Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Enquête GlobalSign 2019 sur les PKI

janvier 2020 par GlobalSign

En 2019, GlobalSign a mené une enquête afin de mieux comprendre ce qui pousse les entreprises à utiliser des certificats adossés à une infrastructure à clés publiques (PKI) et dans quel cadre. Dans les questions posées aux quelque 750 participants, les signatures numériques et le DevOps ont également été abordés. Pour notre analyse, nous avons interrogé des décideurs informatiques et des leaders de divers secteurs — pouvoirs publics, finance, santé et ingénierie. Nos questions portaient sur divers sujets allant de l’utilisation des PKI par les participants, en passant par les solutions et leur utilisation en environnement DevOps.

Petit rappel au cas où le terme PKI ne vous serait pas familier : l’acronyme désigne une Public Key Infrastructure, une infrastructure à clés publiques, qui permet aux entreprises et aux systèmes d’échanger des données en toute sécurité et, surtout, de vérifier la légitimité de l’entité détentrice d’un certificat. La technologie et les solutions basées sur la PKI permettent aux utilisateurs d’authentifier les certificats numériques qui renferment une clé publique permettant de chiffrer et d’authentifier cryptographiquement des données. Toutes les formes de données sensibles reposent sur la PKI. Dans le monde, GlobalSign figure parmi les grands fournisseurs technologiques de solutions de sécurité basées sur des PKI, ce dont nous sommes particulièrement fiers. Maintenant le contexte posé, revenons sur les principaux points à retenir de cette enquête.

Pourquoi la PKI ?

Avant toute chose, nous souhaitions notamment savoir quels étaient les types de PKI ou solutions basées sur des certificats utilisés par les participants. Nous avons découvert sans surprise que près de 75 % des personnes interrogées utilisent des certificats SSL ou TLS publics tandis que près de la moitié s’en remet à des certificats SSL et TLS privés. Si un tiers des participants (30 %) nous a déclaré utiliser des certificats pour les signatures numériques, ils étaient légèrement moins nombreux à utiliser une PKI pour le chiffrement S/MIME de leurs e-mails. Le S/MIME (Secure/Multipurpose Internet Mail Extensions) est un protocole communément admis pour envoyer des messages signés numériquement et chiffrés. C’est également un moyen fiable de protéger les utilisateurs de courrier électronique contre le phishing (ou hameçonnage en français). Face à la prolifération des attaques de phishing à travers le monde, il est somme toute logique qu’une telle solution de sécurité d’entreprise rencontre un succès croissant.

Nous nous sommes également penchés sur les raisons qui poussent, à la base, les entreprises à choisir les technologies basées sur la PKI. Plus de 30 % des personnes sondées ont évoqué l’évolutivité (scalability) pour l’Internet des Objets (IoT) et 26 % considèrent que la PKI peut être appliquée à un large éventail de secteurs. L’utilisation de la PKI pour garantir l’intégrité des données a été citée par 35 % des personnes interrogées.

Principales difficultés inhérentes à l’implémentation d’une PKI

Malgré les atouts indéniables de la PKI pour une organisation, la technologie est complexe. Sa mise en œuvre peut donc présenter certaines difficultés. Nous avons demandé aux participants à notre enquête ce qu’ils pensaient des difficultés que pose l’implémentation d’une infrastructure PKI. Sans grande surprise, les organisations d’aujourd’hui évoquent le manque de ressources informatiques internes comme l’un de leurs principaux problèmes. Il y a tout simplement pénurie de collaborateurs qualifiés pour assurer la gestion de la PKI. En outre, 17 % des participants à l’enquête ont fait état de délais de déploiement particulièrement longs pour les projets de PKI et près de 40 % ont souligné l’aspect chronophage des opérations d’assignation et de gestion du cycle de vie.

Cette enquête nous a également appris que certaines entreprises continuent à utiliser leur propre autorité de certification interne, malgré la pression que cela fait peser sur leurs ressources informatiques. On comprend donc le succès croissant des approches axées sur l’automatisation et les services gérés. L’enquête de GlobalSign sur les PKI a également mis en évidence un usage croissant des signatures numériques. Plus de 50 % des participants à l’enquête ont déclaré faire un usage intensif des signatures numériques pour protéger l’intégrité et l’authenticité de leurs contenus. Quant à leurs motivations en faveur des signatures numériques, 53 % des participants à l’enquête ont évoqué la conformité réglementaire comme facteur déterminant, alors qu’ils étaient 60 % à citer la protection de l’environnement (notamment la suppression du papier). Autre raison majeure avancée pour justifier le passage aux signatures numériques : le gain de temps, mais aussi la possibilité de raccourcir les délais de traitement des documents notamment grâce à l’utilisation de la technologie PKI.

L’essor du DevOps

Notre enquête ne serait pas complète si nous n’avions pas posé de questions sur le DevOps, un marché qui devrait représenter près de 13 milliards de dollars d’ici 2025. Malgré la déferlante DevOps sur le secteur du logiciel avec ses processus métier automatisés et son agilité, la réalité doit prendre en compte les risques de sécurité que pose cette approche. Dans l’état actuel des choses, l’acquisition de certificats en environnement DevOps est un processus délicat, chronophage et sujet à erreurs. Les développeurs et les entreprises sont ainsi confrontés aux problèmes suivants : – Une explosion du nombre de clés et de certificats utilisés comme identité de machine sur les répartiteurs de charge, les machines virtuelles, les conteneurs et les Service Mesh. Or, sans les technologies adéquates, le suivi des identités utilisées pour les machines peut rapidement devenir chaotique, coûteux et risqué. – Des certificats faibles ou arrivant subitement à expiration en l’absence des mécanismes d’application des règles et de contrôle appropriés. Inutile de rappeler l’importance de l’impact de telles interruptions de services pour les entreprises.

GlobalSign propose heureusement une solution de PKI pour DevOps qui peut être directement intégrée à une API REST ou EST, ou avec Venafi Cloud afin que votre équipe de développement puisse continuer à avancer rapidement sans sacrifier la sécurité.

Aujourd’hui, la PKI constitue l’un des fondements technologiques majeurs de la sécurité, et devrait le rester encore longtemps, comme le confirment les données recueillies lors de notre enquête en 2019 (voir infographie ci-dessous). Au vu de l’explosion à laquelle nous assistons dans le secteur des IoT et IIoT, les déploiements de PKI devraient, d’après nous, se multiplier en 2020. Curieux d’en savoir plus sur l’utilisation que d’autres entreprises font des solutions PKI pour relever les défis de sécurité et préparer l’avenir ? Contactez vite l’un de nos experts en sécurité pour en discuter.




Voir les articles précédents

    

Voir les articles suivants