Au cours des dernières semaines, nous avons reçu un certain nombre de demandes de la part de dirigeants et de praticiens asur la meilleure façon de relever les les défis de la de la continuité des activités qui se dessinent avec la pandémie de COVID-19 pandémieet la nécessité de sécuriser rapidement une main-d'œuvre distante à grande échelle. Pour aider notre communauté de sécurité, nous avons lancé un centre de ressources de ressources des idées et des recommandations à l'intention des PKI et les professionnels de la sécurité.
Nous nous sommes entretenus avec notre responsable de la sécurité, Chris Hickman, pourplus plus de l'information de comment s'attaquere ces de l'emploide la main-d'œuvre de sécurité des travailleurs à distance.
Transcription intégrale transcription ci-dessous.
Quel a été l'impact de COVID-19 sur les activités quotidiennes d'une organisation et sur son niveau de sécurité général ?
Be manière générale, la plupart des organisations ont pris des mesures très efficaces pour permettre à leurs employés de travailler à distance, la plupart des organisations ont très bien réussi à permettre à leurs employés de travailler à distance pour aider à à freiner la propagation du virus en éloignant les personnes du lieu de travail. C'est formidable de voir cette réponse globale - même si elle créerd des défis pour les entreprises, en particulier dans les domaines de la sécurité.
Les grandes Les grandes organisations qui ont l'habitude d'avoir une main-d'œuvre mobile très diversifiée ont probablement trouvé la transition relativement facile.sieurs employés mobiles ont probablement trouvé la transition relativement simple. Cependant, c'est la première fois que nous testons réellement ce type d'organisation du travail à grande échelle, c'est la première fois que nous testons réellement ce type d'organisation du travail à grande échelle, et il y aura forcément des accrocs et des problèmes en cours de route.
En En discutant avec les personnes que je connais dans les industries et qui ont tenté de mettre en place des plans de continuité des activités, j'ai constaté qu'elles portaient une attention particulière à la sécurité, pour des raisons évidentes. Essayer de préserver la sécurité des données de l'entreprise tout en déplaçant les gens de leur lieu de travail naturel à des lieux éloignés est une tâche énorme et décourageante. L'ampleur de la sécurité est vraiment mise à l'épreuve dans le cadre de ce projet. L'échelle de la sécurité est réellement testée d'une manière qui n'a jamais été testée auparavant.
Quels types de conversations avez-vous aujourd'hui avec vos clients au sujet de cette nouvelle réalité ?
Wous assistons à une formidablen nombre de conversations sur la sur la façon dont ils peuvent, aujourd'hui ou à l'avenir tirer parti le cloud pour relever ces défis.
Lesy posent posent des questions telles que, "HComment allons-nousde s'assurer s'assurer que les données sont sécurisées là où elles se trouvent à distance aujourd'hui par rapport à l'endroit où elles traditionnellement traditionnellement?" et "Comment pouvons-nous permettre aux gens d'accéder à leur ddonnées tout en étant assis en dehors des quatre murs de l'organisation?"
Et enfin, last but not least, "Comment pouvons-nous changer d'échelle ?" Par exemple, lorsque vous seulement n'avez 10% à 20 % de votre main-d'œuvre travailler à distance, c'est un modèle très différent que d'avoir soudainement plus de 95% à 100 % de notre main-d'œuvre maintenant à distance.
A Toute une série de nouveaux facteurs de risque ont été introduits où les les entreprises atténuent les risques à la volée, ce qui leur pose certainement un défi une période difficile dans notre espace, dans notre industrie. Cependant, il y a une grande opportunité pour nous d'envisager la sécurité à l'échelle et d'être en mesure d'offrir des services de qualité à nos clients.la sécurité à grande échelle et d'être et d'être sûrs d'avoir avons les bonnes stratégie et les pratiques en place pour protéger nos employés et data.
