En 2023, PKI continuera à s'imposer dans le discours des entreprises comme un investissement essentiel. KeyfactorLe rapport State of Machine Identity Management 2022 montre que les organisations s'efforcent de moderniser leurs pratiques PKI .
- 66 % déploient davantage de clés et de certificats dans leur environnement informatique, tandis que 70 % déclarent que l'augmentation du nombre de clés et de certificats a alourdi la charge opérationnelle.
- 57 % des personnes interrogées considèrent l'agilité cryptographique comme une priorité stratégique majeure pour la sécurité numérique, et 55 % déclarent que les initiatives "zéro confiance" sont un facteur déterminant pour PKI, les clés et les certificats.
- 81 % des entreprises ont connu de multiples interruptions de service dues à des certificats expirés en 2021 et 2022, avec un temps moyen de remédiation de 3,3 heures.
Avec l'augmentation des enjeux liés aux pannes, la mise en place de nouvelles normes de conformité et la montée en puissance de la confiance zéro en tant que cadre pratique, nous pouvons nous attendre à ce que PKI et son utilisation évoluent cette année.
Pour comprendre comment l'évolution de l'environnement réglementaire, le paysage des menaces et les stratégies commerciales émergentes auront un impact - et seront impactés par - PKI, nous nous sommes tournés vers PKI Tomas Gustavsson, directeur général de Keyfactor.. Il nous a donné un scoop.
Keyfactor: Prévoyez-vous que le site PKI sera davantage appliqué dans le processus de développement et d'utilisation des dispositifs IoT ?
Tomas Gustavsson : Avec l'introduction d'une nouvelle législation de l'UE et du gouvernement américain, certains types de dispositifs IoT seront examinés de près. Ces réglementations porteront sur les vulnérabilités traditionnelles de software et sur le potentiel des mises à jour sécurisées par cryptographie et du cryptage des données.
Je prévois que cette discussion se poursuivra et s'intensifiera en 2023, notamment au sein de l'Union européenne avec l'introduction de la loi sur la cyber-résilience de l'Union européenne (EU Cyber Resilience Act). Loi sur la cyber-résilience de l'UE. Nous pouvons nous attendre à ce que les meilleures pratiques recommandées par le NIST et l'ENISA deviennent obligatoires, même si cela se fera lentement.
Keyfactor: Pourquoi la sécurité de la chaîne d'approvisionnement est-elle un point faible ? Les organisations ignorent-elles la sécurité de la chaîne d'approvisionnement ? Selon vous, que faudra-t-il pour que les organisations ne négligent plus la sécurité de la chaîne d'approvisionnement ?
Tomas : Certaines industries, comme les télécommunications et les infrastructures critiques, ont depuis longtemps donné la priorité à la sécurité de la chaîne d'approvisionnement. sécurité de la chaîne d'approvisionnement. La chaîne d'approvisionnement software a pris du retard parce qu'elle n'est pas aussi évidente et que la recherche n'a pas encore été bien établie. Le monde software a donné la priorité à l'innovation plutôt qu'à la sécurité, même dans le domaine de la consommation software qui traite des données essentielles et sensibles.
Mais cette situation est en train de changer pour plusieurs raisons :
- Nous avons vu de grands consommateurs ( software ) être victimes d'attaques de la chaîne d'approvisionnement, et nous les avons vus réagir en renforçant les normes de sécurité de leurs fournisseurs. Cette évolution se répercutera sur les petites organisations et sera impulsée par les marchés publics et privés.
- Ces dernières années, la recherche universitaire s'est considérablement développée autour de la chaîne d'approvisionnement de software . Nous pouvons donc nous attendre à ce que les paquets populaires de software soient analysés plus en profondeur et donc améliorés.
Actuellement, la mise en œuvre de contrôles de sécurité optimisés dans la chaîne d'approvisionnement du développement et de software nécessite une certaine expertise, mais dans les années à venir, nous pouvons nous attendre à ce que ces contrôles de sécurité soient de plus en plus intégrés dans les outils et plus faciles à optimiser.
