Si vous ne surveillez pas votre PKI... qui le fera ?
Aussi inquiétant que le titre puisse paraître, ce blog se concentrera en fait sur les parties qui devraient avoir un œil sur votre infrastructure à clé publique (PKI), plutôt que sur les "mauvais acteurs" qui ne devraient pas en avoir. Ce dernier point n'en est pas moins important et pourrait facilement faire l'objet d'un prochain blog.
Figure 1 : Entrées et sorties de l'entreprise PKI
Conformément au schéma logique présenté ci-dessus, les domaines commerciaux et techniques communs sont souvent les suivants :
- Sécurité de l'entreprise : Souvent en liaison avec les organisations de contrôle et d'audit de l'entreprise, responsable de la définition de la politique et de la capacité d'audit par rapport à cette politique.
- Sécurité informatique : Les équipes de sécurité informatique sont souvent chargées de la délivrance et de la gestion des certificats numériques ainsi que du soutien opérationnel du site PKI lui-même.
- Ingénierie des systèmes : PKI- Les systèmes dédiés sont presque toujours soumis aux mêmes activités d'administration de la sécurité locale, de correction du système d'exploitation et de fenêtres de maintenance que tous les autres systèmes de l'entreprise. C'est l'un des principaux moteurs de la nécessité de disposer de modèles de sécurité et d'audit bien définis et bien mis en œuvre sur le site PKI.
Parmi les points douloureux les plus courants du site PKI figurent les conditions défavorables qui s'installent au fil du temps, telles qu'une mauvaise configuration générale, la dégradation du modèle de sécurité, la non-conformité et les vulnérabilités en matière de sécurité. Très souvent, ces conditions sont imputables à un manque de visibilité et de surveillance par les parties concernées. Ces conditions peuvent entraîner, et c'est souvent le cas, des pannes coûteuses pour l'entreprise. Qui doit donc surveiller quoi ? Quelques exemples pratiques sont présentés ci-dessous.
- Les plateformes telles que les serveurs web intranet et les systèmes de contrôle d'accès au réseau ont besoin d'une visibilité cohérente sur l'état des certificats afin de rester opérationnelles. Un certificat d'authentification du serveur RADIUS non surveillé, par exemple, pourrait expirer et désactiver l'authentification pour l'ensemble de l'infrastructure WiFi d'une entreprise. La plateforme de gestion automatisée des certificats numériques et des opérations PKI de Certified Security Solutions, CMS Enterprise, vous permet de configurer des collections de certificats et d'attacher des métadonnées pour alerter vos équipes de plateforme sur les expirations imminentes afin qu'elles puissent prendre des mesures pour éviter des pertes importantes de productivité et/ou de revenus.
- Compte tenu des nombreuses exigences de conformité réglementaire telles que PCI, Sarbanes-Oxley et Gramm-Leach-Bliley, les services de contrôle et d'audit des entreprises - ainsi que les organismes d'audit indépendants - s'appuient de plus en plus sur les données des rapports de posture de sécurité, qui vont de la sécurité physique à la politique des mots de passe en passant par les forces des algorithmes de signature des certificats. À titre d'exemple, le CMS est fréquemment utilisé pour fournir une visibilité sur les certificats SHA1 actifs dans les environnements informatiques des entreprises.
Figure 2 : Rapport mensuel de la CMS sur la force des algorithmes
Ce blog n'a couvert que quelques exemples d'exigences en matière de visibilité par rapport à votre entreprise PKI. CSS peut travailler avec vous sur une solution automatisée de gestion des certificats et de PKI , CMS Enterprise, ou sur un service géré à grande échelle PKI , CMS Sapphire, pour s'assurer que les bonnes équipes de votre entreprise ont accès aux bonnes données.
