L'adaptabilité et les capacités de planification et d'adaptation sont souvent considérées comme des caractéristiques essentielles pour chaque entreprise.
La crypto-agilité, c'est-à-dire la capacité d'un système de sécurité à passer rapidement d'un algorithme de chiffrement à un autre, est un excellent moyen de démontrer sa capacité d'adaptation. Elle nécessite de connaître les domaines de l'organisation où le chiffrement est utilisé, le déploiement de la technologie de chiffrement et la capacité d'identifier et de résoudre rapidement les problèmes lorsqu'ils surviennent. Une entreprise dotée d'une crypto-agilité est en mesure de remplacer des actifs obsolètes sans affecter gravement l'architecture de son système.
Bien que la valeur de cette technologie augmente rapidement, plusieurs entreprises hésitent à s'adapter à cette évolution. C'est pourquoi l'interviewé d'aujourd'hui, Ted Shorter, directeur de la technologie chez Keyfactorapporte un éclairage essentiel sur les conséquences potentiellement néfastes de cette technologie.
Comment Keyfactor a-t-il vu le jour en 2001 ? Comment s'est déroulé votre parcours jusqu'à présent ?
Keyfactor a été fondée par Ted Shorter et Kevin von Keyserling en 2001 en tant que société de services professionnels, travaillant directement avec les entreprises du Fortune 500 pour construire et déployer leur infrastructure à clé publique (PKI). En 2014, Keyfactor a étendu ses services à software pour résoudre un problème fondamental dans l'industrie cybernétique : les solutions existantes ne pouvaient pas gérer efficacement la croissance rapide des clés et des certificats numériques nécessaires à l'exploitation de l'entreprise moderne d'aujourd'hui.
Les cofondateurs Ted et Kevin ont réalisé que pour répondre à cette préoccupation croissante, une nouvelle approche était nécessaire - une approche qui combine l'expertise de pointe PKI avec les outils nécessaires pour découvrir, contrôler et automatiser les clés et les certificats à l'échelle. En tant que fournisseur de services PKI devenu plateforme software , Keyfactor fournit la seule solution qui combine PKI as-a-Service géré par des experts et l'automatisation du cycle de vie des certificats par le biais d'une solution unique livrée dans le nuage.
Aujourd'hui, Keyfactor est le leader des solutions PKI-as-a-Service et de crypto-agilité. Notre plateforme est reconnue par plus de 500 entreprises dans le monde, permettant à nos clients de prévenir les pannes de manière proactive, de réduire les risques et les coûts opérationnels et de favoriser la crypto-agilité dans les environnements DevOps, Cloud et IoT émergents.
Pouvez-vous nous en dire plus sur votre plateforme de crypto-agilité ? Quelles sont les caractéristiques qui la distinguent ?
Absolument. Mais tout d'abord, prenons un peu de recul pour discuter de ce qu'est exactement la crypto-agilité. La crypto-agilité consiste à savoir dans chaque cas où et comment la cryptographie est utilisée et à disposer d'outils et de stratégies permettant d'identifier rapidement les problèmes et de remplacer la cryptographie obsolète sans effort manuel intense ni interruption des applications essentielles à l'entreprise. Il peut s'agir des clés cryptographiques de l'organisation, des certificats ou des identités de machine qui identifient et connectent en toute sécurité pratiquement tout ce qui se trouve dans un réseau d'entreprise, comme les charges de travail, les services et les appareils.
Son importance s'accroît au sein des organisations, car le nombre de clés et de certificats numériques utilisés dans les organisations a explosé en raison du passage à l'informatique en nuage, aux architectures d'applications modernes et à la main-d'œuvre à distance. Ces changements font qu'il est beaucoup plus difficile pour les équipes de sécurité de réagir efficacement en cas de problème, par exemple lorsqu'une autorité de certification, qui valide les clés cryptographiques et les certificats numériques, fait l'objet d'une violation.
KeyfactorCrypto-Agility Platform™ est remarquable parce qu'elle aide les organisations à orchestrer de manière transparente chaque clé et chaque certificat - où qu'ils se trouvent - afin que leur entreprise soit protégée contre les pannes coûteuses et les incidents de sécurité.
