Cet article a été publié à l'origine par Forbes dans le cadre du Forbes Technology Council, une communauté sur invitation réservée aux directeurs informatiques, aux directeurs de la technologie et aux responsables de la technologie de classe mondiale.
La confiance zéro est une reconnaissance du fait que les contrôles de réseau hérités comme les pare-feu et les VPN ne sont pas suffisants pour sécuriser l'entreprise. Cela est devenu de plus en plus vrai en raison de la transformation numérique, de l'informatique en nuage et des tendances DevOps.
Ce cadre repose sur la notion de "ne jamais faire confiance, toujours vérifier" et considère la confiance comme une vulnérabilité. L'identité reste donc l'un des seuls outils permettant de contrôler l'accès aux services, aux applications et à d'autres opérations critiques pour l'entreprise.
L'identité est essentielle pour sécuriser l'empreinte numérique en croissance rapide des entreprises d'aujourd'hui. Cela s'est traduit par la poursuite de stratégies de confiance zéro et par une utilisation accrue des infrastructures à clé publique (PKI) et des certificats numériques. Mais en cours de route, un élément essentiel de la sécurité de l'entreprise est devenu incontrôlable. Les identités des machines, qui connaissent une croissance exponentielle et peuvent être tout aussi vulnérables à la compromission, ne font pas l'objet de l'attention proactive nécessaire pour garantir la sécurité des opérations.
L'augmentation récente des identités des machines peut également créer des faiblesses. Un rapport de CyberArk a révélé que les identités des machines sont plus nombreuses que celles des humains (45 contre 1) et que 68 % des identités non humaines ont accès à des données et à des actifs sensibles.
Les organisations doivent adopter une approche globale de l'identité pour sécuriser les humains et les machines. Envisager une utilisation efficace de PKI peut aider à mieux contrôler les identités sur leurs réseaux.
La croissance des identités-machines a dépassé les protections
Les affaires se déroulent dans un monde basé sur l'informatique en nuage et orienté vers les services. Les entreprises laissent derrière elles les infrastructures existantes et les opérations sur site. En lieu et place, elles s'orientent vers des architectures en nuage agiles, évolutives et réactives qui ont déplacé les transactions vers le nuage et vers la périphérie.
Mais les surfaces d'attaque des organisations s'étendent également, et les acteurs de la menace l'ont remarqué, en se concentrant sur les attaques basées sur les informations d'identification qui compromettent les identités des utilisateurs pour pénétrer dans les réseaux. Les stratégies de confiance zéro axées sur la validation continue des identités sont des remparts contre ces attaques, mais la plupart des mises en œuvre ne sont pas assez complètes.
Une récente étude réalisée par mon entreprise, Keyfactor, et l'Institut Ponemon souligne les défis qui sont apparus dans la course effrénée à la transformation numérique, en particulier en ce qui concerne l'identité des machines.
Les répondants à l'enquête ont mis en place le site PKI , mais nombre d'entre eux ont déclaré avoir des difficultés à obtenir une visibilité complète des certificats. Plus de la moitié d'entre eux déclarent ne pas savoir combien de clés et de certificats sont utilisés dans leur entreprise. Le manque de contrôle sur les certificats a eu des conséquences importantes, puisque 81 % des personnes interrogées ont déclaré avoir subi au moins deux pannes perturbatrices causées par des certificats expirés au cours des deux dernières années, soit une augmentation de 77 % par rapport au rapport de l'année dernière. Il faut en moyenne trois heures aux personnes interrogées pour réagir à une panne liée à un certificat, mais 39 % d'entre elles déclarent qu'il leur faut quatre heures ou plus.
Le raccourcissement des cycles de vie des certificats (qui sont passés de cinq ans il y a dix ans à 398 jours) a également rendu la délivrance et la gestion des certificats plus difficiles. Il se peut que les organisations aient eu par le passé une attitude de "fixer et oublier" à l'égard de la cryptographie - certaines ICP datant d'il y a 15 ans sont encore utilisées - mais l'environnement d'aujourd'hui exige de prêter attention à un cycle de rafraîchissement plus rapide.
