Si l’enquête révèle des avancées sur certains points, le besoin d’une sensibilisation se fait toujours ressentir pour que les identités machine soient utilisées avec le plus d’efficacité possible afin de protéger les activités en ligne :

Le protocole TLS v1.2 a été moins utilisé (-13%) au cours des six derniers mois, la version v1.3 étant exploitée par près de 50% des sites, soit au moins deux fois plus que la version v1.2. L’adoption de la version v1.3 est favorisée par les nouveaux stacks cloud native qui l’utilisent par défaut, les très nombreux programmes de transformation digitale et la migration vers le cloud.
Bien que les organisations adoptent des protocoles TLS plus forts, elles ne pensent pas à les associer à des clés plus sécurisées pour les identités machine TLS.
Les clés ECDSA qui sont la norme au sein de l’industrie sont désormais utilisées par 17% des sites web, contre 14% il y a six mois. Les clés RSA plus lentes et moins sécurisées sont toujours en service chez 39% du million de sites web passés au crible.

L’adoption du protocole HTTPS stagne à 72% depuis décembre.

« Le fait que les entreprises déploient le protocole TLS v1.3 avec des identités machine en duo avec des clés RSA, montre qu’il reste une belle marge de progression en matière de gestion des identités machine. Un algorithme fort sera inutile s’il est associé à une clé faible, car cela revient à bâtir une forteresse en pierres en laissant son pont-levis en bois grand ouvert et sans aucun garde », explique Scott Helme, expert en sécurité et fondateur de Report URI. « L’adoption de clés EDCSA plus récentes, plus efficaces et plus sécurisées a été négligeable ces six derniers mois. Ceci, cumulé avec le phénomène de plateau atteint par l’adoption du protocole HTTPS sur la même période, montre que l’internet n’est pas plus sécurisé qu’il y a six mois. Sachant que les cybercriminels redoublent constamment d’ingéniosité, il est bien désolant de constater que les entreprises ne font rien pour mieux se protéger ».

L’autorité de certification (CA) Let’s Encrypt reste celle privilégiée par le million de sites concernés par l’étude, mais Cloudflare gagne du terrain. Une progression qui semble être à l’origine de l’adoption du protocole TLS v1.3, que 50% des sites web déploient via Cloudflare. Le recul des certificats à Validation étendue (EV), de 16% ces six derniers mois, se poursuit à la suite des modifications opérées par des éditeurs de navigateurs qui ont considérablement contribué à la décote de ces certificats auprès des propriétaires de sites web.

Les conclusions de l’enquête ne sont pas toutes négatives, laissant entendre que les organisations entreprennent de mieux gérer leurs parcs d’identités machine. Une hausse de 13% du nombre de sites utilisant un enregistrement CAA (Certificate Authority authorization), qui permet aux entreprises de définir les CA autorisées en leur sein, a été constatée depuis décembre. Cette adoption est un signe encourageant qui montre que les organisations prennent conscience de l’importance des identités machine pour leur sécurité globale et se montrent plus vigilantes quant à la manière dont elles les gèrent.

« Le récent boom de la migration vers le cloud montre que toutes les entreprises ont besoin de davantage d’identités machine TLS pour sécuriser les échanges entre appareil, clouds, logiciels, conteneurs et interfaces de programmation (API) », souligne Kevin Bocek, vice-président de Venafi en charge de la stratégie de sécurité et des études sur les menaces. « Le fait qu’un nombre croissant d’entreprises utilise des CAA est un signe positif montrant qu’elles sont plus sensibles à la nécessité de gérer correctement leurs parcs d’identités machine. L’adoption de CAA met quant à elle en exergue le besoin urgent d’un plan de contrôle des identités machine qui automatise leur utilisation au sein d’environnements cloud de plus en plus complexes ».