Si vous êtes une équipe PKI - souvent une équipe solitaire - vous avez tout en jeu, mais vous n'avez souvent pas les ressources nécessaires.
Vous êtes responsable de milliers d'identités numériques, voire de millions, utilisées par des dizaines ou des centaines d'administrateurs au sein de l'entreprise. Un seul certificat mal géré peut coûter des millions, et PKI n'est peut-être même pas votre principale responsabilité.
C'est vraiment une situation difficile à vivre.
L'infrastructure à clé publique (PKI) est l'une des fonctions informatiques les plus critiques de toute entreprise. Les organisations dépendent chaque jour des clés de chiffrement et des certificats numériques pour instaurer la confiance et la sécurité dans leurs opérations quotidiennes.
Mais PKI n'est pas qu'une simple technologie - elle est alimentée par un ensemble complet de politiques, de procédures et, surtout, de personnes.
En lisant le récent rapport de l'Institut Ponemon sur l'impact des identités numériques non sécurisées Keyfactor-rapport de l'Institut Ponemon sur l'impact des identités numériques non sécuriséesje me souviens des risques et des conséquences souvent coûteuses auxquels les organisations sont confrontées lorsque les identités numériques ne sont pas correctement gérées.
En tant qu'ancien administrateur de PKI , je connais parfaitement les risques de sécurité identifiés dans ce rapport, mais je vois aussi les opportunités qu'il offre pour améliorer les processus et les outils. Après tout, tout risque peut être minimisé si on le comprend parfaitement.
En utilisant la bonne technologie, les équipes de PKI ont le pouvoir de réduire de manière significative les risques opérationnels et de sécurité, tout en réduisant les temps de réponse de plusieurs heures à quelques minutes, en cas d'incident.
Voyons ce que les données révèlent :
- Pourquoi les entreprises ont du mal à déléguer la responsabilité de la gestion de PKI ;
- Les nombreux risques et responsabilités liés à la propriété de PKI ; et
- Comment garder une longueur d'avance sur les menaces potentielles et éviter de graves pertes économiques.
1. PKI - La "patate chaude" technique
Selon le rapport, la responsabilité des clés et des certificats PKI est souvent dispersée au sein de l'organisation. Aucune fonction n'émerge comme étant clairement propriétaire du budget PKI - 20 pour cent disent que ce sont les lignes d'affaires, et 19 pour cent disent que ce sont les opérations informatiques.
Pourquoi cette déconnexion ?
La responsabilité de PKI a toujours été un peu une "patate chaude" sur le plan technique. La complexité même de la cryptographie à clé publique suffit à effrayer la plupart des professionnels de l'informatique.
Et si ce n'est pas la complexité, c'est le risque. Le taux d'échec de l'entreprise type PKI est considérable. La peur d'assumer la responsabilité personnelle de ce niveau de risque fait que peu de gens sont enclins à relever le défi.
Néanmoins, il est essentiel que chaque organisation dispose d'une équipe ou d'une personne prête à prendre le relais. PKI est un outil de sécurité caché mais fondamental depuis plus de vingt ans. À l'heure où l'Internet des objets (IoT ) et les pipelines DevOps exigent un accès aux clés et aux certificats signés, le rôle de PKI ne fait que devenir plus critique.
Si votre entreprise n'a pas encore de propriétaire PKI , il est temps que vous deveniez cette personne ou que vous la trouviez. Vous (ou eux) serez un atout inestimable au cours des prochaines années.
2. Risques et responsabilités liés à la propriété PKI
À l'époque où l'on ne traitait que quelques centaines de certificats, il était possible d'exécuter un solide PKI à l'aide d'une feuille de calcul (même si c'était alors un défi).
Mais les temps ont changé.
Aujourd'hui, l'entreprise moyenne estime qu'elle a.. :
- Plus de 82 000 clés et certificats
- 56 000 autres certificats utilisés pour le cryptage des données, SSL/TLS, les VPN et les services d'applications.
Cela représente beaucoup de responsabilités. Si un seul certificat est négligé, les dégâts peuvent être importants.
Les personnes interrogées dans le cadre du rapport Keyfactor-Ponemon ont connu en moyenne quatre pannes non planifiées dues à des certificats expirés au cours des 24 derniers mois. Au cours de la même période, ils ont connu cinq échecs d'audits, le coût moyen de ces événements dépassant les 14 millions de dollars.
Je suppose que vous pouvez considérer ces chiffres comme élevés ou faibles, en fonction de la taille de votre organisation, mais le principe reste le même : une gestion insuffisante des clés et des certificats entraîne des résultats coûteux.
Aujourd'hui, le suivi des clés et des certificats n'est pas seulement un casse-tête, c'est un cauchemar. Penser pouvoir inventorier et gérer avec précision toutes les données nécessaires (emplacement, date d'expiration, puissance de la clé, etc.) dans une feuille de calcul Excel est tout simplement irréaliste.
3. Des feuilles de calcul aux solutions
C'est là que la technologie entre en jeu.
Un inventaire précis ne peut être réalisé que grâce à une visibilité en temps réel, car les certificats sont continuellement émis, révoqués et installés dans votre infrastructure.
Lorsque vous pouvez suivre chaque certificat en temps réel, vous pouvez éviter les défaillances de sécurité et d'exploitation qui laissent souvent penser que "l'équipe PKI a encore failli" (malgré de multiples efforts pour avertir le propriétaire du certificat).
L'étape suivante consiste à automatiser la gestion du cycle de vie des certificats.
Comme nous le savons, la plupart des entreprises disposent d'une petite équipe dédiée à la gestion des certificats numériques. L'automatisation est un puissant multiplicateur de main-d'œuvre, car elle permet d'alerter les équipes en cas de certificats hors politique ou expirés. Elle permet également à d'autres unités commerciales de renouveler ou de remplacer elles-mêmes les certificats avec un minimum d'efforts, voire aucun.
Une fois que vous pouvez trouver, contrôler et automatiser le cycle de vie de chaque certificat dans votre environnement, le rôle de "propriétaire dePKI " passe rapidement de risqué à gratifiant.
Dans tous les cas, la bonne solution peut vous aider à garder une longueur d'avance sur les menaces potentielles et à éviter de graves pertes économiques.
Les faits et les chiffres présentés dans le rapport de l'institutKeyfactor-Ponemon sur l'impact des identités numériques non sécurisées peuvent vous aider à justifier la mise en œuvre d'une stratégie globale en matière d'identité numérique et à adopter les bons outils pour réussir.