Quels sont les défis à relever pour passer, pratiquement du jour au lendemain, à un modèle de travail à domicile ?
L'un des grands L'un des grands défis consiste àsécurité.l'on tous la planificationdans le monde, il est n'a probablement jamais envisagé ce type de ce type de ce type de changement. Littéralement, du jour au lendemain du jour au lendemain des milliers de personnes dans chaque entreprise se sonts'est de de se rendre au bureau tous les jours à travailler à la maison avec leur famille.
Mon rôle à Keyfactor m'oblige à être constamment en mouvement et en déplacement, Je suis très à l'aise avec le travail en équipe. Je suis donc très à l'aise avec tous ces changements. Je suis également à l'aise avec notre entrepriseny à sécuriser les données auxquelles j'ai accès. Je suis également très conscient de la manière dont j'applique cette sécurité lorsque je me trouve dans des endroits tels que des chambres d'hôtel ou que je me connecte dans un café. ou lorsque je me connecte au réseau Wi-Fi d'un café Wi-Fi.
Autre grand défi pour la sécurité à l'heure actuelle est celui des personnes. Les employés qui ne sont pas habitués à ce travail à distance le style de protection des données et la la mise en œuvre de politiques visant à protéger leurs données deviennent vulnérables aux risques de sécurité. Les employés et les employeurs doivent rapidement s'adapter à cette à cette réalité et regarder au-delà deir bureau murs et cubicules de appliquer une bonne hygiène de sécurité.
D'une manière générale, il y a toujours des gens qui essaient d'exploiter la situation. Dans l'ensemble, il y a toujours des gens qui essaient d'exploiter la situation. Wous avons déjà Nous avons déjà constaté, de manière anecdotique, une augmentation du nombre d'incidents liés à COVID-19. COVID-19 liées à l'hameçonnage. Les entreprises de toutes tailles doivent être conscientesque lorsqu'il y a une situation comme celle-ci, il y aura, malheureusement, ceux qui voudront l'exploiter.
Quelle est la place de l'infrastructure à clé publique (PKI) et de la gestion des certificats numériques dans ce tableau ? Comment peuvent-ils être appliqués à un environnement de travail à domicile à grande échelle ?
Il existe un nombre infini de possibilités d'exploiter PKI dans cette situation situation et un nombre égal de risques potentiels s'ils ne sont pas correctement pris en compte ou planifiés.planifiés.. Des certificats numériques restent le premier moyen d'identifier d'identifier les les actifs de votre entreprise, et et de fairee s'assurer qu'ils disposent de communications sécurisées à travers ces actifs pour les gérer à distance.
Dans de nombreux cas, PKI est utilisé pour soutenir les employés à distance avec les applications que nous utilisons pour l'assistance à distance. Les entreprises utilisent des certificats numériques en arrière-plan pour sécuriser les services de helpdesk-Les entreprises utilisent des certificats numériques en arrière-plan pour sécuriser les communications de type helpdesk, qui sont manifestement très utilisées car les gens s'adaptent aujourd'hui. Les certificats sont utilisés pour pour identifier les employés : comment les connecter à l'Internetcomment comment s'assurer qu'il s'agit bien des personnes censées utiliser les biens de l'entreprise.s'assurer qu'il s'agit bien des personnes censées utiliser les actifs de l'entreprise.
En outre, ils peuventEn outre, ils peuvent utiliser certains de ces certificats numériques sous-jacents pour décider si les données doivent être envoyées à ce point final ou non. Par exemple, si j'essaie de télécharger un fichier sur une machine personnelle, sans un certificatificate je suis libre de télécharger n'importe quel type d'information qui peut être sûre ou corrompue. En revanche, si je suis sur un ordinateur professionnel, j'ai un certificat de mon entreprise qui qui me permet de télécharger les informations appropriées.
