Cet article a été initialement publié par Spiceworks News & Insights le 29 juillet 2022.
La gestion centralisée des identités des machines et la cryptographie sont essentielles pour sécuriser les opérations dans un environnement commercial de plus en plus numérique et dangereux. Dans cet article en deux parties, Ted Shorter, directeur technique, Keyfactor, examine les tendances les plus significatives en matière de cryptographie cette année.
La cryptographie est le fondement du monde numérique. De nombreuses entreprises sont aujourd'hui des entreprises numériques, qui utilisent la technologie pour vendre, dialoguer avec leurs clients et mener à bien leurs activités quotidiennes. Pour ces entreprises, la cryptographie et l'infrastructure à clé publique (PKI) sont essentielles pour établir la confiance dont elles ont besoin dans leurs infrastructures informatiques et leurs solutions de produits. Face à une vague croissante de cyberattaques de plus en plus sophistiquées, comme celles qui ont touché SolarWinds et Kaseya, PKI est un fervent défenseur des stratégies de confiance zéro. En fournissant des identités numériques uniques pour les utilisateurs, les appareils et les applications, en liant les autorisations attribuées à l'identité d'une entité et en fournissant une authentification forte de l'utilisateur, PKI protège les données sensibles et sécurise les communications de bout en bout.
Le nombre d'identités numériques, de contrôles d'accès, d'exigences en matière de signature de code et de relations de confiance entretenues par les entreprises augmentant de façon exponentielle, PKI et la cryptographie joueront un rôle essentiel dans la visibilité des organisations modernes et la gestion de l'identité des machines, d'autant plus que les attaques sont de plus en plus sophistiquées et graves. Pour relever les défis actuels en matière de sécurité tout en anticipant et en planifiant les besoins futurs, les entreprises devront suivre de près les changements ayant un impact sur leurs activités et leurs besoins en matière de cryptographie.
Dans ce contexte, voici les tendances les plus significatives en matière de cryptographie que l'on peut attendre pour le reste de l'année 2022.
Prédiction 1 : PKI Les silos devront être éradiqués pour parvenir à la gouvernance.
Pour les entreprises qui poursuivent des objectifs de sécurité "zéro confiance", la refonte de la gouvernance de PKI est indispensable. Aujourd'hui, de plus en plus de pannes sont causées par des certificats expirés, comme l'ont montré les récentes pannes de Fortinet, Shopify et d'autres grandes entreprises. La visibilité et le contrôle centralisés des diverses applications d'identités machine d'une organisation et du site PKI qui les sous-tend sont essentiels pour parvenir au contrôle d'accès requis pour la conformité réglementaire et la cybersécurité de l'entreprise.
À cette fin, les entreprises investissent dans PKI pour gérer leurs certificats, procèdent à une consolidation PKI et migrent plusieurs PKI disparates vers une solution unique à plusieurs locataires, telle que EJBCA. Cependant, bien que ces approches gagnent en popularité, la réalité est que les silos PKI persisteront dans les grandes organisations. En effet, les processus manuels de gestion des certificats n'ont pas suivi l'évolution des environnements informatiques. Comme les entreprises continuent à déployer davantage d'identités de machines, la gouvernance de PKI devient inévitablement cloisonnée, ce qui met les organisations en danger.
Selon Pulse Research et Keyfactor, 96 % des responsables de la sécurité informatique déclarent que PKI est essentiel à la mise en œuvre d'une architecture de confiance zéro. Par conséquent, la gestion centralisée de PKI et des identités des machines qu'ils régissent fournira la visibilité nécessaire pour que cela devienne une réalité. Cela va de l'authentification de l'identité de chaque utilisateur et de chaque appareil sur le réseau au cryptage de toutes les données en transit dans l'organisation, en passant par le maintien de l'intégrité des données en provenance et à destination des utilisateurs/appareils.
Prédiction 2. Une visibilité totale et une gestion proactive des certificats seront essentielles à la confiance zéro.
La course à la transformation numérique a introduit une nouvelle série de défis en matière de sécurité. Avec un nombre exponentiel d'identités machine créées chaque jour, les équipes informatiques et de sécurité s'efforcent de gérer les certificats de sécurité liés à ces identités. Au fur et à mesure que les entreprises se numérisent, la gestion proactive des certificats devient de plus en plus essentielle. Sans une gestion adéquate des identités et des certificats, les entreprises risquent de subir des pannes massives, entre autres conséquences néfastes.
