Pour les équipes chargées de gérer la confiance numérique au sein de leur entreprise, les dernières années n’ont pas été de tout repos. Adoption en masse du télétravail, prolifération des menaces, diversification des techniques d’attaque… les responsables réseau, IAM et SecOps doivent faire face à des défis de taille et à des transformations aussi brusques que profondes.
Dans certains domaines, notamment celui des certificats PKI, ces changements soudains et cette complexité accrue nous ont permis de comprendre à quel point des outils et processus obsolètes nuisent à la sécurité des entreprises.
Pendant plusieurs années, nous avons échangé avec des responsables d’équipes chargées de gérer les certificats PKI au sein de leur organisation. L’objectif : dresser un état des lieux précis de la confiance numérique dans le monde réel. Voici les résultats de notre étude.
*Enquête DigiCert 2021
« Personne n’a envie de recevoir un appel en pleine nuit annonçant une panne générale des systèmes. »
Les équipes doivent sans cesse composer avec des impératifs souvent contradictoires. Quel niveau de protection pour cette solution ou ce service ? Quel budget ? Combien de temps ? Comment s’assurer que tout fonctionne et continue de fonctionner parfaitement ? Pour peu que les délais soient très serrés, il leur faut alors trouver des ressources supplémentaires pour espérer livrer dans les temps. Mais ces ressources ont un coût qui grève leur budget. Elles doivent alors trancher dans le vif et rendre des arbitrages en faveur d’une priorité plutôt qu’une autre. Voilà pour la partie équilibriste.
Pendant ce temps, les imprévus s’enchaînent et chaque jour apporte son lot de mauvaises surprises. Les équipes passent alors en mode pompier. Une interruption de service à résoudre pour les techniciens réseau. La révocation manuelle des droits d’accès d’un salarié sur le départ pour l’équipe IAM. Occupés à éteindre tous ces départs de feu, les collaborateurs délaissent leurs autres projets. La sécurité se résume alors à résoudre les problèmes au fur et à mesure qu’ils se présentent, alors que vous tentez tant bien que mal de trouver des solutions proactives dans tous les domaines sous votre responsabilité.
Le raccourcissement des périodes de validité des certificats augmente la fréquence des renouvellements, obligeant votre équipe à faire preuve de la plus grande vigilance.
Avec l’expansion de l’infrastructure de l’entreprise, de nombreux départements se procurent leurs propres certificats à l’insu de l’équipe IT.
« Dans l’idéal, votre infrastructure se gèrerait toute seule. En cas de problème, tout ce que vous voulez, c’est qu’une solution soit déployée automatiquement et que vous en soyez simplement informé. »
L’humain est votre capital no 1. Mais vos collaborateurs ne sont pas des machines. Ils doivent dormir de temps en temps. Ils font parfois des erreurs. Ils n’ont pas tous la même formation, la même expérience, le même style, le même bagage technique. Enfin, les tâches manuelles alourdissent leur charge de travail et les empêchent de se concentrer sur leurs autres missions.
Les équipes chargées de superviser des infrastructures larges et complexes s’appuient encore trop souvent sur des tableurs et des e-mails pour gérer leur portfolio de certificats. Et même si elles se montrent réactives, un simple incident peut vite se transformer en interruption de service, en perturbation des opérations et en dégradation de l’expérience client et collaborateur.
L’automatisation apporte un début de solution, mais bon nombre d’outils de gestion automatisée des certificats viennent se superposer à votre portfolio de certificats sans s’y intégrer vraiment. Ces produits tiers sont certes compatibles avec toutes les AC, mais ils doivent être configurés manuellement et n’offrent que des capacités de workflows limitées, pour un prix élevé. Et si vous choisissez de développer vos propres API pour leur intégration, ou de recourir à plusieurs solutions pour gérer différents cas d’usage, vous ne faites alors que déplacer la charge de travail et reperdez tout le temps gagné grâce à ces outils. Quand nous vous disions que la sécurité était un véritable exercice d’équilibriste…
Les AC gratuites n’offrent que des capacités extrêmement limitées et les PKI « maison » manquent de flexibilité pour s’adapter aux changements.
À l’heure actuelle, le temps de reprise standard après un problème de certificat se compte en heures, alors qu’il ne devrait être que de quelques minutes.
« Ce qu’il y a de drôle avec les technologies intelligentes, c’est qu’elles ne sont intelligentes que jusqu’à un certain point. »
Chaque équipe a ses propres méthodes de supervision. Pour que vos certificats fonctionnent comme il se doit, vous devez utiliser des outils adaptés à vos cas d’usage et à vos ressources. Or, quand il s’agit de gestion, d’automatisation, de notification ou d’intégration, bon nombre de logiciels ne tiennent tout simplement pas leurs promesses, ou n’offrent qu’une partie des capacités nécessaires.