Il est pratiquement impossible de sécuriser les chaînes d'approvisionnement software sans utiliser PKI, et nous pouvons donc nous attendre à ce que PKI soit plus facile à intégrer dans les outils de développement.
Keyfactor: Quels sont les secteurs qui donneront la priorité à PKI dans les années à venir ?
Tomas : Tous les secteurs ! PKI est l'approche la plus mature et la plus normalisée pour répondre aux exigences de sécurité auxquelles la plupart des industries sont confrontées.
Certaines industries, comme les télécommunications, utilisent PKI depuis des décennies. Il est donc possible que la croissance de ces industries ne soit pas aussi importante que celle de secteurs tels que l'automobile et la l'industrie manufacturière. Ces secteurs sont en train de passer à un modèle où tout est connecté, ce qui les oblige à augmenter leur utilisation de PKI par rapport à ce dont ils avaient traditionnellement besoin.
Même les entreprises, qui utilisent PKI depuis de nombreuses années, constatent une croissance massive de l'utilisation de PKI en raison d'initiatives telles que le "zero trust" (confiance zéro).nitiatives telles que la confiance zéro.
Keyfactor: Comment la gestion du site PKI aidera-t-elle l'industrie manufacturière à lutter contre les attaques de ransomware ?
Tomas : PKI ne peut pas tout résoudre. Les organisations ont besoin de protections en plusieurs étapes pour se prémunir contre les ransomwares et autres attaques. Par exemple, signature de code est un élément essentiel pour empêcher l'installation de logiciels malveillants dans vos systèmes. Si vous pouvez vous prémunir contre l'utilisation non autorisée de software, vous pouvez rester protégé contre de nombreux types d'attaques.
Cela dit, des clés de signature de code volées peuvent permettre de signer des ransomwares. Pour une entreprise disposant d'un écosystème privé d'appareils, il est préférable d'utiliser des certificats de signature de code à confiance privée plutôt que des certificats à confiance publique. Les appareils du fabricant sont ainsi protégés contre le vol de clés et de certificats de confiance publics.
En 2023, nous pouvons nous attendre à un renforcement de la sécurité autour des clés de signature de code de confiance publique, Microsoft imposant l'utilisation de modules de sécurité hardware pour les abonnés aux certificats de signature de code utilisés pour signer le code Windows.
Keyfactor: Pensez-vous que le travail à distance va perdurer ? Dans l'affirmative, comment les entreprises devraient-elles utiliser PKI pour sécuriser l'accès au réseau à distance ?
Tomas : Le travail à distance est là pour rester ; le lieu de travail hybride est la nouvelle norme. PKI est l'épine dorsale de la communication sécurisée, et la plupart des produits qui sécurisent le travail à distance utilisent PKI d'une manière ou d'une autre. Qu'il s'agisse d'une solution VPN, de vidéoconférence ou d'outils de collaboration bureautique, les entreprises doivent adopter une stratégie de confiance zéro.
Les stratégies de confiance zéro étendront l'utilisation de PKI à des parties du réseau qui dépendaient auparavant uniquement de la segmentation du réseau, afin de permettre un accès facile et sécurisé à toutes les ressources dont les travailleurs à distance ont besoin.
Il n'y a aucune raison pour qu'il ne soit pas aussi facile de travailler de n'importe où dans le monde, en toute sécurité.
Vous êtes prêt à utiliser PKI pour sécuriser votre organisation ?
De grands changements se profilent à l'horizon 2023, et le maintien d'un site PKI bien géré sera vital pour la réussite de l'entreprise. Pour lancer votre initiative de confiance zéro ou pour commencer à planifier la modernisation de votre système d'information, nous vous invitons à consulter le site web de l'entreprise. commencer à planifier la modernisation de votre système d'information, peut vous aider à faire évoluer pour répondre à vos besoins. PKIKeyfactor peut vous aider à faire évoluer PKI pour atteindre vos objectifs sans sacrifier la vitesse, l'efficacité ou la sécurité.
