Ce blog présente les réflexions de Chris Hickman, directeur de la sécurité de Keyfactor, sur le rapport 2020 Keyfactor-Ponemon Institute : L'impact des identités numériques non sécurisées. Cliquez ici pour télécharger et accéder au rapport complet. pour télécharger et accéder au rapport complet.
Dans les deux derniers blogs de cette série, nous avons parlé des défis liés au déploiement de l'infrastructure à clé publique (PKI) et des obstacles que les organisations rencontrent lorsqu'elles développent leurs opérations PKI pour répondre aux demandes croissantes des entreprises et aux cas d'utilisation. En réalité, ces défis se résument généralement à un problème central : un manque de connaissances entre l'équipe chargée de la sécurité informatique et les dirigeants de l'entreprise.
Si les clés cryptographiques et les certificats x.509 sont familiers au "PKI guy " ou à l'équipe de sécurité, les chefs d'entreprise non techniques ne comprennent tout simplement pas l'importance de la cryptographie, jusqu'à ce qu'il soit trop tard. Lorsque PKI et la gestion des certificats numériques sont considérés comme un simple problème informatique, plutôt que comme un outil stratégique pour l'entreprise, les organisations continuent de subir des pannes et des incidents de sécurité coûteux.
Les pannes ne sont qu'un début
Dans le rapport Keyfactor-Ponemon sur l'impact des identités numériques non sécurisées, publié récemment, 87 % des personnes interrogées ont déclaré que leur organisation avait subi au moins une panne liée à un certificat au cours des deux dernières années, tandis que 55 % ont admis avoir connu au moins quatre de ces incidents.
Les cas ne manquent pas où l'expiration d'un seul certificat a mis hors service des réseaux, perturbé des services ou laissé des organisations à l'abri des attaques. Exemple : un certificat expiré a mis hors service un système de surveillance chez Equifax, permettant aux attaquants d'exfiltrer des données sans être détectés pendant plus de deux mois. Plus récemment, Microsoft Teams est tombé en panne pendant près de trois heures après que Microsoft a oublié de renouveler un certificat d'authentification.
Ces événements ne se contentent pas de perturber les opérations quotidiennes ; ils sapent également la confiance dans les produits et les services et entraînent des temps d'arrêt importants et une perte de productivité pour les utilisateurs de l'entreprise et les équipes de sécurité qui cherchent à identifier le problème et à y remédier. Gartner estime le coût moyen des interruptions de réseau à environ 300 000 dollars par heure, soit 5 600 dollars par minute.
Des problèmes plus graves se cachent sous la surface
Et ce n'est qu'un début. Vous avez peut-être entendu dire que 90 % d'un iceberg se trouve sous la ligne de flottaison. Lorsqu'il s'agit de PKI, les pannes retiennent l'attention, car elles ont l'impact le plus visible sur l'entreprise, mais la plupart des problèmes se situent quelque part sous la surface.
Selon le rapport Ponemon, les professionnels de l'informatique et de la sécurité déclarent que leur organisation est confrontée à des problèmes liés à l'utilisation abusive de clés et de certificats, à des autorités de certification (AC) compromises ou malhonnêtes et à des défaillances d'audit bien plus fréquemment qu'à des pannes non planifiées. De plus, ils estiment que la gravité de tous ces incidents est plus élevée que le risque de pannes causées par des certificats expirés.
Mais si les clés et les certificats numériques mal gérés représentent une menace aussi importante, pourquoi n'est-ce pas une priorité pour les entreprises ? Dans de nombreux cas, les responsables de l'informatique et de la sécurité ne sont tout simplement pas conscients de la fréquence et de l'impact financier de ces incidents. Dans le même temps, les équipes InfoSec ont souvent du mal à faire évoluer la perception de PKI et de la cryptographie, de concepts trop techniques à une infrastructure critique pour l'entreprise.
Pourquoi PKI n'est souvent pas une priorité pour les entreprises
Dans le rapport de cette année, nous présentons le Critical Trust Index™ - une série d'indicateurs qui mesurent la capacité des entreprises à gérer la croissance rapide des clés et des certificats numériques dans l'ensemble de leurs activités. Sur une échelle de dix points, les personnes interrogées ont répondu à seize questions relatives à l'état de leurs opérations de gestion des PKI et des certificats numériques, en indiquant leur capacité de faible (0) à élevée (10).
Comme le montre la figure 1 ci-dessous, nous avons constaté un écart important entre les réponses des dirigeants et celles du personnel directement impliqué dans la gestion de PKI et des certificats numériques.
| Rôle du répondant | Score de l'indice de confiance critique |
| Directeur/VP | 6.15 |
| Directeur | 5.52 |
| Gestionnaire | 4.66 |
| Superviseur | 4.26 |
| Personnel/Technicien | 3.67 |
Ce décalage n'est cependant pas surprenant. Selon Gartner, "les responsables de la sécurité et de la gestion des risques ignorent souvent la portée ou l'état de leur déploiement X.509. Au fur et à mesure que le champ d'application des certificats s'étend aux appareils, aux conteneurs et au site IoT, ils devront utiliser la gestion automatisée des certificats pour éviter les pannes de système et gagner en efficacité opérationnelle."
Malgré les outils permettant d'automatiser la découverte et la gestion des certificats, la plupart des entreprises s'attaquent encore au problème à l'aide d'une feuille de calcul. Mais PKI et les équipes de sécurité sont maintenant confrontés à un paysage de certificats étendu, complexe et multifournisseur qui rend les méthodes de gestion manuelles irréalisables. Sans visibilité et contrôle centralisés, plus de certificats créent plus de problèmes.
Argumenter en faveur de la gestion des certificats électroniques
Les équipes chargées des opérations sur le site PKI doivent élaborer un argumentaire convaincant, non seulement pour atténuer le risque et l'impact des incidents liés aux certificats, mais aussi pour permettre l'adoption de nouvelles technologies tout en assurant la sécurité de l'entreprise grâce à une technologie éprouvée et évolutive.
Ce passage de la réactivité (prévenir les pannes) à la proactivité (favoriser l'innovation en matière de sécurité) garantit que PKI et la gestion des certificats sont considérés comme un atout stratégique pour l'entreprise, et non comme un simple problème pour les services informatiques.
Prenez cinq minutes pour calculer votre indice de confiance critique et identifier les lacunes les plus importantes au sein de votre organisation. Partagez les résultats avec votre équipe, voyez comment vous vous situez par rapport à vos pairs et obtenez des recommandations personnalisées pour élaborer un argumentaire convaincant en faveur de l'automatisation du cycle de vie des certificats.
