Ce blog présente les réflexions de Chris Hickman, directeur de la sécurité de Keyfactor, sur le rapport 2020 Keyfactor-Ponemon Institute : L'impact des identités numériques non sécurisées. Cliquez ici pour télécharger et accéder au rapport complet. pour télécharger et accéder au rapport complet.
Alors que les DSI orientent les entreprises vers un modèle multi-cloud, le nombre de machines et d'applications, ainsi que le volume de données sensibles qu'elles génèrent, ont augmenté de manière exponentielle. Lorsque l'on pense à la sécurité et à son évolution au cours de la dernière décennie, deux concepts viennent à l'esprit : l'échelle et la complexité.
Les équipes informatiques et DevOps ont la possibilité de provisionner et de déployer l'infrastructure en quelques clics, au lieu d'attendre des jours, voire des semaines. Tout ce que ces équipes utilisent dans leurs opérations quotidiennes - services cloud, conteneurs, appareils et applications - fait appel à des certificats x.509 pour protéger les données et sécuriser les communications de machine à machine.
Le volume et la diversité croissants des certificats x.509 ont multiplié la complexité de leur gestion, d'autant plus que les cycles de vie des certificats sont plus courts et que les changements de normes cryptographiques sont plus fréquents. PKI Les équipes chargées des opérations et de la sécurité doivent désormais s'assurer que chaque certificat émis est fiable, à jour, protégé contre les attaques et conforme à la politique de l'entreprise (taille de la clé, algorithme, etc.).
Obstacles à l'extension des opérations PKI
Dans le rapport 2020 Keyfactor-Ponemon, plus de 600 professionnels de l'informatique et de la sécurité des informations estiment qu 'ils possèdent en moyenne 88 750 certificats et clés numériques dans leur entreprise, mais la plupart des organisations ne sont pas équipées pour les gérer et les protéger efficacement à grande échelle.
Certificats inconnus et non gérés
Selon le rapport, 74 % des personnes interrogées déclarent que leur organisation ne sait pas exactement combien de clés et de certificats elle possède.
La plupart des organisations concentrent leurs efforts sur les certificats TLS qu'elles utilisent pour sécuriser les sites web et les applications publiques, en utilisant généralement des outils fournis par l'autorité de certification ou des méthodes basées sur des feuilles de calcul pour en assurer le suivi. Le problème ? Cette approche ne peut prendre en compte qu'un nombre limité de certificats connus, mais ce sont les certificats inconnus ou frauduleux qui représentent un risque important pour l'organisation.
Dans de nombreux cas, les clients de Keyfactor voient cinq à dix fois plus de certificats que prévu dans leur environnement. Selon Gartner, les responsables de la gestion de la sécurité et des risques (SRM) devraient "s'assurer qu'ils comprennent au moins le nombre connu de certificats x.509 dans leur environnement. Si ce nombre dépasse 100, des solutions de gestion des certificats et d'autres outils doivent être mis en œuvre pour atténuer les risques".
Expirations inattendues
Les certificats expirés continuent de provoquer des pannes inattendues. Lorsqu'une panne de réseau ou d'application se produit, les équipes informatiques et de sécurité se concentrent généralement sur d'autres causes, telles que les problèmes liés à hardware/software , bien avant d'envisager un certificat x.509 expiré. Les retards dans l'identification et la correction du certificat expiré entraînent des temps d'arrêt et une perte de productivité pour les équipes de sécurité et les utilisateurs finaux et, dans certains cas, une perte importante de revenus et un impact sur la réputation du produit ou de la marque.
Soixante-treize pour cent des personnes interrogées dans le cadre de ce rapport déclarent que leur organisation continue de subir des pannes liées aux certificats, mais seulement 30 % d'entre elles affirment être en mesure de réagir efficacement à l'expiration des certificats.
Dans les scénarios de cloud hybride, la recherche et le remplacement d'un certificat expiré peuvent s'avérer extrêmement difficiles, en particulier si ce certificat est utilisé par plusieurs applications ou plates-formes de cloud.
Pas de Crypto-Agilité
Les certificats expirés continuent de provoquer des pannes inattendues. Lorsqu'une panne de réseau ou d'application se produit, les équipes informatiques et de sécurité se concentrent généralement sur d'autres causes, telles que les problèmes liés à hardware/software , bien avant d'envisager un certificat x.509 expiré. Les retards dans l'identification et la correction du certificat expiré entraînent des temps d'arrêt et une perte de productivité pour les équipes de sécurité et les utilisateurs finaux et, dans certains cas, une perte importante de revenus et un impact sur la réputation du produit ou de la marque.
Soixante-treize pour cent des personnes interrogées dans le cadre de ce rapport déclarent que leur organisation continue de subir des pannes liées aux certificats, mais seulement 30 % d'entre elles affirment être en mesure de réagir efficacement à l'expiration des certificats.
Dans les scénarios de cloud hybride, la recherche et le remplacement d'un certificat expiré peuvent s'avérer extrêmement difficiles, en particulier si ce certificat est utilisé par plusieurs applications ou plates-formes de cloud.
Constructions périmées PKI
Moins de la moitié (43 %) des entreprises sont en mesure de faire évoluer leurs opérations PKI pour prendre en charge de nouvelles applications et initiatives, notamment DevOps, Cloud et IoT .
La plupart des déploiements de PKI dans les entreprises ont été mis en œuvre pour des cas d'utilisation spécifiques afin de sécuriser les données et les applications au sein du centre de données, mais ils n'ont pas été conçus pour le volume ou la vitesse d'émission de certificats requis pour une infrastructure dynamique et automatisée dans le nuage.
Les outils DevOps comme HashiCorp Vault peuvent permettre aux développeurs d'accéder rapidement et facilement aux certificats dont ils ont besoin pour leurs opérations quotidiennes, mais PKI et les équipes de sécurité n'ont toujours pas la visibilité et le contrôle dont ils ont besoin pour protéger l'entreprise. Les développeurs ont besoin d'accéder à des certificats approuvés par la sécurité sans perturber leurs outils et flux de travail natifs.
Comment se présente la gestion des certificats x.509 ?
Prenez cinq minutes pour calculer l'indice de confiance critique de votre organisation et obtenez des recommandations personnalisées sur la manière de gérer efficacement les certificats x.509 à l'échelle pour répondre aux demandes croissantes et aux cas d'utilisation de votre entreprise.