Au cours des dernières années, des atteintes à la cybersécurité de grande ampleur ont perturbé le fonctionnement d'agences gouvernementales, d'entreprises internationales et de l'infrastructure même dont dépend notre mode de vie.
Mais tous les risques ne sont pas malveillants. Les temps d'arrêt et les interruptions sont également dus à des défaillances internes. L'infrastructure numérique est complexe, et quelque chose d'aussi simple qu'un certificat non documenté peut interrompre brutalement les opérations. un certificat non documenté peut entraîner un arrêt brutal des opérations..
Dans les deux cas, la confiance numérique en pâtit. Non seulement ces incidents coûtent des ressources considérables pour y remédier, mais ils portent également atteinte à la réputation de l'entreprise, et ce longtemps après que le problème a été résolu.
Le Forum économique mondial (WEF) définit la confiance numérique comme "l'attente des individus que les technologies et services numériques - et les organisations qui les fournissent - protègent les intérêts de toutes les parties prenantes et soutiennent les attentes et les valeurs de la société".
La création d'un écosystème numérique digne de confiance repose sur l'assurance que les appareils, les applications et les données sont exacts et à l'abri des menaces. Tout comme la confiance zéro et l'IA, la confiance numérique est un concept rendu possible par la technologie.
Dans ce blog, nous aborderons les éléments technologiques qui rendent possible la confiance numérique.
Infrastructure à clé publique
L'infrastructure à clé publique (PKI) est l'écosystème cryptographique qui régit l'émission de certificats numériques. Ces certificats protègent les données sensibles, sécurisent les communications et fournissent des identités numériques pour les utilisateurs, les appareils et les applications.
PKI crée une hiérarchie de confiance. Les certificats sont délivrés par des autorités de certification intermédiaires (ICA), et ces ICA remontent jusqu'à l'autorité de certification racine. Dans les grandes organisations, les ICA sont dédiées à des fonctions numériques particulières. Par exemple, DevOps peut avoir sa propre autorité de certification.
Les certificats numériques sont présents dans pratiquement tous les processus commerciaux. Ils sécurisent les sites web et les clients de messagerie, IoT les appareils et les applications de toutes sortes, et bien d'autres choses encore. Selon le rapport 2024 & Digital Trust de KeyfactorPKI & Digital Trust reportl'organisation moyenne utilise plus de 80 000 certificats internes à tout moment.
Quelques facteurs font que PKI est difficile à gérer à grande échelle.
- Expertise de niche
La plupart des organisations n'ont pas d'équipe dédiée à PKI . En général, PKI et les certificats sont gérés par les équipes informatiques, de sécurité ou d'infrastructure. Ces techniciens ont rarement des connaissances spécialisées sur PKI , et les processus manuels augmentent le risque d'erreur de la part des utilisateurs. - Un manque d'appropriation
Même si les équipes susmentionnées administrent PKI et les certificats, il n'y a pas de vision plus large ni de gouvernance centralisée pour PKI. Il en résulte que les équipes utilisent les certificats pour se procurer leurs propres solutions et créer leurs propres processus moins sûrs. - Faible marge d'erreur
Il suffit d'un seul certificat expiré pour mettre des systèmes entiers hors ligne. La découverte, le suivi et la gestion des certificats sont donc des pratiques à fort enjeu.
Des innovations telles que l AIIoT, et l'informatique quantique introduisent de nouveaux cas d'utilisation et de nouveaux risques pour l'entreprise tout en stimulant l'augmentation des volumes de certificats. Par conséquent, les ICP de qualité médiocre deviennent plus difficiles à gérer et à moderniser.
Il est essentiel de trouver les bons partenaires pour mettre en œuvre des stratégies efficaces et évolutives à l'adresse PKI . Un choix d'outils approprié donnera aux équipes une véritable visibilité sur le paysage des certificats et les mettra en position de bien faire PKI sans s'épuiser.
Protocole Secure Shell (SSH)
Le protocole Secure Shell (SSH) est un protocole de réseau cryptographique qui permet aux appareils de fonctionner en toute sécurité sur des réseaux non sécurisés. En d'autres termes, il sécurise les connexions à distance au réseau. Il permet également des sessions de machine à machine qui rendent possible l'automatisation.
SSH utilise la cryptographie à clé publique, en créant automatiquement des paires de clés publiques et privées pour crypter les connexions réseau. La sauvegarde et la gestion correcte de ces clés sont essentielles à l'établissement de la confiance numérique.
Les organisations utilisent beaucoup de clés SSH. Il est courant de trouver 50 à 200 clés sur un serveur ou un million de clés SSH dans une organisation. Sans stratégie de gestionSans stratégie de gestion, les attaquants peuvent compromettre ces clés pour obtenir des niveaux d'accès élevés et contourner les contrôles de sécurité. De là, ils peuvent injecter des données frauduleuses, subvertir le cryptage software, déployer des logiciels malveillants ou carrément détruire des systèmes.
