Ce blog présente les réflexions de Chris Hickman, directeur de la sécurité de Keyfactor, sur le rapport 2020 Keyfactor-Ponemon Institute : L'impact des identités numériques non sécurisées. Cliquez ici pour télécharger et accéder au rapport complet.
L'infrastructure à clé publique (PKI) est l'un des outils les plus puissants de votre pile informatique. Les mathématiques sont complexes, mais le concept de base est simple. PKI vous permet d'utiliser des certificats numériques pour protéger les données sensibles, sécuriser les communications de bout en bout et fournir une identité numérique unique pour les utilisateurs, les appareils et les applications de votre entreprise.
Il n'y a pas si longtemps, PKI était considéré comme une technologie de niche - un outil conçu dans un but spécifique et qui, la plupart du temps, fonctionnait discrètement en arrière-plan. Depuis, le champ d'application de PKI s'est étendu bien au-delà des cas d'utilisation traditionnels pour englober les appareils, l'infrastructure en nuage, les conteneurs et IoT.
Il ne fait aucun doute que le rôle de PKI a changé, mais les défis liés à son déploiement et à sa gestion restent relativement les mêmes. Malgré son rôle essentiel, les déploiements internes de PKI créent souvent plus de problèmes (et de coûts) qu'ils n'en résolvent. Ainsi, la plupart des organisations regardent dans le rétroviseur au lieu de réaliser le plein potentiel de leur déploiement PKI .
Défis fondamentaux dans les opérations PKI
Dans le rapport 2020 Keyfactor-Ponemon Institute récemment publié, l'impact des identités numériques non sécurisées a été mis en évidence : The Impact of Unsecured Digital Identities, les réponses à l'enquête de 603 professionnels de l'informatique et de la sécurité ont révélé certains des problèmes fondamentaux de la gestion de PKI . Décortiquons quelques-uns des principaux défis et voyons comment ils peuvent avoir un impact sur votre organisation.
Compétences et ressources insuffisantes
Si vous travaillez dans l'industrie technologique depuis un certain temps, ce n'est un secret pour personne qu'il y a une grave pénurie de main-d'œuvre dans le domaine de la cybersécurité. Alors que de plus en plus d'infrastructures essentielles sont connectées à l'internet, il y a un nombre limité de personnes qualifiées qui comprennent le besoin urgent de cybersécurité.
PKI n'est pas une technologie comme les autres dans votre pile informatique - elle nécessite des connaissances et des compétences hautement spécialisées pour fonctionner efficacement. Ces compétences ne sont pas seulement rares, elles sont aussi difficiles à retenir.
Selon le rapport, seulement 38% des personnes interrogées déclarent que leur organisation dispose d'un personnel suffisant pour le déploiement de PKI .
Bien trop souvent, cela conduit à des situations où PKI tombe entre des mains inexpérimentées, où la moindre erreur peut provoquer une panne ou une faille de sécurité importante.
Manque d'investissement
Malgré le rôle critique de PKI dans la sécurité de l'entreprise, la plupart des organisations s'attaquent encore au problème à l'aide d'un patchwork de feuilles de calcul, d'outils internes PKI et d'outils fournis par l'autorité de certification. La manière dont nous approvisionnons et exploitons l'infrastructure a complètement changé - passant d'une infrastructure statique hardware à une infrastructure dynamique et hautement automatisée - mais beaucoup utilisent encore des méthodes manuelles dépassées pour déployer et gérer leur PKI.
Le financement de la cybersécurité est peut-être en hausse, mais PKI est encore, dans de nombreux cas, inadéquat et sous-financé, ce qui crée des risques importants pour l'organisation. Sans les bons outils et les bonnes ressources, les ingénieurs ou les administrateurs de PKI passent plus de temps à lutter contre les incendies qu'à mettre en place de nouveaux cas d'utilisation qui peuvent profiter à l'entreprise.
Pas de propriété claire
L'un des plus grands défis du déploiement de PKI reste l'absence d'une appropriation claire.
À la question de savoir à qui appartient le budget PKI , les réponses sont très diverses : opérations informatiques (21 %), sécurité informatique (18 %), lignes d'activité (19 %) et équipes de mise en réseau (16 %).
Cela entraîne souvent des pressions contradictoires sur les personnes concernées lorsque quelque chose ne va pas, comme un audit raté ou une AC compromise.
PKI a tendance à être une technologie utilisée par tous, mais qui n'appartient à personne. Trop souvent, nous voyons des situations où chaque équipe, des opérations informatiques aux développeurs, crée un site PKI distinct pour des applications spécifiques, sans aucune supervision de l'équipe chargée de la sécurité. Non seulement cela conduit à un désordre dans la gestion de PKI , mais cela rend également beaucoup plus difficile l'application de politiques cohérentes et la réponse efficace à un incident de sécurité.
Sécurité de l'autorité de certification racine
L'autorité de certification (AC) racine est la base de confiance pour chaque certificat émis dans votre environnement. Si vous ne pouvez pas faire confiance à votre autorité de certification racine, vous ne pouvez pas faire confiance à votre site PKI.
Si l'on examine les conclusions du rapport, moins de la moitié des personnes interrogées (44 %) ont confiance dans la sécurité de leur autorité de certification racine.
Selon toute vraisemblance, ce chiffre est bien inférieur, car de nombreuses organisations supposent que leur autorité de certification racine est sûre sans procéder à un audit approprié. Une autre hypothèse dangereuse est que les certificats numériques sont intrinsèquement fiables et sûrs. Si vous ne connaissez pas les politiques de l'autorité de certification émettrice et de l'autorité de certification racine, vous ne pouvez pas supposer que les certificats émis sont fiables.
Comment résoudre vos problèmes PKI
Nous avons discuté des défis liés au déploiement de PKI , il est maintenant temps de parler des solutions. Voici trois mesures que vous pouvez prendre pour vous assurer que vous disposez des outils et des ressources nécessaires au bon fonctionnement de votre site PKI :
- Établir un dossier commercial : PKI et la gestion des certificats sont souvent considérés comme trop techniques, de sorte que les chefs d'entreprise ne comprennent tout simplement pas l'importance d'investir dans ces domaines. Selon Gartner, "les responsables de la sécurité qui parviennent à repositionner la gestion des certificats X.509 en fonction d'un argumentaire convaincant, tel que l'entreprise numérique et l'activation de la confiance, augmenteront la réussite du programme de 60 %, contre moins de 10 % aujourd'hui".
- Auditer votre PKI: Commencez par comprendre l'architecture actuelle de votre environnement PKI - combien d'AC vous avez dans votre environnement (y compris les AC oubliées), comment elles ont été mises en œuvre et dans quel but, et quels contrôles et politiques de sécurité ont été mis en place. En ce qui concerne l'autorité de certification racine, vérifiez les points suivants : l'autorité de certification racine utilise-t-elle un HSM ? L'autorité de certification racine est-elle toujours hors ligne ?
- Investir dans l'expertise : Parfois, même les experts ont besoin d'expertise. PKI est une infrastructure critique qui nécessite des soins et une alimentation de routine pour fonctionner en toute sécurité. Les entreprises doivent soit être les experts, soit confier leur PKI à un expert de confiance. Les fournisseurs de services gérés PKI peuvent investir beaucoup plus dans une infrastructure PKI de pointe, dans la sécurité et dans l'expertise que ne peuvent le faire la plupart des entreprises.
Prenez cinq minutes pour calculer l'indice de confiance critique de votre organisation et obtenir des recommandations personnalisées sur la manière de gérer efficacement votre site PKI et vos certificats numériques.
