[Récapitulatif du webinaire] La nécessité d'une gestion de bout en bout de la cryptographie

La semaine dernière, j'ai eu la chance de participer à un webinaire avec mon ami et collègue Ted Shorter de Keyfactor. Le sujet de la session était la nécessité d'une gestion de bout en bout du cycle de vie de la cryptographie dans les entreprises - et la discussion m'a laissé une impression distincte. J'aimerais prendre un moment pour expliquer pourquoi.

Il m'est apparu que nos nombreux projets de conseil en sécurité chez TAG Cyber sont rarement motivés par des entreprises clientes qui expriment le besoin d'améliorer la gestion des clés, des certificats et de l'infrastructure cryptographique connexe. Nos projets semblent toujours découler de problèmes liés à SIEM, SOC, IAM, UBA et autres outils de sécurité d'entreprise.

Mais presque toujours, une fois que l'engagement de conseil en sécurité se poursuit, nous constatons que les équipes ont des pratiques de cycle de vie particulièrement mauvaises, voire inexistantes, pour leur cryptographie. Cela est souvent expliqué comme un artefact des multiples équipes impliquées, y compris les équipes réseau, les développeurs et l'organisation de la sécurité.

Ce que nous recommandons dans ces cas - et ce que Ted et moi-même avons renforcé au cours de notre session - c'est qu'une méthodologie de bout en bout viable n'est pas seulement possible, mais qu'elle peut être plus facile à mettre en œuvre qu'on ne l'aurait cru. Et oui, je n'hésite pas à admettre que Keyfactor peut fournir et fournira une assistance à cet égard. Voici les éléments du processus de bout en bout.

Tout commence dès la première étape par la définition des politiques et des responsabilités. Cette détermination établit une base d'activité coordonnée et est particulièrement utile dans les grandes organisations qui disposent d'un contrôle distribué et d'un support pour les clés et les certificats. C'est très bien, mais cela doit être soigneusement orchestré.

La deuxième étape consiste à dresser un bon inventaire de l'ensemble des technologies, processus et applications cryptographiques. La meilleure façon d'y parvenir est d'utiliser la technologie lorsque c'est possible, mais cela peut souvent nécessiter que les équipes partagent des informations dans le cadre d'une initiative de découverte organisationnelle. La gestion de l'inventaire, comme on peut s'y attendre, est un processus continu.

La troisième étape consiste à identifier et à corriger toutes les vulnérabilités trouvées dans l'infrastructure cryptographique, y compris tous les systèmes et applications. Au cours de notre webinaire, Ted a expliqué à juste titre qu'il s'agit du cœur du processus de bout en bout et que c'est cette étape qui nécessite le plus de temps et d'attention pour être menée à bien.

La quatrième étape est une surveillance et un audit continus et permanents de tous les processus cryptographiques. La maintenance et le soutien de l'infrastructure liée aux clés et aux certificats sont des tâches essentielles qui contribuent à garantir à la fois la conformité et la sécurité de tous les systèmes reposant sur la cryptographie. Il est peut-être plus exact de dire que cette étape est concomitante aux autres.

Enfin, la méthodologie de bout en bout met l'accent sur l'automatisation du cycle de vie, conformément aux principes fondamentaux de l'agilité. Pour les tâches routinières telles que l'assurance de la non-expiration des certificats, le support automatisé fournit la couverture essentielle qui aide les équipes de cryptographie à dormir la nuit. L'automatisation est passée d'une commodité optionnelle à une exigence essentielle.

Si vous souhaitez en savoir plus, jetez un coup d'œil à l'eBook sur lequel j'ai travaillé avec Ted et l'équipe de Keyfactor. Il présente les éléments essentiels de la méthodologie de bout en bout que nous proposons et contient des exemples qui vous aideront à appliquer le processus à votre propre situation. Après avoir lu l'eBook, n'hésitez pas à me faire part de vos commentaires. J'attends avec impatience vos commentaires.