Les responsables informatiques et les gestionnaires qui connaissent l'infrastructure à clé publique (PKI ) la considèrent comme l'un des outils de sécurité les plus anciens et les plus éprouvés de l'industrie. Les professionnels de l'informatique reconnaissent également le coût et les ressources dédiées nécessaires pour mettre en place et gérer un programme PKI en interne. L'évolution numérique se poursuit, tout comme la transformation de PKIet son importance au sein de la structure de sécurité de l'entreprise.
Comme toutes les initiatives de sécurité, la modernisation de PKI dans le cadre de la sécurité est essentielle pour atténuer les risques et assurer la conformité. Mais compte tenu de la pénurie de compétences dans le secteur et des priorités budgétaires concurrentes, comment contourner les obstacles pour déployer un programme adapté à votre équipe, à l'entreprise et à son budget ? Par où commencer ?
Commençons par le début
PKI a résisté à l'épreuve du temps, offrant une assurance de sécurité fondamentale aux RSSI et aux DSI, ainsi qu'une validation des normes aux yeux des régulateurs. Aujourd'hui, il reste un outil essentiel utilisé par les équipes pour protéger les identités numériques de leur organisation, qu'il s'agisse de personnes, d'applications ou d'appareils. Pourtant, malgré son rôle essentiel dans le cadre de la cybersécurité, PKI a eu du mal à trouver un propriétaire clair au sein de l'organisation. À cela s'ajoutent les résultats d'une récente enquête selon laquelle seulement 36 % des personnes interrogées déclarent que leur organisation dispose d'un nombre suffisant de membres du personnel de sécurité informatique dédiés au déploiement de PKI .
L'évolution des cyber-risques et des normes industrielles s'accompagne d'une évolution du rôle du RSSI et de l'appropriation des programmes par celui-ci. L'époque de la gestion des centres de données et des applications est révolue. Aujourd'hui, les RSSI doivent comprendre et s'approprier la complexité de la pile technologique de l'organisation et des SaaS et PaaS qui la soutiennent. Les exigences informatiques complexes telles que la migration vers le cloud et les projets d'authentification en couches dans l'écosystème informatique exigent de la flexibilité et une superposition de processus pour garantir une posture de sécurité solide qui peut évoluer en même temps que les besoins de l'infrastructure.
Bien choisir PKI
Les RSSI qui prennent les rênes de leur programme PKI ont deux options : construire ou acheter. Historiquement, la plupart des dirigeants ont opté pour la construction, en tablant sur des économies opérationnelles au fil du temps. Malheureusement, à l'époque comme aujourd'hui, les RSSI ont découvert qu'en l'absence de ressources appropriées et de soins continus, PKI peut se dégrader, entraînant la vulnérabilité des clés et des certificats, des pannes de système ou, pire encore, une atteinte importante à la protection des données. Outre les coûts supplémentaires liés à l'indisponibilité du réseau, les événements survenus à l'adresse PKI entraînent des vulnérabilités évitables du réseau et des dépenses supplémentaires pour corriger et récupérer les temps d'indisponibilité et les pertes.
PKI les échecs des programmes - et comment les éviter
Contrairement aux processus plus récents, PKI et sa longue histoire nous offrent d'innombrables études de cas réels de ce qui a bien fonctionné et de ce qui n'a pas fonctionné. Une étude de cas récente a suivi une institution financière qui a opté pour la création d'une application afin de gérer son site PKI et le nombre croissant de certificats. Bien que l'entreprise ait pu tirer parti d'un centre de données et d'une sécurité physique existants, la mise en œuvre a pris à elle seule quatre mois, nécessitant le dévouement de plusieurs membres de l'équipe de développement, d'ingénierie et d'informatique. Outre les ressources, le projet a engendré des coûts importants pour hardware, les licences et l'intégration.
D'un autre côté, comme pour de nombreuses autres fonctions de sécurité, de plus en plus de dirigeants voient les avantages de l'externalisation de PKI et choisissent d'"acheter" PKI par le biais d'un déploiement dans le nuage. Les raisons sont simples : un déploiement rationalisé, une meilleure hygiène de sécurité, des coûts de personnel réduits et des dépenses de programme plus prévisibles (et gérables) au fil du temps.
Keyfactor s'est associé à Simon Gibson, analyste en cybersécurité, et à GigaOm pour vous aider à explorer les coûts cachés de PKI, qu'ils soient internes ou externalisés. Téléchargez le rapport gratuit pour obtenir des conseils qui vous aideront à définir vos besoins en matière de PKI , à établir votre budget et à décider si la solution PKI , basée sur le cloud ou externalisée, convient à votre entreprise.