Les dirigeants qui ont une vision descendante de leur entreprise risquent de passer à côté de la réalité du terrain, notamment en ce qui concerne la sécurité et les détails techniques liés au maintien des processus numériques qui permettent à l'entreprise de continuer à fonctionner.
L'infrastructure à clé publique (PKI) et la gestion des certificats numériques en sont de parfaits exemples. Si la sécurité est accessoire par rapport à l'objectif principal de l'entreprise, PKI est accessoire par rapport à la sécurité. Il s'agit d'un mécanisme crucial d'un appareil nécessaire qui empêche les mauvaises choses de se produire afin que l'entreprise puisse poursuivre son but et ses objectifs principaux.
C'est pourquoi PKI est souvent négligé. Bien qu'il ne soit pas au cœur de la mission de l'entreprise, le site PKI , insuffisamment doté en ressources et mal géré, draine plus de ressources que les organisations et les dirigeants n'en ont probablement conscience.
En bref PKI et les certificats numériques sécurisent les interactions entre les systèmes numériques et cryptent les données.. Ces certificats sont considérés comme des passeports : des formes d'identité délivrées par une autorité de confiance. Comme les passeports, ces certificats expirent après une certaine période et doivent être réémis.
La gestion de ces certificats est plus difficile qu'il n'y paraît.
- Une organisation moyenne conserve plus d'un quart de million de certificats à tout moment.
- Le suivi, la gestion et la délivrance de nouveaux certificats sont des opérations très manuelles et techniques.
- Il suffit d'un certificat expiré pour provoquer une panne de service. service.
Parmi tous les problèmes à résoudre dans l'entreprise, pourquoi résoudre celui-ci ?
Parce que les certificats mal gérés et PKI coûtent à l'entreprise des millions de dollars et encore plus d'inefficacité en aval.
Le coût d'une panne
Dans le rapport sur l'état de l'identité de la machine en 2023 KeyfactorRapport sur l'état de l'identité des machines en 202377 % des personnes interrogées ont déclaré que leur organisation avait subi au moins deux pannes importantes liées à des certificats au cours des 12 derniers mois. Plus de la moitié des personnes interrogées ont déclaré que ces pannes avaient entraîné de graves perturbations pour les services en contact avec les clients, les utilisateurs internes et des sous-ensembles de clients.
Ces perturbations ne sont pas anodines. Les coûts liés à la perte d'activité et à l'atteinte à la réputation sont considérables. Les temps d'arrêt non planifiés causés par des certificats expirés peuvent coûter aux entreprises plus de 300 000 dollars par heure.. Selon le rapport State of Machine Identity, il faut en moyenne 3,79 heures à une entreprise pour identifier, remédier et se remettre d'une panne liée à un certificat, ce qui représente un coût d'environ 1,1 million de dollars.
Les coûts de main-d'œuvre liés à la gestion manuelle PKI
Très peu d'entreprises disposent d'une équipe dédiée à PKI . Le plus souvent, la responsabilité de la gestion des certificats et de PKI incombe aux équipes informatiques et/ou de sécurité. Lorsque vous considérez le volume de certificats dans l'environnement de votre organisation - 256 000 en moyenne - le risque de les gérer à l'aide de feuilles de calcul ou d'outils maison devient évident.
Ces équipes sont souvent déjà surchargées. Les processus inefficaces de PKI ne font que compliquer leur tâche. Ils exacerbent l'épuisement professionnel, ce qui engendre des coûts de rotation, et ils détournent ces équipes de leurs tâches principales. Cela signifie que les ressources des équipes informatiques et de sécurité coûtent plus cher et que le risque d'erreur dans ces rôles est plus élevé.
En fait, 53 % des personnes interrogées dans le cadre du rapport sur l'état de l'identité des machines ont déclaré qu'elles ne disposaient pas d'un personnel suffisant pour déployer et maintenir leur site PKI. Les identités des machines continuent d'exploser en volume à mesure que les organisations se tournent vers le cloud, font des acquisitions, adoptent des appareils IoT et numérisent davantage de processus d'entreprise. la gestion de PKI à grande échelle ne fera que s'alourdir.
PKI is an intensely technical niche. IT and security teams rarely boast PKI-specific expertise. Therefore, they may not have the wherewithal to improve these processes and architect PKI more efficiently. They may not even know what to look for in searching for a PKI solution.
Infrastructure redondante et coûts des fournisseurs
Ce n'est pas parce qu'une équipe, quelque part dans l'organisation, gère PKI qu'elle le fait dans le cadre d'une stratégie globale. Très souvent, il n'y a pas de propriété centralisée de PKI et de la gestion des certificats. Dans ce cas, les équipes qui utilisent des certificats (comme les équipes DevOps) trouvent leurs propres fournisseurs et adoptent leurs propres solutions.
Le problème est qu'ils le font souvent sans se soucier de la sécurité et qu'ils ne documentent pas les certificats qu'ils créent et émettent. Les certificats non suivis se cachent dans l'infrastructure, attendant comme une bombe à retardement d'expirer et de provoquer une panne.
Lorsque des équipes cloisonnées recherchent leurs propres solutions PKI , elles créent de la redondance et de la dispersion, ce qui entraîne des coûts et une complexité inutiles.
PKI en tant que service
Certaines organisations estiment qu'il est possible de composer et de mettre en œuvre une architecture, des politiques et des outils PKI à l'échelle de l'entreprise afin de réduire les coûts de PKI.
Avez-vous le temps de le faire ? La gestion interne de votre site PKI est-elle vraiment la façon dont vous voulez dépenser votre budget ?
De nombreuses organisations trouvent plus efficace de retirer PKI des mains de leurs équipes internes en faisant appel à des partenaires qui fournissent en tant que service. des partenaires qui fournissent PKI en tant que service.
Dites adieu aux pannes.
Ces fournisseurs et leurs outils découvrent et suivent de manière proactive tous les certificats présents dans l'environnement et les compilent dans un centre de gestion universel.
Exploitez les connaissances approfondies de PKI .
PKI ont les compétences et les connaissances que les équipes informatiques et de sécurité n'ont pas. Ils peuvent créer des gains d'efficacité et mettre en œuvre les meilleures pratiques qui simplifient, font évoluer et minimisent les frais généraux de PKI. Pendant ce temps, vos équipes internes peuvent reprendre leurs activités avec beaucoup plus de bande passante.
Se sentir à l'aise avec les meilleures pratiques de l'industrie.
Le bon fournisseur PKI s'appuiera sur des normes telles que ISO 27000, PCI-DSS, SOC2 et d'autres pour sécuriser votre infrastructure dans l'environnement de menaces qui évolue rapidement aujourd'hui. Cela donne confiance aux équipes de sécurité et prouve à la direction que leur PKI suit les meilleures pratiques de sécurité de l'industrie.
Positionner l'entreprise pour l'avenir.
With a streamlined, expertly managed PKI, your organization can pursue new initiatives, prepare for quantum computing, and stay ahead of emerging threats.
For the business to succeed, it must be able to trust its digital infrastructure. As with so many aspects of transformation, outsourcing niche-but-necessary expertise to specialized partners can provide an instant lift to the entire business.
With Keyfactor, organizations get all the advantages of a best-in-class PKI without the effort and expense of running it in-house. Check out our Essential Guide to Evaluating PKI Solutions and learn how to pick the right PKI Solution for your organization.