Le passage à l'informatique dématérialisée, la croissance de la main-d'œuvre à distance et l'accent mis sur les stratégies de sécurité "zéro confiance" ont entraîné une plus grande utilisation de PKI, des clés et des certificats numériques. Mais la prolifération des identités des machines doit encore être prise en compte. Pour prendre le contrôle, les organisations doivent comprendre les principes fondamentaux d'une bonne gestion de PKI et des certificats.
Les étapes de la sécurisation des identités des machines
PKI fournit une épine dorsale d'identité qui peut assurer une connexion sécurisée entre les utilisateurs, les appareils et les applications pour le cryptage, l'authentification et les signatures numériques en fournissant des identités numériques uniques par le biais de l'émission de certificats numériques.
Pour faire face à l'explosion des identités des machines, il est nécessaire d'adopter une approche globale comprenant plusieurs éléments importants.
1. Une stratégie solide
Les organisations ont besoin d'une stratégie à l'échelle de l'entreprise pour gérer la cryptographie et les identités des machines. Souvent, il n'y a pas de propriétaire commun pour une stratégie de cryptographie dans l'entreprise parce que PKI et les identités des machines sont largement utilisées par différentes équipes dans l'organisation. Les RSSI et les responsables de la sécurité ont besoin d'une orchestration transparente entre les unités opérationnelles pour s'assurer que les systèmes sont protégés et que les employés peuvent travailler efficacement sans introduire de vulnérabilités.
Une méthodologie standard de bout en bout comprend des efforts pour définir les politiques et les responsabilités, développer un inventaire cryptographique, identifier et remédier aux vulnérabilités, surveiller et auditer en permanence et automatiser le cycle de vie d'une manière agile.
2. Être agile sur le plan cryptographique
Les entreprises devraient se concentrer sur la crypto-agilité, c'est-à-dire la capacité à s'adapter rapidement à des événements cryptographiques importants, tels que la compromission d'une autorité de certification ou une nouvelle attaque qui affaiblit un algorithme cryptographique.
Grâce à la crypto-agilité, les entreprises peuvent adopter une approche proactive de la sécurisation des identités et répondre aux violations ou aux incidents à une vitesse optimale. À l'avenir, alors que de plus en plus d'entreprises modernisent leur site PKI et migrent vers le cloud, on peut s'attendre à ce qu'un nombre croissant d'entre elles se concentrent sur la crypto-agilité dans leurs plans d'intervention en cas d'incident. Elles seront ainsi mieux préparées à faire face aux nouvelles menaces liées à l'identité.
3. Une CCoE mature
Un centre d'excellence en cryptographie (CCoE) peut offrir un leadership, définir la propriété et fournir des conseils sur l'utilisation de PKI et des identités des machines. Un CCoE ne possède et n'exploite pas nécessairement tous les outils de gestion des identités PKI et machine, mais sert plutôt de centre de politique, de gouvernance et de meilleures pratiques.
Dans ce contexte, les chefs d'entreprise doivent réfléchir aux responsables de la sécurité et aux responsables non informatiques qui doivent être impliqués. Ceux-ci doivent être en mesure d'agir en tant que conseillers et experts en la matière et de diffuser les meilleures pratiques dans l'ensemble de l'entreprise.
4. Le bon ensemble d'outils de gestion des identités
Il est essentiel de prendre le temps de comprendre les différentes solutions disponibles pour faciliter la mise à l'échelle et l'automatisation de la gestion des identités. Naturellement, vous aurez besoin d'outils différents pour des éléments tels que la gestion des identités et la gestion des certificats, mais plus il y aura de moyens de consolider ces besoins et ces outils, mieux ce sera.
Dans l'ensemble, il existe une corrélation entre l'empreinte numérique croissante de l'entreprise moderne et les défis de sécurité inhérents à la gestion et à la protection des identités des machines. Mais avec les bons outils et les bonnes stratégies en place, les responsables de la sécurité peuvent trouver une voie à suivre.