Vous avez alors deux options. La première, acheter différents outils de gestion des certificats et des AC pour couvrir tous vos cas d’usage, mais cela coûte cher. La seconde, vous n’avez pas le budget et vous finissez par utiliser des solutions hétérogènes et concevoir vos propres outils et processus en fonction de vos besoins. Cette deuxième option est certes plus économique en théorie, mais elle demande davantage de temps et d’efforts de conception et de gestion. Les AC internes nécessitent une expertise en PKI pour garantir la bonne configuration des certificats et n’offrent aucune fonctionnalité d’automatisation. Elles requièrent donc plus de travail de la part de vos équipes et peuvent potentiellement créer des problèmes en aval.
Les logiciels de gestion « toutes AC » manquent de fiabilité et de résilience.
Les solutions disponibles sur le marché intègrent rarement tous les workflows dont une équipe a besoin.
« Les entreprises cherchent de nouveaux moyens de réduire leurs dépenses tout en poursuivant leur croissance. Elles doivent pour cela se montrer créatives et faire plus avec moins. »
Alors que les menaces prolifèrent et que les incidents se multiplient, les moyens humains et financiers mobilisés sont loin d’être à la hauteur des risques encourus. Difficile de se montrer proactif, de réduire le risque et de simplifier les opérations avec des budgets en berne et des effectifs stagnants.
Sans compter que l’univers du numérique ne cesse de s’étendre et de se complexifier, tant à l’échelle macro que micro. Aujourd’hui, tout est connecté. La séparation entre les différentes équipes n’est plus aussi franche qu’avant et le périmètre des organisations est parfois nébuleux. Au point qu’il est souvent compliqué de tracer une frontière claire entre les différentes entités. Plus votre portfolio de certificats est volumineux, plus vos équipes devront passer du temps à le gérer… et plus elles risqueront de ne pas voir d’éventuels problèmes, surtout si elles utilisent des processus lents ou manuels. Or, dans un contexte marqué par des menaces omniprésentes et des connexions complexes, le risque ne concerne pas seulement votre équipe mais toute l’organisation.
En 2023, les budgets IT ne seront pas suffisants pour compenser l’inflation.
Depuis plusieurs années déjà, les responsables IT citent la pénurie de talents comme le principal frein à leurs initiatives tech.
Les organisations en général, et les grandes entreprises en particulier, doivent repenser la manière dont elles utilisent et gèrent leurs certificats. Complexité de l’écosystème numérique, multiplication des cas d’usage PKI, prolifération des menaces… les équipes réseau, SecOps ou IAM ont besoin de solutions capables de garantir une confiance permanente à tous les niveaux. Et ces outils doivent fonctionner aussi bien dans la pratique que dans la théorie.
Nos entretiens avec les responsables de ces équipes nous ont permis de mettre en lumière les quatre caractéristiques essentielles d’une solution de gestion des certificats :
Disposez-vous d’un référentiel centralisé pour la recherche et l’inventaire de tous vos certificats ?
Avez-vous mis en place un système multicanal fiable pour informer les collaborateurs concernés d’éventuels problèmes ?
Bénéficiez-vous d’intégrations solides sans avoir à développer un logiciel vous-même ou à acheter des licences ?
Le turnover au sein de vos équipes IT a-t-il diminué en 5 ans ?
Pouvez-vous surveiller facilement le nombre de connexions aux AC ?
Faites-vous appel à moins de deux fournisseurs pour votre infrastructure PKI ?
Vos équipes IAM et réseau collaborent-elles efficacement sur les questions de sécurité ?
Avez-vous réduit le nombre de solutions et processus de digitalisation au cours des dernières années ?
Avez-vous déployé des solutions pour ne plus avoir à concevoir et à gérer vos propres AC et PKI privées ?
Avez-vous mis en place des outils d’automatisation pour vos réseaux, appareils et utilisateurs ?
Chaque réponse négative est le signe d’une gestion des certificats potentiellement dépassée qui augmente votre exposition au risque.
La gestion du cycle de vie des certificats telle que les équipes IT la pratiquent depuis des années ne résout pas les problématiques évoquées ici. Pour attaquer de front la complexité et les risques en présence, les outils nouvelle génération doivent allier CLM et services PKI au sein d’une solution « full-stack » offrant à vos équipes toutes les intégrations et configurations dont elles ont besoin pour personnaliser, automatiser et gérer le portfolio de certificats.
La CLM n’est pas appelée à disparaître mais simplement à évoluer vers la TLM (Trust Lifecycle Management), une approche de gestion de la confiance complète, automatisée et prête pour le monde réel.
Découvrez comment DigiCert® Trust Lifecycle Manager vous aide à éliminer les risques liés aux méthodes CLM obsolètes. DEMANDER UNE DÉMO>
© 2023 DigiCert, Inc. Tous droits réservés. DigiCert est une marque déposée de DigiCert, Inc., aux États-Unis et dans d’autres pays. Les autres marques et marques déposées peuvent être des marques commerciales de leurs détenteurs respectifs.