Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les entreprises ne parviennent pas à protéger aussi bien les clés et les certificats que les noms d’utilisateur et les mots de passe

décembre 2019 par Venafi

Venafi® annonce les résultats d’une étude comparant les contrôles de sécurité des identités humaines et machine. Cette étude a analysé les réponses de plus de 1 500 professionnels de la sécurité informatique issus d’entreprises de taille variée dans différents secteurs aux États-Unis, au Royaume-Uni, en France, en Allemagne et en Autriche.

Les personnes emploient des noms d’utilisateur et des mots de passe pour s’identifier auprès des machines afin de pouvoir accéder à des données et des services. Les machines doivent également s’authentifier entre elles de manière à pouvoir communiquer de manière sécurisée en s’appuyant sur des clés cryptographiques et des certificats numériques servant d’identités machine.

Afin de mieux comprendre l’écart entre la mise en œuvre de contrôles de sécurité des identités humaines et ceux des identités machine, Venafi a sponsorisé une étude visant à évaluer les contrôles de sécurité similaires pour chaque type d’identité. À titre d’exemple, à peine la moitié (54 %) des entreprises disposent d’une politique écrite concernant la longueur et le caractère aléatoire des clés des identités machine, mais 85 % d’entre elles appliquent une politique régissant la longueur du mot de passe des identités humaines.

L’étude a débouché sur d’autres conclusions :

• Moins de la moitié (49 %) des entreprises auditent la longueur et le caractère aléatoire de leurs clés, contre 70 % pour les mots de passe. Résultats à peu près identiques pour la France, avec respectivement 47 % et 73%.

• Seules 55 % des sociétés disposent d’une politique écrite indiquant la fréquence de modification des certificats, tandis que 79 % possèdent une politique équivalente pour les mots de passe. La France comptabilise quant à elle 59% des entreprises qui disposent d’une politique écrite indiquant la fréquence de modification des certificats, contre 85% sur les mots de passe.

• Seules 42 % des entreprises appliquent la rotation des certificats TLS, mais 79 % d’entre elles appliquent automatiquement la rotation des mots de passe. Mêmes résultats pour la France, 46% des entreprises appliquent la rotation des certificats TLS et 79% pour celle des mots de passe.

• Seules 53 % d’entre elles auditent la fréquence de modification obligatoire des certificats et des clés privées, contre 73 % pour les mots de passe. Résultats un peu supérieurs pour la France avec 59% des entreprises qui auditent la fréquence de modification obligatoire des certificats et des clés privés, contre 80% pour les mots de passe.

Cette année, les sociétés dépenseront plus de 10 milliards de dollars pour protéger les identités humaines, mais n’en sont qu’à un stade précoce en matière de protection des identités machine. Le nombre d’humains sur les réseaux d’entreprise demeure cependant relativement stable, tandis que celui des identités machines ayant besoin d’identités (machines virtuelles, applications, algorithmes, API et conteneurs) croît à une vitesse exponentielle. Les cybercriminels ont conscience de la puissance des identités machine et de leur protection insuffisante. C’est pourquoi ils les ciblent afin de les exploiter.

« Les identités sont largement perçues comme un élément clé du panorama des menaces », indique Kevin Bocek, vice-président du département de sécurité et d’analyse des menaces de Venafi. « Les identités machine constituent un point d’attaque relativement nouveau et très efficace, mais on observe un énorme écart entre les contrôles de sécurité portant sur les identités humaines et ceux appliqués aux identités machine. Il s’agit d’un problème, car l’avenir des entreprises numériques dépend fortement des machines. Les entreprises observent une croissance spectaculaire du recours aux conteneurs, à l’intelligence artificielle, aux microservices et aux appareils IdO, ainsi qu’aux machines dans les environnements cloud et virtualisés. Tous les acteurs, notamment les RSSI comme les architectes et les professionnels de sécurité, doivent privilégier la protection des identités machine pour assurer la réussite de la transformation digitale de leur entreprise. »




Voir les articles précédents

    

Voir les articles suivants