La découverte de toutes les clés SSH dans l'environnement informatique est essentielle pour les protéger. Les clés héritées et orphelines doivent être prises en compte et les relations de confiance de chaque paire de clés SSH doivent être cartographiées. Une fois cette étape franchie, les entreprises peuvent auditer leur implémentation SSH pour trouver les faiblesses et renforcer les processus. Les clés qui utilisent des algorithmes de chiffrement faibles ou qui fournissent un accès racine inutile doivent être mises à jour.
Signature du code
La signature de code est un processus cryptographique qui confère un cachet d'authenticité à un morceau de software. Les développeurs signent numériquement les applications, software, ou les microprogrammes intégrés avec des clés privées pour prouver que le code provient d'une source légitime et n'a pas été altéré.
Sans signature de codeou sans sécurisé signature de codeles utilisateurs peuvent télécharger par inadvertance software à partir d'une source malveillante. Les attaques par signature de code permettent aux attaquants de compromettre la chaîne d'approvisionnement de software , de sorte que software malveillant est diffusé à des milliers d'utilisateurs.
Aujourd'hui, les développeurs publient continuellement de nouveaux sites software et des mises à jour. Il peut être difficile de trouver un équilibre entre la vitesse de développement et les meilleures pratiques en matière de sécurité, et l'intégration du processus de signature du code dans le cycle de développement existant de software constitue un défi.
La signature de code nécessite son propre ensemble de certificats et de clés qui sont des cibles précieuses pour les acteurs malveillants qui peuvent les vendre sur des marchés clandestins.
Pour sécuriser le processus de signature de code, les entreprises doivent stocker les clés de signature de code sur les modules de sécurité hardware , plutôt que dans des endroits peu sûrs tels que les postes de travail des développeurs ou les serveurs de construction. Il est également judicieux de limiter l'accès à ces clés à un nombre restreint d'utilisateurs autorisés. La séparation des tâches entre ces utilisateurs peut réduire considérablement les risques de dommages en cas de compromission d'une clé de signature de code.
Sécurité de la couche transport
Comme SSH, Transport Layer Security (TLS) est un protocole cryptographique qui protège les données lors de leur transmission d'un utilisateur à l'autre sur l'internet. Dans la barre d'adresse de votre navigateur Internet, le petit cadenas indique que les données envoyées et reçues sur ce site sont protégées par TLS.
TLS protège les informations sensibles telles que les mots de passe, les numéros de carte de crédit, les habitudes de navigation, etc. contre l'interception par des acteurs malveillants. Bien que TLS soit pratiquement une évidence pour les sites web, il est moins courant (bien que conseillé) de sécuriser les processus liés à l'internet tels que le courrier électronique.
TLS sont orientés vers l'internet et interagissent avec de nombreuses applications tierces (par exemple, les navigateurs web). Ils doivent donc répondre aux normes des entités avec lesquelles ils doivent interagir. Par exemple, Google Chrome signale les certificats dont la durée de vie est supérieure à 90 jours ou qui utilisent un algorithme de hachage obsolète tel que SHA-1.
Ceux qui maintiennent leur ICP à jour avec les meilleures pratiques les plus récentes se montreront plus résistants et plus dignes de confiance face à l'avenir numérique.
Certificat Lifecycle Automation (CLA)
Rappelons que les certificats et PKI sont généralement gérés par des équipes informatiques, de sécurité ou d'infrastructure. Non seulement ces équipes n'ont pas de connaissances approfondies de PKI , mais elles doivent jongler avec PKI en plus de leurs responsabilités principales.
Compte tenu de l'explosion du volume de certificats et de la pénurie actuelle de main-d'œuvre dans le domaine de la cybersécurité, les processus manuels de gestion des certificats ne sont pas évolutifs et exacerbent les conditions qui conduisent à l'épuisement de l'équipe.
L'automatisation du cycle de vie des certificats redonne à ces équipes une bande passante importante et élimine pratiquement tout risque de panne. Une plateforme adéquate de gestion du cycle de vie des certificats (CLM) résout de nombreux problèmes d'un seul coup.
- La découverte et la journalisation proactives permettent de dresser un inventaire complet de tous les certificats présents dans l'environnement informatique, y compris les certificats non suivis et non documentés qui sont cachés et attendent d'expirer.
- En tant que centre universel pour tous les certificats, une plateforme CLM offre aux équipes une visibilité totale sur l'ensemble des certificats dans un seul outil. Grâce à cette visibilité, elles peuvent créer et mettre en œuvre des politiques qui soutiennent des pratiques sécurisées en matière de certificats.
- Avec tous les certificats en un seul endroit, les équipes peuvent commencer à automatiser le cycle de vie de leurs certificats. Il est ainsi possible de ne plus jamais avoir de certificat expiré.
L'ADN de la confiance numérique
Les certificats numériques, les clés et la cryptographie continueront à servir d'ADN technique de la confiance numérique dans un avenir prévisible. Lorsqu'ils sont exploités correctement, ces outils peuvent isoler les organisations des menaces de l'IA, de la quantique et de la conformité.
Quoi qu'il en soit, ces bouleversements technologiques sismiques sont à venir. Les organisations qui investissent dans des politiques PKI flexibles et résilientes seront prêtes à réussir dans un avenir proche.
Vous voulez en savoir plus ? Consultez le rapport 2024 PKI & Digital Trust de Keyfactor.
