La plupart des organisations, quelle que soit leur taille, préfèrent disposer d'un système interne PKI. D'après toutes les mesures, leur PKI est sécurisé par des modules de sécurité hardware et dispose de politiques de certificats bien définies. Il existe un groupe plus important d'organisations qui gèrent un PKI plus simplifié qui n'est peut-être pas soumis à une réglementation ou à des audits intensifs.
Cependant, l'utilisation de PKI pour un simple cas d'utilisation professionnelle (par exemple, l'authentification du client pour le Wi-Fi) évolue rapidement vers un environnement complexe à mesure que vos appareils se développent et que l'adoption du multi-cloud devient votre nouvelle norme.
L'automatisation devient désormais un élément important de la réussite de votre site PKI .
Que vous soyez du côté simpliste ou plus sécurisé, voici quelques objectifs de l'automatisation de PKI et la manière dont vous pouvez évaluer votre niveau de maturité actuel.
L'automatisation au service de l'efficacité opérationnelle
Toutes les organisations veulent économiser de l'argent en automatisant les tâches routinières. C'est pourquoi la RPA (robotic process automation) est l'un des marchés à la croissance la plus rapide dans l'entreprise software. Les responsables de PKI veulent la même chose.
En réalité, seuls 38 % des professionnels de l'informatique et de la sécurité déclarent disposer d'un personnel de sécurité informatique suffisant pour assurer le déploiement de leur site PKI . La plupart d'entre eux respectent les accords de niveau de service (SLA) par l'exécution manuelle du travail, ce qui pose un énorme problème d'efficacité opérationnelle. Étant donné que le nombre d'experts PKI est limité dans votre entreprise, l'accumulation des charges de travail peut mettre en péril le respect de ces accords de niveau de service.
L'utilisation de l'automatisation PKI pour les tâches de gestion du cycle de vie des clés et des certificats peut réduire la quantité de travail manuel nécessaire. L'automatisation vous permet également de réutiliser les certificats et d'échanger les identités entre les serveurs, les équilibreurs de charge, les pare-feu, les conteneurs, les charges de travail dans le nuage, les appareils mobiles et IoT .
En fin de compte, plus d'automatisation équivaut à une efficacité opérationnelle accrue pour les personnes responsables de PKI.
L'automatisation pour assurer la continuité des activités
En raison de la pandémie actuelle, le terme "continuité des activités" est passé d'ennuyeux à immédiatement pertinent. Il semble que tout le monde veuille désormais parler de la manière d'assurer la continuité des activités en ces temps incertains.
Cependant, la marque d'une PKI réussie a toujours été la capacité à assurer la continuité des activités et à prévenir les pannes. La cause la plus fréquente des pannes de système est l'expiration d'un certificat. Ces certificats expirent en raison d'un goulot d'étranglement dans les processus manuels nécessaires au renouvellement, à la réémission et au déploiement de ces certificats à grande échelle.
PKI L'automatisation peut aider à éliminer ces tâches manuelles manquées grâce à la découverte automatisée des points d'extrémité, à l'établissement de rapports sur l'expiration imminente et à la gestion du renouvellement et de la réémission des certificats. Une fois l'automatisation de PKI correctement configurée, ces pannes peuvent être réduites, voire éliminées.
Suivi de la maturité de votre site PKI
La multiplication des certificats, le raccourcissement des cycles de vie et l'évolution des normes de cryptographie ont augmenté de manière exponentielle le risque de pannes et d'échecs des audits. Prenez les objectifs que nous venons de discuter et voyez où vous vous situez actuellement dans la maturité de l'automatisation de PKI .
Phase 1 : Manuel
Malgré l'adoption de nouvelles technologies telles que le cloud, les appareils mobiles et IoT , la plupart des organisations utilisent encore des méthodes manuelles pour suivre et gérer les certificats.
Signes indiquant que vous êtes dans une phase manuelle :
- Utilisation de feuilles de calcul Excel
- Intensif en ressources
- Pas de découverte de clés et de certificats en place
- Exposé à un risque élevé de pannes
Phase 2 : Réactive
Les outils fournis par CA et les interfaces PKI sont un niveau supérieur aux feuilles de calcul, mais sans découverte centralisée et sans automatisation, les équipes de sécurité sont toujours enfermées dans un mode réactif.
Signes indiquant que vous êtes dans une phase réactive :
- Silos d'AC multiples
- Visibilité et contrôle limités
- Automatisation zéro à limitée
- Rapports et analyses minimaux
Phase 3 : Proactive
Lorsque les entreprises commencent à investir dans des outils permettant de découvrir et d'automatiser le cycle de vie des certificats, elles peuvent se concentrer moins sur la prévention des pannes et plus sur la mise en place de nouveaux cas d'utilisation de PKI .
Signes indiquant que vous êtes dans une phase proactive :
- Visibilité totale de chaque clé numérique et de chaque certificat
- L'automatisation de bout en bout
- Rapports et alertes en temps réel
- Application normalisée des politiques
Phase 4 : Dynamique
Un site PKI efficace ne se limite pas à la gestion des clés et des certificats, mais concerne les personnes, l'infrastructure et la politique qui sous-tendent votre site PKI et qui vous permettent de réagir et de vous adapter au changement de manière efficace.
Signes indiquant que vous êtes dans une phase dynamique :
- Déploiement d'une stratégie "Cloud-First" PKI
- CA et agnostique en matière de technologie
- Obtention de la Crypto-Agilité
- Hautement évolutif et extensible
Prochaines étapes
Il est très probable que votre système d'automatisation PKI actuel se trouve dans l'une des deux premières phases. Et ce n'est pas grave. Le fait d'être honnête quant à la phase dans laquelle se trouve actuellement votre déploiement PKI vous permet de définir un plan de correction réaliste.
Partagez cet article et ce livre blanc avec le reste de votre équipe InfoSec pour commencer à planifier une feuille de route d'automatisation PKI pour l'avenir.