Notre plateforme rassemble toutes les clés et tous les certificats dans un inventaire unique en s'intégrant directement aux points de terminaison du réseau, aux dépôts de clés et aux bases de données des autorités de certification. Cela permet aux entreprises de conserver une visibilité et un contrôle complets sur l'ensemble des clés et des certificats de leur environnement. En automatisant la gestion du cycle de vie des certificats à grande échelle, les entreprises peuvent s'assurer que tous leurs actifs cryptographiques sont sécurisés et à jour avec les dernières normes de l'industrie, répondre rapidement aux changements imprévisibles ou aux vulnérabilités, et réduire le risque de défaillance des applications ou de violation de la sécurité jusqu'à 60 %.
Un autre aspect de la plateforme qui se distingue des autres est sa capacité de gestion des clés, qui permet aux entreprises d'administrer l'ensemble du cycle de vie des clés de chiffrement en mettant en œuvre des politiques pour contrôler l'accès et les privilèges de gestion des clés. En s'appuyant sur une gestion rigoureuse des utilisateurs et des objets, les entreprises peuvent vérifier quand, où et comment les clés de chiffrement ont été utilisées.
Quels sont les principaux défis liés à l'infrastructure à clé publique ?
Deux des principaux défis associés à PKI sont la visibilité limitée du nombre de certificats au sein de l'organisation et le recours à des processus manuels pour gérer ces certificats.
Les entreprises d'aujourd'hui s'appuient sur un nombre incalculable d'appareils pour mener à bien leurs activités quotidiennes. Chaque appareil possède sa propre identité numérique, vérifiée par un certificat numérique. Compte tenu du nombre d'appareils et de certificats associés au sein d'une même organisation, l'équipe de sécurité est confrontée à de sérieuses limitations en termes de visibilité. Quel que soit le nombre d'outils de surveillance utilisés par une équipe ou le niveau de détail de sa feuille de calcul, ce ne sont pas les certificats dont elle a connaissance qui lui causent des maux de tête, mais le certificat qui a été négligé.
Pour obtenir un inventaire complet et précis de votre environnement cryptographique, vous devez avoir une visibilité sur toutes les bases de données des autorités de certification, sur les points d'extrémité SSL/TLS du réseau et sur les magasins de clés et de certificats. Sans cette visibilité, il est difficile de détecter tout changement inattendu, comme l'expiration d'un certificat.
Compte tenu du volume de certificats à gérer dans une entreprise, l'utilisation d'un processus manuel pour gérer le cycle de vie des certificats peut s'avérer extrêmement frustrant. Pour les personnes chargées d'émettre et d'approuver les certificats, le suivi des demandes peut sembler impossible. Pour les utilisateurs finaux, le renouvellement et l'installation manuels des certificats peuvent entraîner des erreurs et des heures de tâches répétitives. Le défi est d'autant plus grand que le cycle de vie des certificats numériques est court.
En septembre 2020, la durée de vie des certificats SSL/TLS a été réduite de moitié, passant de 825 à 398 jours. Sans automatisation, ce cycle de vie court rend la gestion correcte des identités beaucoup plus difficile. L'incapacité à sécuriser et à gérer correctement les identités des machines permet à certains certificats de passer entre les mailles du filet, ce qui augmente le risque de pannes préjudiciables.
Pensez-vous que les récents événements mondiaux ont modifié la façon dont les organisations abordent la cybersécurité ?
Sans aucun doute. À la suite de la pandémie, le travail hybride semble être là pour rester. Si le travail à distance présente des avantages, le paysage actuel du travail hybride ajoute encore plus d'obstacles à la gestion et à la sécurisation correctes des identités humaines et des machines, ce qui accroît les risques de cybermenaces, plus souvent que jamais.
En effet, les employés s'appuient désormais sur un certain nombre d'appareils pour accomplir leur travail dans leurs nouveaux environnements distants. Non seulement il y a plus d'appareils et plus de dépendance à leur égard, mais aussi chaque personne est connectée à un réseau différent, au lieu de travailler tous à partir d'un ou deux réseaux partagés.
En raison de ces changements dans l'environnement de travail, de nombreuses organisations commencent à adopter des approches plus proactives pour tenter de prévenir les menaces liées à l'identité, notamment en gérant et en sécurisant correctement les identités des machines.
