Les bilans de santé sont essentiels pour maintenir les infrastructures à clé publique (PKI) et une position de sécurité globale solide, mais ils sont trop souvent négligés.
L'infrastructure à clé publique (PKI) n'est pas un scénario "prêt à l'emploi".
Les experts en sécurité savent tous qu'un site PKI solide est un aspect essentiel des programmes de cybersécurité. De nombreux organismes de sécurité ont tendance à consacrer beaucoup de ressources à la planification et à la mise en œuvre, mais négligent l'entretien et l'alimentation, ce qui est tout aussi préjudiciable qu'une mauvaise mise en place d'un site PKI.
L'infrastructure à clé publique n'est pas un outil de sécurité "prêt à l'emploi". Il peut être tentant de ne pas s'en occuper une fois qu'elle est opérationnelle, mais c'est une grave erreur - une surveillance et une gestion continues sont essentielles pour garantir les niveaux de sécurité les plus élevés possibles.
Au-delà de l'exploitation régulière d'une entreprise PKI, il est essentiel de vérifier que tous ses composants sont correctement mis en œuvre. Lorsqu'un site PKI est intégré à l'infrastructure d'une entreprise et qu'il n'y a plus d'équipe de projet, il est essentiel de veiller à ce qu'il soit entretenu et alimenté, faute de quoi les équipes de sécurité qui se sont concentrées sur la simple mise en œuvre du site PKI, mais pas sur son fonctionnement continu, risquent de tomber sur des points de déclenchement dangereux. C'est là qu'intervient l'importance des bilans de santé réguliers de PKI .
Quand effectuer un bilan de santé sur PKI ?
Si votre (vos) autorité(s) de certification n'a (n'ont) pas été vérifiée(s) depuis plus d'un an (ou pas du tout), c'est une bonne indication que votre entreprise doit l'être. La plupart des politiques de certification (PC) stipulent que la conformité d'une AC doit être vérifiée par un audit périodique, qui ne doit pas dépasser un an (deux au maximum).
En quoi consiste un bilan de santé sur le site PKI ?
Tout d'abord, déterminez si vous êtes en mesure d'effectuer votre bilan de santé PKI en interne. Vous aurez besoin d'un personnel spécialisé qui possède l'expertise spécifique PKI nécessaire pour maintenir un PKI de façon continue. Comme le recommande Microsoft, votre équipe de sécurité aura besoin de spécialistes capables de.. :
- Délivrer et révoquer des certificats.
- Effectuer les tâches d'administration du serveur : hardware appliquer des correctifs et effectuer des sauvegardes.
- Publier les listes de révocation des certificats et gérer l'autorité de certification elle-même.
Malheureusement, le nombre d'experts possédant les connaissances adéquates pour maintenir la santé d'un site PKI est limité. Si vous ne disposez pas encore d'une expertise interne sur PKI , vous pouvez envisager de demander l'aide d'un partenaire en cybersécurité.
Que vous choisissiez de dresser votre bilan de santé PKI en interne ou par l'intermédiaire d'un partenaire, le processus doit comprendre un examen complet de l'architecture et du modèle de sécurité de votre PKI. Chacune des étapes suivantes est essentielle pour déterminer le niveau de santé et les problèmes potentiels de votre infrastructure :
- Examen complet de la mise en œuvre initiale de PKI
- Évaluation de l'évolutivité du site PKI existant par rapport aux besoins futurs des unités opérationnelles.
- Recommandations pour une conception et une méthodologie appropriées
- Mise en œuvre correcte des changements nécessaires, conduisant à une authentification fiable et sûre en permanence.
Ne négligez aucun aspect de votre PKI:
- L'architecture
- Configuration du système
- Modèle de sécurité
- Examen des politiques
- Modèles d'inscription
- Révocation
- Audit
- Reprise après sinistre et continuité des activités
- Recommandations sur l'état actuel
- Recommandations pour l'avenir
Quels sont les avantages d'un bilan de santé pour les entreprises ?
Au-delà de la garantie d'une posture de sécurité organisationnelle globale solide, les bilans de santé PKI examinent votre infrastructure pour y déceler de nombreux signes d'efficacité. En fin de compte, cela permet à votre équipe de sécurité de se fier à la haute disponibilité et à la tolérance aux pannes, ainsi qu'à l'agilité au fur et à mesure de l'expansion de l'entreprise. En outre, des contrôles de santé bien menés permettront de vérifier la sécurité des politiques d'émission et de révocation des certificats, ainsi que la solidité des processus cryptographiques.
- Risque réduit
- Coût réduit
- Augmentation du temps de fonctionnement
- Conformité
- Réduction des vecteurs d'attaque
- Cycles opérationnels prévisibles
Niveau d'assurance satisfaisant dès le premier jour
L'objectif d'un site PKI bien géré est de maintenir l'assurance depuis la mise en œuvre jusqu'à la fin naturelle de l'infrastructure, ses composants fonctionnant de manière cohérente, ce qui permet d'établir des rapports appropriés, de respecter les normes de conformité et d'audit à chaque étape. Des contrôles réguliers de l'état de santé de PKI sont un élément essentiel pour atteindre cet objectif.
CSS peut vous aider à déterminer si votre entreprise doit faire l'objet d'un bilan de santé PKI et à exécuter avec succès des opérations régulières. Notre mission est de veiller à ce que votre organisation soit en mesure de gérer un site PKI sûr et sain.
Si votre équipe de sécurité souhaite en savoir plus sur les bilans de santé PKI ou explorer la possibilité de travailler avec CSS pour revoir votre PKI, nos experts sont là pour répondre à vos questions. Contactez-nous pour discuter de vos besoins PKI .
