L'infrastructure à clé publique (PKI) est un outil qui a fait ses preuves et qui est devenu un élément de sécurité essentiel pour les entreprises de tous les secteurs. Les attaquants sont constamment à la recherche du chemin le plus facile pour accéder au réseau et une augmentation des violations basées sur les certificats, comme Equifax, a mis l'accent sur les risques liés à l'identité numérique et au site PKI .
Contrairement aux défenses de sécurité automatisées et basées sur l'apprentissage automatique, le processus de gestion de PKI est manuel pour la plupart des équipes informatiques. Cependant, la pénurie de compétences et le manque de ressources dans le secteur laissent souvent les tâches de gestion des systèmes de base comme PKI au bas de la liste des priorités. Dans ce cas, la compromission des dispositifs IoT ou le vol de clés et de certificats sensibles devient une tâche de moindre effort pour les attaquants opportunistes.
Lors de SecTor, la première conférence canadienne sur la formation en sécurité informatique, nous avons mené une enquête pour en savoir plus sur les défis auxquels sont confrontés les professionnels de l'informatique qui gèrent le site PKI. Voici ce que les personnes interrogées avaient à dire :
1.) Quel est votre plus grand défi avec PKI?
Budget insuffisant/coût élevé - 13
Manque de compétences et d'expertise - 18 %.
Processus manuels ou complexes - 50
Exigences réglementaires et de conformité - 18
2.) Parmi les éléments suivants, quels sont ceux qui vous préoccupent le plus ?
Manque d'appropriation ou de responsabilité sur PKI - 24%.
Pannes et violations causées par des certificats périmés - 14%.
Adoption sécurisée de DevOps, cloud et IoT - 43%.
Préparation aux menaces et aux risques quantiques - 19
3.) Quel serait le plus grand avantage d'une solution moderne PKI ?
Capacité à s'adapter à la croissance de l'entreprise - 22%.
Automatisation des tâches manuelles et complexes - 41
Gestion de l'infrastructure et des opérations de PKI - 8
Visibilité de toutes les clés et de tous les certificats numériques - 30 %.
4.) En tant que professionnel de la sécurité, pensez-vous qu'il faille davantage de législation en matière de protection de la vie privée et de la sécurité pour mieux protéger les entreprises et les consommateurs canadiens ?
Oui - 87
Non - 13
5.) Pensez-vous que les régulateurs et les élus canadiens en font assez pour normaliser les conseils de sécurité sur des mesures telles que le cryptage des données ?
Oui - 42
Non - 58
Ces résultats ne sont pas surprenants, compte tenu des thèmes récurrents que nous avons abordés avec les professionnels lors de la conférence :
Coupures
Les pannes non planifiées et les temps d'arrêt dus à des certificats expirés ont un impact sur pratiquement toutes les équipes de l'entreprise. Les équipes d'infrastructure qui n'ont pas été directement impliquées dans PKI subissent l'impact de ces interruptions en raison de certificats oubliés ou oubliés par leur équipe de sécurité. Les pannes ont un impact plus large et plus fréquent sur l'ensemble de l'entreprise. Les violations présentent un risque plus élevé, mais sont moins probables, et ont un impact plus direct sur une seule équipe : l'équipe de sécurité.
PKI as-a-Service
La gestion du cycle de vie des certificats n'est qu'une partie de l'ensemble. De nombreuses organisations s'efforcent de créer, de déployer et de gérer correctement leur site PKI en interne, sans parler des certificats émis par leurs autorités de certification publiques. De nombreuses personnes à qui nous avons parlé, y compris celles qui sont directement impliquées dans la gestion de PKI, ne savaient même pas qu'il était possible de placer leur PKI dans le nuage.
Signature du code Parties prenantes
De nombreuses équipes de sécurité ne sont pas au courant du processus de signature de code ou n'y participent pas, ce qui signifie que les développeurs et les responsables du développement sont les premiers responsables de la sécurité des clés de signature de code. Dans le même temps, les développeurs et les équipes d'ingénieurs ne comprennent pas et n'apprécient pas les risques liés au processus de signature du code.
Signature du code Sensibilisation aux risques
La plupart des participants à notre conférence n'étaient pas au courant des attaques récentes et importantes qui ont utilisé des certificats de signature de code légitimes pour pénétrer dans les organisations, y compris l'opération Shadowhammer, qui a touché ASUS.
Internet des objets (IoT)
Les appareils connectés ont été un thème central de la conférence, mais il semble que les fabricants d'appareils IoT , ainsi que les entreprises qui adoptent ces appareils, soient loin des meilleures pratiques de l'industrie. Malgré l'adoption explosive du site IoT, les pratiques de sécurité fondamentales, notamment la signature des microprogrammes, le cryptage et l'authentification des appareils, font toujours défaut.
Il est clair que la gestion adéquate du site PKI pour les équipes informatiques et de sécurité des entreprises devient un véritable défi. La pression est forte pour répondre aux besoins quotidiens de l'organisation tout en gérant la croissance de l'entreprise et les nouvelles initiatives. En matière de cybersécurité, PKI restera un élément essentiel du cadre général de sécurité. Et comme les entreprises sont de plus en plus dépendantes de PKI pour obtenir la confiance, il est essentiel de bien faire les choses.
