L'expérience la plus gratifiante de ma carrière a été d'être aux premières loges pour assister au parcours de Keyfactor, qui est passé d'un petit cabinet de conseil à un leader mondial de la confiance numérique. En chemin, j'ai eu le privilège de travailler avec des personnes vraiment brillantes : des dirigeants, des ingénieurs et des clients qui repoussent tous les limites de ce qui est possible en matière de sécurité.
Cette semaine, Keyfactor a franchi une nouvelle étape importante de son parcours en acquérant InfoSec Global et CipherInsights, réunissant ainsi le meilleur de la découverte cryptographique pour aider les organisations à découvrir les vulnérabilités cachées qui mettent leur entreprise en danger.
Dans ce blog, je vais expliquer ce qu'est la découverte cryptographique, pourquoi c'est une priorité et comment ces nouvelles technologies s'intègrent dans l'ensemble. Tout d'abord, prenons un peu de recul.
Cryptographie : La boîte noire de la cybersécurité
Aux débuts de l'internet, la confiance numérique était simple. Il s'agissait avant tout de s'assurer que les utilisateurs pouvaient se connecter en toute sécurité à des sites web, sécurisés par une infrastructure à clé publiquePKI. Il est toujours important de faire apparaître l'icône du cadenas dans votre navigateur, tujourd'hui, le paysage a radicalement changé. Aujourd'hui, pratiquement tout est connecté à l'internet et aux réseaux, et au cœur de tout cela se trouvent l'PKI et, si j'ose dire, la cryptographie.
La cryptographie est le moteur silencieux qui ronronne derrière chaque connexion sécurisée et chaque transaction en ligne. Elle est littéralement partout, et pourtant elle est souvent traitée comme une mystérieuse boîte noire - quelque chose que même les professionnels chevronnés de l'informatique préfèrent ne pas toucher. Ce n'est souvent que lorsque quelque chose se casse que quelqu'un découvre un atout cryptographique. Comme on dit, "l'ignorance est une bénédiction", n'est-ce pas ? Oui, mais....
Ce manque de visibilité sur les actifs cryptographiques - clés, certificats, keystores, algorithmes, protocoles et bibliothèques - laisse les entreprises dans l'ignorance des vulnérabilités cachées. Des éléments tels que des clés exposées, des algorithmes faibles et des protocoles obsolètes constituent non seulement un risque pour la sécurité des données, mais ils sont également de plus en plus surveillés par les auditeurs et par des cadres réglementaires plus stricts.
Il n'est pas facile non plus de remédier aux vulnérabilités. Il ne s'agit pas seulement de savoir où se trouvent vos actifs cryptographiques, mais aussi comment ils sont utilisés, avec quels systèmes ils interagissent et ce qui risque de se briser si vous essayez de les modifier ou de les remplacer. Beaucoup d'entre nous ont ressenti ces difficultés lors de la migration de SHA-1 à SHA-2, mais ce n'est rien en comparaison de ce qui nous attend.
Allumer la lumière avec la découverte cryptographique
Le changement se prépare, et cette fois, ce n'est pas un obstacle, c'est une montagne. L'ascension abrupte et régulière vers une transformation sans risque quantique est décourageante, mais il n'est plus possible de l'éviter. De nouvelles normes sont apparues et des délais ont été fixés pour l'abandon des algorithmes existants. En d'autres termes, le chemin a été balisé et il est temps de se lancer.
Étape 1 : Gagner en visibilité
La découverte cryptographique est le processus d'analyse de votre environnement et de construction d'un inventaire de tous les actifs cryptographiques, des clés et des certificats aux keystores, aux bibliothèques cryptographiques, aux algorithmes et aux protocoles. Les instances de cryptographie sont omniprésentes - depuis le code, les binaires et les outils CI/CD jusqu'au plus profond des systèmes de fichiers, des serveurs web et des environnements en nuage. Il ne s'agit pas d'un- et- Il s'agit d'un processus continu de découverte et de surveillance.
Étape 2 : Obtenir le contexte
Comprendre où se trouvent les actifs cryptographiques dans votre infrastructure est une chose, comprendre comment ils sont utilisés en est une autre. La visibilité en temps réel du trafic réseau peut aider à fournir un contexte supplémentaire sur la façon dont les objets cryptographiques sont mappés à votre infrastructure, afin que vous puissiez remédier aux risques, sans vous soucier de casser les systèmes.
Étape 3 : Établir des priorités
Lorsque vous découvrez soudainement des milliers d'actifs cryptographiques disséminés dans votre organisation, vous pouvez avoir l'impression d'ouvrir le plus grand tiroir de bric-à-brac du monde. Vous savez qu'il y a des choses importantes là-dedans, mais il est difficile de savoir ce qui est important, ce qui est cassé et ce qui doit être réparé en premier. Pour comprendre ce qu'il faut faire ensuite, il est essentiel de mettre en correspondance vos actifs cryptographiques avec les facteurs de risque et les exigences de conformité, sur la base des actifs et des données qu'ils protègent.
Étape 4 : Remédier et répéter
Lorsque vous savez ce que vous avez et où se situent vos risques, vous pouvez commencer à y remédier. C'est là que l'automatisation entre en jeu. Par exemple, en automatisant le renouvellement, le provisionnement et l'installation des certificats numériques sur les terminaux, vous pouvez traiter les risques sans perturber l'activité de l'entreprise. C'est essentiel pour éviter les temps d'arrêt et assurer une transition transparente à grande échelle.
Réunir tous les éléments : Découverte + cycle de vie
Face au besoin urgent de comprendre les risques cryptographiques, nous prenons une mesure audacieuse pour faire progresser notre plateforme en réunissant InfoSec Global et CipherInsights.
Grâce à la surveillance continue du trafic réseau pour découvrir et détecter les risques cryptographiques en temps réel (CipherInsights) et à l'analyse approfondie et à l'inventaire des objets cryptographiques au sein de l'infrastructure, des systèmes de fichiers et du code (InfoSec Global), nous pouvons désormais fournir une compréhension complète et globale de l'infrastructure de confiance numérique d'une organisation.
En combinant ces solutions avec la gamme de produits de Keyfactor, nous sommes en mesure d'aider nos clients à comprendre leur position cryptographique, à remédier aux risques et vulnérabilités identifiés et à moderniser leur PKI et leur infrastructure de signature pour l'ère quantique.
À nos clients, à nos partenaires et aux équipes qui sont à l'origine de nos solutions : Merci. Je suis honoré d'être à vos côtés dans ce voyage et je suis impatient de voir ce qui va suivre pour Keyfactor.
Si vous souhaitez en savoir plus sur la prochaine étape de la confiance numérique, ne manquez pas notre webinaire intitulé "What's Next for Digital Trust : Résoudre vos risques et vulnérabilités cryptographiques". Nous approfondirons la découverte cryptographique et ce qu'elle implique pour vous.
