Vous noyez-vous dans votre propre réseau ?

novembre 2020 par Brian Trzupek, Vice-Président Senior pour les technologies émergentes chez DigiCert

Le réseau n’est plus aussi simple qu’il l’était. Là où, autrefois, un périmètre physique était géographiquement défini (construit « de briques et de mortier ») et étayé par une poignée de terminaux et de serveurs, les choses sont aujourd’hui bien plus complexes. A mesure que l’informatique d’entreprise a évolué, sa gestion, de plus en plus difficile, en a fait de même. En dépit des avantages apportés, chaque avancée technologique a créé de nouveaux problèmes.

Les réseaux modernes s’étendent hors de portée humaine directe, dans un foisonnement d’endpoints, d’appareils et d’utilisateurs. Au milieu de tout cet enchevêtrement, il est tout à fait possible qu’un composant reste exposé ou qu’on laisse traîner une information d’identification. Malheureusement, un seul des deux suffit à un attaquant pour faire tomber un réseau par ailleurs bien sécurisé.

Ce problème poursuit la sécurité d’entreprise depuis des années et s’est encore amplifié avec la transformation numérique.

Prenez les certificats numériques. Les administrateurs système doivent s’occuper de tonnes de certificats pour sécuriser les données. La supervision, le suivi et la gestion de toute cette charge de travail peuvent être très lourds pour bien des entreprises.

Ce ne sont pas des centaines de certificats identiques qui sont à traiter. Chaque certificat possède ses propres particularités, sa date d’expiration et les vulnérabilités de l’endpoint. Les administrateurs doivent souvent faire face à des certificats perdus ou oubliés qui arrivent parfois à expiration sans qu’ils le sachent, générant alors un temps d’arrêt critique pour l’entreprise en termes de résultat. Il peut s’agir de l’interruption des activités d’e-commerce ou d’une intrusion non détectée dans le réseau, comme on l’a vu lors du piratage d’Equifax. Cela entraîne des coûts additionnels en temps, en énergie et en budget, sans parler de la necessité de soumettre une nouvelle documentation, dans le cadre du processus de validation, pour chaque nouveau certificat public.

C’est une charge de travail importante et, alors que la transformation numérique développe l’infrastructure informatique de l’entreprise, le besoin en certificats, quant à lui, ne cesse de croître. Pendant que les entreprises sont aux prises avec ces difficultés, des adversaires peuvent alors en profiter. Tout ceci est vrai pour une panoplie de secteurs dans l’entreprise. Les déploiements d’IoT concernent généralement un grand nombre d’appareils et sont notoirement difficiles à gérer de manière cohérente. Au fur et à mesure que l’IoT explose dans les TIC de l’entreprise, leurs équipes doivent s’occuper de plusieurs problèmes similaires, distincts des vulnérabilités intégrées si courantes dont on parle tant.

De nombreux appareils IoT ne possèdent pas la puissance de calcul nécessaire pour gérer par eux-mêmes un chiffrement fort. Par ailleurs, l’utilisation de l’IoT progresse souvent plus rapidement que la montée en charge de sa sécurité. Et, avec les hordes d’appareils qui entrent en ligne chaque jour, la sécurité des entreprises peine à les gérer efficacement.

Des problèmes du même type abondent aussi à propos de l’identité des utilisateurs. Les fonctions et les privilèges d’accès prolifèrent bien au-delà de ce dont les utilisateurs ont réellement besoin, et des comptes fantômes - non surveillés et mis en place clandestinement - paralysent les organisations. Tout ceci est aujourd’hui un véritable casse-tête. Le fait est que le besoin de mise en place rapide d’une infrastrucure adaptée et d’implémentations expérimentales augmente de manière exponentielle avec le cloud computing. Les entreprises ont de plus en plus besoin de l’agilité du cloud computing et des flux CI/CD (Intégration Continue/Développement Continu) pour travailler et elles ont besoin de ce même type d’agilité pour les systèmes qui le sécurisent. Bien qu’il puisse concerner plusieurs secteurs de l’entreprise, ce problème met en lumière une difficulté commune : la gestion de l’infrastructure. Les entreprises ont besoin d’une architecture évolutive qui puisse s’adapter à la complexité d’un réseau moderne, tout en fournissant un moyen rapide d’intégrer des services de PKI à leurs processus fonctionnels. Et c’est à partir de là qu’elles pourront centraliser et automatiser la gestion des identités fortes, des certificats, et des appareils.

Les fabricants d’IoT doivent commencer à fournir et à intégrer une identité forte, le plus tôt possible au sein du cycle de vie de l’appareil, pour que les utilisateurs de l’entreprise puissent envisager de grandes implémentations d’IoT en déployant facilement ces identités. Il en va de même pour les identités des utilisateurs pouvant être rapidement déployées auprès d’importants effectifs, sans pour autant devenir une charge pour l’utilisateur. Tout ceci peut être réalisé en utilisant des plateformes de gestion centralisée, combinées à des PKI modernes permettant un déploiement rapide dans une variété d’environnements, que ce soit sur site, dans le cloud, pour la mise en conformité réglementaire ou pour toutes ces raisons à la fois.

Il serait tentant de baisser les bras face à la charge contraignante d’un réseau. Les entreprises font face à un travail difficile avec un périmètre sans vision directe et l’apparition chaque jour de nouveaux appareils, utilisateurs et identifiants. Mais, elles ne peuvent échapper à ce défi, quand bien même elles le voudraient. Des plateformes de gestion centralisée des PKI s’intégrant aux systèmes d’orchestration et de gestion des serveurs sont disponibles pour alléger leur charge de travail.