PKI est est une arme à double tranchant si elle n'est pas correctement conçue et planifiée. La plupart des PKI aujourd'hui n'est pas conçue pour aller au-delà du réseau traditionnel de l'entreprise. les quatre murs de l'organisation. Elle n'est pas conçue pour s'adapter vers le nuage et n'a pas n'a pas ces capacités intégrées pour atteindre où se trouvent les données plutôt que de simplement protéger les choses qui se trouvent entre mes quatre murs.les choses qui se trouvent à l'intérieur de mes quatre murs. PKI Les données peuvent de l'information, mais l'échelle doit être l'échelle l'échelle doit être intégrée ou la PKI doit être reconsidérée pour tenir compte de l'échelle.
Maintenant que vos équipes informatiques et de sécurité se trouvent à des centaines de kilomètres de la salle des serveurs, comment peuvent-elles gérer efficacement le site PKI dans ce nouvel environnement ?
IDans un bien conçu PKI il y a il y a multiples facettes de l'infrastructure qui se prêtent qui se prêtent au temps de fonctionnement. Avec des technologies telles que la télégestion et la bureau bureau, il est relativement transparente et transparent pour savoir où vous vous trouvez physiquement et où réside l'actif réside. PKI présente quelques intéressantde l'AC racine est traditionnellement hors ligne et nécessite la présence physique de plusieurs personnes. présence physique de plusieurs personnes.
Certaines organisations n'ont malheureusement pas réfléchi à la question de savoir " comment gérer ces personnes physiques ". Certaines organisations n'ont malheureusement pas envisagé la question suivante : "Comment gérer ces actifs physiques qui sont complètement déconnectés dans ce type de réalité ?physique qui sont complètement déconnectés dans ce type de réalité ?" Telles ont peut-être construit leur plan de continuité des activités sur la base de certificats, mais sans se demander "comment je vaiscomment de l'entreprise trois personnes sur cinq dans la salle des serveurs lorsque des centaines de kilomètres les uns des autres ?"
Il y a également un effet composé puisqu'une un PKI émet tous les leurs certificatsificats. Entreprises achètent leurs certificats auprès d'un organisme public PKI. Et, plus traditionnellement, si vous n'avez pas une bonne gestion de ces actifs, il est très difficile aujourd'hui de donner la priorité aux certificats qui sont significatifs pour l'entreprise à l'heure actuelle. l'entreprise à l'heure actuelle.
Wous aimons raconter nos clients de d'inventorier tous les certificats dans leur organisation et figurer où ils se trouvent et ce qu'ils protègent. Une fois qu'ils l'organisation font cela, ils peuvent alors aprioriserpriorités pour ces actifs. Et ils s'apercevront que ces priorités ont changé.
Par exemple, VPN aurait pu être une bonne chose à faire il y a une semaine. Aujourd'hui, c'est un indispensable. L'établissement de priorités permet de mieux maîtriser les les priorités changeantes et ce que je dois faire en tant qu'entreprise pour adapter mes plateformes de gestion du cycle de vie des PKI et/ou des certificats. mes plateformes de gestion du cycle de vie des certificats.
Gartner et d'autres analystes qualifient la cryptographie d'"infrastructure critique". Qu'en pensez-vous ?
Je suis tout à fait d'accord. PKI a traditionnellement été un de la-de-l'arrière-serveur-de la technologie. Je pense que ce type d'événement contribue à faire avancer les choses. Mais Mais lesavec qui je communique sont aujourd'hui On leur demande maintenant de faire beaucoup avec un budget limité, un ensemble d'outils limité et les défis de la distance.
Quand Lorsque les choses se calmeront et reviendront à la normale, les gens et les organisationsLorsque les choses se calmeront et reviendront à la normale, les gens et les organisations se rendront compte qu'il ne faut pas attendre ce type d'événement pour investir dans ce domaine. Il doit s'agir d'un cycle constant de formation et d'investissement de formation et d'investissement applications dépendantes.tions de ces applications dépendantes.
