Depuis 2021, le rapport Keyfactor's State of Machine Identity Report aide les organisations à évaluer le paysage de l'identité des machines et PKI . Les conclusions du rapport illustrent la manière dont PKI est utilisé dans les entreprises, ainsi que les priorités et les défis qui occupent les esprits des responsables de la sécurité et de la direction.
Keyfactor est fier de présenter le rapport 2023 State of Machine Identity Report, réalisé en partenariat avec le Ponemon Institute. Le rapport de cette année montre que les organisations ont encore du mal à jeter les bases d'une gestion efficace de PKI à grande échelle, alors même que la prise de conscience de la nécessité de PKI pour l'entreprise ne cesse de croître.
- L'adoption de la confiance zéro, des dispositifs IoT et des services basés sur l'informatique en nuage favorisent le déploiement des clés, PKI, et des certificats.
- Pour la première fois dans l'histoire du rapport, la "réduction de la complexité de l'infrastructure PKI " a été classée en tête des priorités.
- La pénurie de main-d'œuvre continue d'inciter les organisations à définir une stratégie PKI et MIM à l'échelle de l'entreprise.
La réalité de l'informatique quantique se rapproche, les cas d'utilisation des identités des machines se multiplient et les pannes deviennent des enjeux de plus en plus importants. S'il est largement admis que chaque machine a besoin d'une identité, la gestion de ces identités fait l'objet d'un manque de discussion et de compréhension.
Que peuvent donc faire les organisations dès maintenant pour mieux gérer les identités des machines? Le rapport de cette année sur l'état de la gestion des identités des machines propose plusieurs éléments à prendre en compte pour élaborer une stratégie de gestion des identités des machines (MIM) susceptible d'accroître la crypto-agilité à l'avenir.
1. Établir la propriété de l'identité de la machine
Les certificats sont utilisés par des équipes dans toute l'entreprise - sécurité, informatique, DevOps, cloud, et autres. Chaque équipe a ses propres besoins en matière d'outils et d'utilisation, mais personne n'est véritablement propriétaire d'une stratégie globale d'identité des machines.
C'est en partie parce qu'il n'y en a pas. Dans le rapport de cette année, seules 47 % des organisations ont déclaré disposer d'une stratégie à l'échelle de l'entreprise pour gérer PKI et les identités des machines.
Lorsque la stratégie PKI n'appartient à personne, il ne peut y avoir d'alignement sur les meilleures pratiques, de prise de décision sur les conflits liés à l'identité, ou de soutien inter-organisationnel pour les questions de certificat. Il en résulte un risque accru de pannes et des temps de réponse plus longs.
Dans le passé, les organisations ont fait appel à des équipes de sécurité pour déployer et gérer les certificats et la cryptographie. Cependant, la cryptographie est devenue un ensemble d'initiatives stratégiques qui nécessitent des connaissances plus larges et une stratégie à plus long terme.
La mise en place d'un centre d'excellence en cryptographie (CCoE) ou d'un groupe de travail sur l'identité des machines qui comprend des participants interfonctionnels s'est avéré efficace pour éviter les silos et maintenir la visibilité des actifs cryptographiques. Les parties prenantes qui composent ce groupe vivent et respirent leurs cas d'utilisation tous les jours, de sorte qu'elles peuvent prendre des décisions concernant les outils et les processus qui permettent réellement d'améliorer la productivité et d'apporter une valeur ajoutée à l'entreprise. En outre, ils peuvent servir de point de contact unique pour les utilisateurs de toute l'entreprise, en offrant des réponses unifiées qui renforcent la mission globale.
2. Investissez dans votre stratégie de gestion de l'identité des machines
La formulation de toute stratégie nécessite un élément humain, que le groupe de travail sur l'identité des machines fournit. Une fois la vision définie, les organisations doivent faire des investissements qui permettent et accélèrent cette vision grâce à l'automatisation, la visibilité et le contrôle centralisé des cycles de vie des certificats.
La première étape, et peut-être la plus difficile, consiste à gagner en visibilité. Dans le rapport de cette année, 62 % des personnes interrogées ont déclaré ne pas savoir combien de clés et de certificats leur organisation possède - contre 55 % en 2022 et 53 % en 2021.