L'invasion de l'Ukraine par la Russie est un autre événement mondial récent qui a modifié la façon dont les organisations abordent la cybersécurité. Si la perspective de cyberattaques menées par des États-nations contre des organisations constitue une menace réelle depuis un certain temps, une guerre réelle se déroulant parallèlement à une cyberguerre a fait prendre conscience de cette menace à de nombreuses personnes.
En conséquence, de nombreuses entreprises dans le monde prennent du recul pour analyser leur cybersécurité sous tous les angles, afin de s'assurer que chaque domaine de leur activité est sécurisé et que rien ne passe à travers les mailles du filet.
Votre rapport 2022 sur l'état de la gestion de l'identité des machines a mis en lumière des points intéressants. Quelles sont, selon vous, les principales découvertes ?
Le rapport 2022 State of Machine Identity Management (État de la gestion des identités des machines) a mis en évidence de nombreuses conclusions intéressantes. Le résultat le plus choquant est que 92 % des organisations interrogées ont connu au moins une panne au cours des 24 derniers mois, ce qui met en lumière l'importance croissante de la priorité accordée à la gestion des identités des machines. Nombreux sont ceux qui attribuent cette situation à la réduction de la durée de vie des certificats numériques.
En outre, 65 % des personnes interrogées ont admis que les durées de vie plus courtes de SSL/TLS augmentent la charge de travail de leurs équipes et le risque de pannes, soit une augmentation de 10 % par rapport à 2021. Cependant, beaucoup ne voient pas les défis de la gestion des identités des machines ralentir de sitôt, avec près de deux tiers des répondants estimant que les pannes dues à des certificats expirés sont susceptibles ou très susceptibles de continuer à se produire au cours des deux prochaines années.
Une autre conclusion intéressante du rapport concerne les défis associés à la récupération des pannes. En effet, le délai moyen de rétablissement est de 3,3 heures, 68 % des organisations déclarant un délai de rétablissement de 3 à 4 heures ou plus. Ce temps d'arrêt du réseau peut être préjudiciable à l'organisation, car il peut coûter environ 300 000 dollars par heure. Sans compter que si un site web ou une application critique pour l'entreprise est touché par une panne, la réputation de la marque et le chiffre d'affaires en pâtissent également.
Pourquoi pensez-vous que certaines organisations ne sont pas conscientes des menaces qui se cachent dans leurs propres systèmes ?
De nombreuses organisations ne sont pas conscientes des menaces qui se cachent dans leurs propres systèmes en raison d'un manque de visibilité à l'échelle de l'organisation qui est nécessaire pour se protéger contre les menaces d'aujourd'hui. Il est extrêmement difficile de sécuriser correctement toutes les identités humaines et machines qui composent une organisation, en particulier dans un monde hybride.
L'automatisation est la clé de l'amélioration de la visibilité à l'échelle de l'organisation. En ce qui concerne les identités, l'automatisation peut fournir une visibilité sur les autorités de certification publiques et privées d'une entreprise, les périphériques réseau et l'infrastructure en nuage, aidant ainsi les organisations à découvrir tous les certificats inconnus sur leur réseau et à les intégrer dans un inventaire centralisé. En outre, les équipes de sécurité peuvent simplifier rapidement les renouvellements en s'appuyant sur des renouvellements de certificats entièrement automatisés et sur la mise à disposition de dispositifs finaux sans intervention de l'administrateur.
Dans le monde hybride d'aujourd'hui, la visibilité acquise grâce à l'automatisation aide considérablement à sécuriser et à gérer correctement chaque appareil qui compose l'entreprise.
Selon vous, quels types de menaces les entreprises devraient-elles être prêtes à affronter au cours des prochaines années ?
Dans les années à venir, les entreprises devront commencer à se préparer à l'informatique quantique. En mai de cette année, l'administration Biden a annoncé deux directives présidentielles visant à faire progresser les initiatives nationales dans le domaine de la science quantique et à sensibiliser aux menaces potentielles que l'informatique quantique fera peser sur l'intégrité de la sécurité de l'internet. Ce faisant, l'administration a reconnu qu'aucune donnée n'est à l'abri d'attaques futures au fur et à mesure que l'informatique quantique gagne en maturité.
En fait, il s'agissait d'un sujet brûlant lors de la conférence RSA de cette année. De nombreux professionnels du secteur encouragent les organisations à se préparer dès maintenant à un monde post-quantique.