En outre, les organisations ont du mal à décider comment gérer PKI et la gestion des identités des machines. Aujourd'hui, il existe une pléthore d'options pour obtenir des certificats de signature de code, et il y a aussi beaucoup plus d'identités entre les utilisateurs, les appareils et les applications où les certificats doivent être mis en œuvre pour garantir la légitimité d'un utilisateur final. L'évolution constante des environnements informatiques signifie que les certificats PKI sont appliqués de nombreuses manières et dans divers environnements. Les serveurs web, par exemple, ont besoin de certificats provenant d'une autorité de certification (AC) publique, tandis que la gestion de l'identité interne relève d'une AC privée. En outre, les certificats numériques utilisés dans les pratiques DevOps ont des cycles de vie courts, tandis que les certificats du site web SSL ont une durée de vie plus longue.
Bien que la stratégie d'une organisation comprenne l'obtention de certifications de sources multiples, il est essentiel d'avoir une visibilité complète sur ces systèmes. Cela est particulièrement important pour maintenir la sécurité dans un environnement en nuage hautement distribué.
Prédiction 3 : La cryptographie post-quantique gagne du terrain
La capacité de l'informatique quantique à décrypter les algorithmes de cryptage asymétrique actuels constitue une menace sérieuse pour PKI, Transport Layer Security (TLS), les réseaux privés virtuels (VPN) et un large éventail d'autres systèmes. Bien que les ordinateurs quantiques capables de briser la cryptographie classique ne soient pas encore disponibles avant des années, il y a certainement un début d'évolution dans ce domaine. Ils apparaîtront probablement au cours du cycle de vie des solutions développées aujourd'hui.
Pour résoudre ce problème, de nouveaux algorithmes cryptographiques post-quantiques (PQC) sont en cours d'élaboration. Ces nouveaux algorithmes sont basés sur des problèmes qui conservent leur complexité asymétrique face à l'informatique quantique, ce qui est essentiel pour sécuriser les algorithmes face à une attaque quantique. Si la PQC fait l'objet de discussions dans certains cercles depuis un certain temps, l'effort de PQC de plusieurs années annoncé en 2015 par le National Institute of Standards and Technology (NIST) lui a donné de la crédibilité.
Bien que le NIST ait récemment annoncé ses sélections pour le troisième cycle de normalisation, les normes finales ne sont pas attendues avant 2024. Après l'adoption d'algorithmes normalisés, des modifications seront apportées aux protocoles et formats normalisés afin d'utiliser les nouveaux algorithmes. Il y aura ensuite les implémentations de ces algorithmes et protocoles dans les boîtes à outils cryptographiques (par exemple, Bouncy Castle, OpenSSL) et les systèmes d'exploitation (Windows, macOS, Android, iOS), puis l'utilisation de ces algorithmes par les produits qui utilisent ces boîtes à outils ou ces systèmes d'exploitation, tels que les navigateurs web, les clients de messagerie et les appareils IoT .
Ensuite, il y aura l'approvisionnement et le déploiement de ces nouveaux produits et systèmes d'exploitation qui utilisent ces nouveaux algorithmes et protocoles. Enfin, les déploiements de ces mises en œuvre doivent atteindre une "masse critique" dans les écosystèmes dans lesquels ces produits fonctionnent. Il ne sert à rien de déployer un nouvel algorithme ou un nouveau protocole si les produits ou les dispositifs du système d'une organisation ne le prennent pas en charge. Dans l'ensemble, ce processus peut prendre entre quatre et plus de 20 ans après 2024.
Cela dit, les entreprises peuvent commencer à élaborer des solutions PQC sur la base des projets de normes, ce qui permettra aux développeurs de se préparer aux évolutions futures. Avec des normes officielles, la CQP s'imposera et sera largement acceptée et incluse dans les réglementations et les normes à venir. Pour se préparer à la CQP, les organisations doivent faire l'inventaire de toutes leurs clés et de tous leurs algorithmes et créer un plan basé sur l'automatisation pour les mettre à jour.
Même si la CQP ne se produit pas, les algorithmes et les clés que nous utilisons aujourd'hui ne seront pas sûrs à l'avenir. Nous le savons parce que ceux que nous utilisions il y a 15 à 20 ans ne sont plus considérés comme sûrs aujourd'hui. Indépendamment de ce que l'avenir leur réserve, les organisations ne devraient jamais concevoir des systèmes utilisant la cryptographie de manière statique.
Dans la deuxième partie de cette série, nous nous pencherons sur les autres tendances qui émergent dans le domaine de la cryptographie. Restez à l'écoute pour en savoir plus sur la façon dont la crypto-agilité va se généraliser et sur les raisons pour lesquelles le secteur va commencer à adopter davantage de normes de sécurité en tant que lignes directrices à mesure que l'informatique quantique se rapproche.