Cela peut sembler contradictoire, car la prise de conscience des identités des machines et la maturité des technologies de gestion sont en hausse. Mais cela montre que l'explosion du volume et des cas d'utilisation des identités des machines dépasse la capacité des organisations à les gérer. Ce défi ne fera que s'accentuer à mesure que les cycles de vie des certificats se raccourcissent.
L'une des premières étapes d'un groupe de travail sur l'identité des machines nouvellement formé devrait être d'auditer le paysage de l'identité des machines de l'organisation et d'identifier les lacunes. À partir de là, ils peuvent explorer les outils et les processus qui répondent aux besoins spécifiques des différentes équipes et les intégrer aux outils, flux de travail et applications existants.
Le compromis entre un CCOE centralisé et dédié à PKI et un groupe de travail sur l'identité des machines est que les membres du groupe de travail ont d'autres responsabilités. En particulier dans un contexte de pénurie de main-d'œuvre, les organisations feraient bien de donner aux membres du groupe de travail les moyens de gérer les responsabilités liées à l'identité des machines de la manière la plus efficace possible.
3. Réduire la complexité de votre PKI
L'un des grands titres du rapport de cette année sur l'état de l'identité des machines est l'importance de réduire la complexité autour de PKI. La réduction de la complexité sur PKI est classée comme la première priorité stratégique, passant de 50 % en 2021 à 58 % dans le rapport de cette année.
Mais rendre PKI moins compliqué peut être, en fait, compliqué. Plusieurs facteurs entrent en jeu.
- Un volume plus important d'identités de machines
71 % des personnes interrogées ont déclaré que leur organisation déploie davantage de clés cryptographiques et de certificats numériques, contre 60 % en 2021.
- Moins de ressources à consacrer au déploiement PKI
53% des personnes interrogées ont déclaré que leur organisation n'allouait pas suffisamment de ressources et de personnel au déploiement de PKI . - PKI et la prolifération des CA encombrent les stratégies d'identité des machines
En moyenne, les organisations utilisent 9 solutions PKI et CA différentes, avec un mélange de certificats privés internes PKI, de certificats auto-signés, de services basés sur le cloud et d'outils intégrés dans les plateformes DevOps.
Ce type de dispersion résulte d'un manque d'appropriation autour de PKI. Seulement 31% des personnes interrogées ont déclaré que leur organisation disposait d'un groupe de travail mature sur l'identité des machines.
Les équipes travaillant en vase clos adoptent leurs propres outils, ce qui accroît la redondance et élargit la surface d'attaque de l'organisation. En l'absence d'une stratégie globale ou au moins d'un processus unifié pour prendre des décisions sur le site PKI , il est difficile d'identifier des solutions qui répondent à de nombreux besoins.
Les pannes liées aux certificats frappent durement les organisations
Dans le rapport de cette année, 55 % des personnes interrogées ont déclaré que les pannes liées aux certificats ont causé de graves des services en contact avec la clientèle, tandis que 50 % ont déclaré que les pannes avaient entraîné des perturbations majeures pour les utilisateurs internes ou un sous-ensemble de clients.
Pour aggraver la situation, le délai de rétablissement après une panne de certificat s'allonge : 3,79 heures en moyenne, contre 3,3 heures dans le rapport de l'année dernière.
D'autres facteurs font de PKI un problème plus urgent à résoudre. La pénurie de main-d'œuvre dans le domaine des cybercompétences se poursuit, tandis que la sécurité de la signature des codes fait de plus en plus partie intégrante des stratégies de gestion de l'identité des machines.
KeyfactorLe rapport 2023 State of Machine Identity Report de la Commission européenne aborde ces défis. Quel que soit le stade auquel vous vous trouvez dans votre parcours PKI , la mise en place d'une échelle et d'une efficacité à long terme est à long terme est possible. Nous espérons que le rapport de cette année vous apportera de la clarté et de l'enthousiasme pour l'avenir. Sur Keyfactor, nous continuerons à travailler pour fournir des informations qui vous aideront à naviguer dans le paysage de l'identité des machines et à établir la confiance numérique à l'échelle de l'entreprise.
