Les entreprises font face à un nombre croissant d’attaques ciblant les infrastructures de confiance. Avec les APT (Advanced Persistent Threats), les cybercriminels profitent de chaque exploit et cherchent les points de faiblesses des systèmes de sécurité. Les vulnérabilités les plus courantes et les plus connues comme les malware signés numériquement, la mauvaise gestion de clés et certificats et les méthodes cryptographiques faibles perdurent dans de nombreuses entreprises. Plus de la moitié (51%) des entreprises françaises consultées ont admis être au courant de ces problématiques majeures de sécurité, cependant peu d’entre elles agissent. Les cybercriminels exploitent la vulnérabilité des entreprises résultant d’un manque de gestion des certificats et clés pour pénétrer les réseaux d’entreprises, voler des données et des propriétés intellectuelles, voire même interrompre les opérations critiques de l’entreprise (chaines de production, etc.). Chacune des entreprises ayant participé au sondage admet avoir subi au moins une attaque de ce type au cours des 2 dernières années.

« Chaque entreprise et chaque administration en France s’appuie sur les clés et certificats cryptographiques pour pouvoir fonctionner. Ainsi, le défaut de gestion d’un seul certificat ou d’une seule clé pourrait occasionner des attaques graves ou des pannes inopinées de système », précise Calum Macleod, Evangéliste chez Venafi pour la région EMEA. « Les criminels comprennent à quel point il est difficile de maîtriser les infrastructures de confiance, et en s’abstenant de mettre en place les bons contrôles pour gérer ou sécuriser les certificats et clés, les entreprises se retrouvent exposées au risque de manière quotidienne. »

L’entreprise type du Global 2000 déploie en moyenne 17 807 certificats à travers son infrastructure. Si l’on prend les entreprises du Fortune 500 en France, cela représente de cinq ou six millions de clés et certificats en cours d’utilisation, créant ainsi une cible importante pour une attaque.

Ce rapport a également mis en évidence que 59 % des personnes consultées lors de l’enquête en France, ne savent pas combien de clés ou de certificats sont en cours d’utilisation à travers leurs infrastructures. Cela montre une tendance inquiétante : si la moitié des personnes interrogées connait l’impact d’une mauvaise gestion de certificats sur la sécurité, l’autre moitié n’avait aucune idée de combien de certificats circulent actuellement au sein de leur entreprise.

« Il est extrêmement préoccupant de savoir que tant d’entreprises sont conscientes des impacts qu’un défaut de gestion des clés et certificats peut avoir sur une entreprise, et qu’elles ne font pourtant rien pour combattre ce problème », poursuit Calum Macleod. « Tant que les entreprises n’agissent pas sur problème croissant, la menace et le coût des dégâts subis par les entreprises chaque année ne feront qu’augmenter. »