez des ressources en interne, doivent-elles être consacrées à la maintenance de l'infrastructure ? Ou doivent-elles se concentrer sur la sécurisation de votre entreprise ?
Managed PKI est essentiellement votre PKI, mais vous n'êtes plus responsable de sa gestion en interne, ce qui vous permet de libérer des ressources informatiques et de sécurité précieuses pour vous concentrer sur d'autres priorités. De plus, l'utilisation d'un site PKI géré par des professionnels présente des avantages évidents en termes de coûts. Un déploiement interne de PKI coûte généralement plus de deux fois le coût de l'utilisation d'un service géré. Mais au-delà de l'argent, le véritable avantage de la gestion de PKI est une sécurité de haut niveau.
En transférant votre site PKI dans le nuage, vous pouvez immédiatement réduire les risques associés à sa construction et à son fonctionnement en interne. Tout, de la sécurité physique à la gestion des correctifs, est transféré à un fournisseur de confiance qui se spécialise dans une chose et une seule : PKI. Si votre entreprise subit une attaque, vous avez un système moins critique à restaurer grâce à votre PKI hébergé en toute sécurité dans un emplacement cloud isolé et hors site.
Comment choisir le bon partenaire de gestion PKI
Les entreprises ont souvent une vision étroite du maintien des fonctions informatiques critiques en interne, sans réaliser les avantages potentiels en termes de sécurité du transfert des services vers le nuage. Mais beaucoup commencent à reconnaître les avantages commerciaux et financiers. En fait, 55 % des organisations externalisent déjà ou prévoient d'externaliser leur déploiement sur le site PKI . Alors que le secteur apprend qu'il peut atteindre les mêmes objectifs qu'une solution interne PKI sans les risques et la complexité liés à sa gestion, il reste un dernier obstacle à franchir.
La confiance. Le plus grand défi auquel sont confrontées les équipes de sécurité est de confier leur matériel cryptographique à quelqu'un d'autre. Il s'agit des questions "que se passe-t-il si...". Que se passe-t-il si mon fournisseur PKI disparaît ? Que se passe-t-il si je souhaite rapatrier mon site PKI en interne ? Que se passe-t-il si mon site PKI est violé ?
Une idée fausse très répandue à propos de PKI hébergé dans le nuage est que vous devez abandonner le contrôle des clés virtuelles de votre royaume. Mais il est facile de jouer sur les deux tableaux : garder le contrôle tout en externalisant la complexité. Tout dépend du fournisseur que vous choisissez.
Un fournisseur réputé de PKI proposera une plateforme qui donnera à votre entreprise un contrôle total sur les clés de l'autorité de certification racine et les matériaux de récupération de PKI , tandis que les tâches de conception, de déploiement et de gestion resteront de son ressort. Il doit également garantir la flexibilité nécessaire pour s'intégrer à de multiples autorités de certification (AC), qu'elles soient publiques ou privées. De cette façon, vous êtes libre de transformer votre site PKI sans limites ni enfermement.
Les menaces de cybersécurité ne disparaissent pas et, par conséquent, la nécessité de mettre en place un dispositif de sécurité solide ne disparaît pas non plus. Quelle que soit la manière dont elle est maintenue, il est absolument essentiel de gérer correctement votre site PKI . Keyfactor est le leader du marché de la gestion à haute assurance PKI et de l'automatisation du cycle de vie des certificats, auquel font confiance les entreprises, les gouvernements et les fabricants du monde entier. Nos clients bénéficient d'un site sécurisé PKI construit à partir de zéro - soutenu par une équipe d'experts, une conformité proactive et une sécurité de pointe.
Prêt à passer à l'étape suivante ? Téléchargez notre eBook pour découvrir si Managed PKI est la bonne solution pour votre entreprise :
