« On ne peut pas protéger ce qu’on ne connaît pas. » Cette vérité maintes fois répétée résonne particulièrement chez les RSSI lorsqu’il s’agit de certificats numériques, de clés de chiffrement et d’identités de machines. De nombreuses violations ou pannes trouvent leur origine dans un certificat ou d’un actif cryptographique inconnu, oublié ou non géré se cachant quelque part dans un environnement informatique complexe. C’est pourquoi la première étape du Trust Control Plane est la découverte et la visibilité continues : établir une source unique de vérité pour chaque identité numérique et chaque ressource cryptographique de votre organisation.
Le défi : « Nous ne savons pas ce que nous avons »
Dans la pratique, assurer une visibilité à l'échelle de l'entreprise des identités des machines et de la cryptographie est plus facile à dire qu’à faire. La plupart des grandes entreprises sont encore confrontées à d’importants angles morts:
- Silos et systèmes fantômes : Les certificats et les clés se trouvent dans une multitude d’endroits : centres de données, plateformes cloud, outils DevOps, IoT , applications. Différentes équipes peuvent déployer leurs propres autorités de certification ou s’appuyer sur des identifiants par défaut (et souvent non gérés). Une banque internationale a admis : « Nous ne savons même pas ce que nous possédons, et même lorsque nous le savons, nous ne savons pas toujours à qui cela appartient ». Cette fragmentation laisse les équipes de sécurité dans l’ignorance.
- L'inventaire manuel : une cible mouvante. Les méthodes traditionnelles d'inventaire (tableurs, analyses ponctuelles) ne parviennent pas à suivre le rythme de l'évolution constante des technologies de l'information modernes. Les instances cloud sont créées et supprimées à tout moment, tandis que les conteneurs et les microservices d'IA apparaissent de manière autonome, chacun pouvant potentiellement introduire de nouveaux certificats ou de nouvelles clés. Un audit ponctuel peut certes recenser des milliers d'identités, mais dès la semaine suivante, le paysage a déjà changé.
- Le risque lié à l'inconnu : le prix à payer pour les lacunes est élevé. Une récente enquête menée auprès des entreprises a révélé que seules 17 % d'entre elles disposent d'une visibilité complète et en temps réel sur l'ensemble de leurs certificats. 86 % ont subi au moins une interruption de service au cours de l'année écoulée en raison de certificats expirés ou mal gérés – des interruptions qui non seulement perturbent les opérations, mais peuvent également éroder la confiance des clients et nuire au chiffre d'affaires. Des certificats non détectés = un risque non maîtrisé.
En résumé, sans une visibilité complète et continue, il est impossible d’exercer un contrôle proactif de la confiance. Vous ne pouvez pas sécuriser ni gérer ce que vous n’avez pas identifié. La découverte est le fondement sur laquelle reposent toutes les étapes suivantes, de l’application des politiques à l’automatisation. La négliger revient à s’exposer à une gestion réactive des urgences et à des manquements à la conformité à l’avenir.
De la visibilité à l'observabilité : voir et comprendre
Les grandes entreprises sont en train de étendent la « découverte » pour en faire une véritable observabilité : une vue plus riche et contextuelle qui non seulement identifie chaque identité et chaque certificat, mais met également en lumière leur utilisation et de son environnement. Cette évolution est essentielle pour transformer les données brutes d’inventaire en informations de sécurité. La découverte continue doit répondre non seulement à la question « qu’est-ce que ce certificat ou cet actif cryptographique ? » mais aussi « où se trouve-t-il, comment est-il configuré et que se passe-t-il en cas de problème ? »:
- En continu, et non ponctuellement : Le plan de contrôle de confiance utilise des outils de découverte en permanence actifs (analyse active du réseau, découverte basée sur des agents dans les hôtes et le cloud, intégrations d'API, etc.) pour maintenir à jour un système d'enregistrement de toutes les identités des machines et des actifs cryptographiques. Lorsque de nouvelles instances ou de nouveaux actifs cryptographiques apparaissent, ils sont automatiquement répertoriés et évalués. Cette approche en temps réel comble les lacunes que lauréat d’une analyse ponctuelle laisse ouverte.
- Contexte et propriété : La découverte moderne ne se limite pas à une simple liste d'actifs : il s'agit de comprendre le contexte. En collectant des métadonnées (par exemple, nom d'hôte, type d'appareil, propriétaire de l'application, source d'émission, date d'expiration, services associés), le Trust Control Plane établit un « profil d'actif » cryptographique détaillé pour chaque élément. Cela permet de répondre aux questions suivantes « Ce certificat est-il essentiel ? Qui en est responsable ? Quel système cesserait de fonctionner s’il expirait ? » – exactement les questions qu’un RSSI ou un responsable des risques informatiques doit se poser pour établir des priorités et réagir.
- Au-delà des certificats – État des lieux cryptographique complet : L'un des principaux facteurs de différenciation d'un programme de confiance mature réside dans le fait que la découverte va au-delà TLS simples TLS . Vous devez disposer d'une visibilité sur l'ensemble de la posture cryptographique : clés de signature de code, clés SSH, secrets, versions d'algorithmes et de bibliothèques (par exemple, détection des bibliothèques cryptographiques obsolètes), inventaires des HSM et des coffres à clés, etc. Cette vue d'ensemble est cruciale à l'ère de la cryptographie post-quantique: vous ne pouvez pas migrer vers des algorithmes plus sûrs si vous ne savez pas où les algorithmes vulnérables sont utilisés. L'approche de contrôle de la confiance couvre le champ le plus large possible pour visualiser tous ces éléments en un seul endroit.
En faisant évoluer la simple découverte vers une observabilité intelligente, vous bénéficiez d’une « vision aux rayons X » de votre environnement de confiance. Par exemple, unKeyfactor a combiné l’analyse du réseau et la découverte des terminaux pour identifier des centaines de certificats jusque-là inconnus et les classer en fonction de leur propriétaire et de leur importance stratégique pour l’entreprise. Grâce à ces informations, il a pu éliminer les certificats redondants ou à risque (réduisant ainsi sa surface d'attaque) et attribuer un responsable à chaque actif (s'assurant ainsi que quelqu'un soit chargé du renouvellement). La visibilité ne se limite pas à l'inventaire : il s'agit de créer des informations exploitables.
Résultats opérationnels : réduction des risques et préparation
Alors, qu'est-ce que Étape 1 : Observabilité – Découverte et visibilité continues apporte-t-elle en fin de compte à un RSSI ou à un responsable de la sécurité ?
- Réduction proactive des risques : En éliminant les angles morts, vous prévenez les incidents. Les certificats inconnus et les clés malveillantes sont souvent à l'origine des violations de sécurité et des temps d'arrêt. La détection continue vous permet d'identifier et de corriger les problèmes avant qu'ils ne causent des dommages, qu'il s'agisse d'un certificat expiré qui aurait pu provoquer une panne ou d'un algorithme cryptographique faible qui aurait pu créer une vulnérabilité.
- Conformité et confiance renforcées : Les autorités de régulation et les clients exigent de plus en plus la preuve que les organisations maîtrisent pleinement leurs clés et leurs certificats. Un inventaire constamment mis à jour constitue une preuve tangible de la bonne gouvernance. Il renforce également la confiance en interne : les responsables informatiques peuvent constater que les actifs de confiance numérique sont sous contrôle (fini l'approche « croisons les doigts » lors des audits).
- Fondements de l'automatisation : L'automatisation et l'application des politiques reposent sur la connaissance des points d'application des contrôles. La découverte continue fournit cette feuille de route. Elle jette les bases nécessaires à l'orchestration des renouvellements et à l'application des normes à l'échelle de l'entreprise. En réalité, de nombreuses initiatives d'automatisation sont bloquées en raison de données incomplètes : le modèle de contrôle de confiance garantit que l'automatisation dispose de données d'entrée précises sur lesquelles s'appuyer.
Un rapport de Gartner préconise « une découverte et un audit complets de chaque compte et identifiant » comme la première étape concrète pour relever les défis liés à l’identité des machines. Sans cela, les efforts déployés lors des étapes ultérieures (tels que l’ajout de nouveaux contrôles de sécurité ou la réponse aux menaces) seront fondamentalement limités. Le Trust Control Plane fait de cette étape une partie intégrante et et continue des opérations quotidiennes , et non plus un projet ponctuel.
Dans la prochaine partie de cette série (Étape 2 : Analyser et mesurer), nous examinerons comment tirer parti de cette visibilité complète pour définir des règles et attribuer des identités à grande échelle, en veillant à ce que chaque identité de machine de votre inventaire soit non seulement connue, mais aussi fiable et contrôlée.
