Désintégration du périmètre d’entreprise

Les évolutions technologiques conduisent les professionnels de l’IT à repenser totalement la sécurité du périmètre d’entreprise. Fini l’époque où les technologies opérationnelles (OT) étaient à l’abri derrière les murs épais des usines. Depuis leur connexion à Internet, machines-outils, infrastructures industrielles, centrales électriques, appareils médicaux et autres chaînes de production alimentaire sont devenus la proie des cyberattaquants. La migration des applications et des services dans le cloud a pour sa part ouvert le voie vers de nouveaux modèles d’accès utilisateur, l’orchestration à la demande, les systèmes sans serveur et les architectures data distribuées. Quant aux appareils, leur nombre a explosé. Désormais, les collaborateurs tendent à se connecter au réseau de leur employeur sur leur équipement personnel (smartphones, tablettes, ordinateurs ou véhicules géolocalisés). Face à toutes ces transformations qui remettent en question la notion même de périmètre d’entreprise, les organisations remettent à plat tous les principes régissant la sécurité des utilisateurs, des applications et de l’entreprise.

Redéfinition des accès aux applications et équipements IT

Pour pallier la disparition de frontières physiques et virtuelles démarquant clairement les zones de confiance du monde extérieur, nombre d’entreprises se tournent vers une stratégie de sécurité Zero Trust, dont le mot d’ordre est : « ne jamais faire confiance, toujours vérifier ». Concrètement, cette approche exige l’authentification de tous les accès aux réseaux, applications et services. Pour les responsables de la gestion des identités et des accès (IAM), le Zero Trust se traduit par une pression extrêmement accrue :

• Nombre croissant de points d’accès à authentifier
• Hausse du volume d’authentifications
• Multiplication des types d’authentification (ex. : biométrique ou sans mot de passe)

Gestion de l’identité, de l’intégrité et du chiffrement

Dans un environnement où le périmètre a disparu, le nombre et le type d’objets à sécuriser augmentent également. Par conséquent, le rôle de l’administrateur PKI dépasse largement le cadre de la sécurité TLS des sites web pour s’étendre à de nouveaux cas d’usage dont le nombre augmente chaque jour :

• Identités des serveurs et utilisateurs d’appareils
• Méthodes d’authentification et d’enrôlement en pleine expansion
• Intégrité des signatures numériques, documents, contenus et logiciels, avec pistes d’audit à des fins de remédiation
• Communication chiffrée et sécurisée
• Sécurisation des e-mails

À l’heure où se multiplient les cas d’usage de la PKI, la période de validité des certificats de confiance publique, elle, tend à se raccourcir. Qui dit validité plus courte, dit certificats plus sûrs, mais aussi accroissement de la charge administrative et augmentation du risque de perturbations de l’activité. D’où l’intérêt croissant pour les solutions de gestion PKI qui facilitent la gouvernance de cet environnement PKI en pleine expansion.

Sécurisation des objets connectés

Qu’il s’agisse d’appareils personnels se connectant à un réseau ou de technologies opérationnelles (OT) accessibles en ligne, les objets connectés augmentent la surface d’attaque à protéger. En conséquence, outre la question du provisionnement de l’identité des appareils, les administrateurs réseau et de la sécurité OT doivent plancher sur les multiples questions qui entourent la sécurisation des équipements opérationnels : protection de l’intégrité des appareils contre les tentatives de violation, sécurisation des communications M2M, gouvernance des connexions au réseau, consolidation du parc d’équipements anciens et nouveaux en vue d’une authentification mutuelle, veille des menaces, etc. Quant aux responsables en charge de la sécurité du développement et de l’assemblage de solutions produits intégrant de multiples composants, ils doivent prendre en compte la surface à protéger et les acteurs impliqués tout au long du cycle de vie de ces produits (fournisseurs de semi-conducteurs, fabricants d’appareils, développeurs d’applications, opérateurs, utilisateurs).

Confiance numérique : le modèle de sécurité de l’entreprise sans périmètre

Standards, conformité et opérations, gestion de la confiance, et confiance connectée : telles sont les quatre grandes composantes de la confiance numérique. Ensemble, elles constituent le socle technologique garant de la sécurité des entreprises dans un monde où le périmètre d’entreprise n’est plus là pour distinguer ce qui est fiable de ce qui ne l’est pas. Les solutions de confiance numérique fournissent aux organisations les clés pour :

Gérer les identités

• Provisionner des identités de confiance aux utilisateurs, appareils, serveurs et autres ressources pour répondre aux besoins d’authentification des utilisateurs, réseaux et appareils
• Gérer et automatiser le cycle de vie des certificats et des workflows d’accès pour répondre à l’augmentation des besoins IT et réduire le risque d’erreurs humaines

Gérer l’intégrité

• Gouverner l’intégrité pour éviter toute répudiation des signatures, documents et contenus
• Garantir l’intégrité des logiciels pour susciter le confiance des utilisateurs finaux et des opérateurs cloud et réseau

Sécuriser les connexions et les opérations

• Protéger les communications des utilisateurs et de machine à machine (M2M)
• Sécuriser le cycle de vie des appareils permet de maintenir la confiance au fil de leur exploitation opérationnelle et des mises à jour

Identifier et corriger les vulnérabilités

• Surveiller les ressources cryptographiques en permanence au sein de l’environnement d’entreprise pour identifier et corriger les failles

À l’heure où la disparition du périmètre d’entreprise traditionnel remodèle les besoins de sécurité au sein des différents départements IT, les initiatives de confiance numérique à l’échelle de l’entreprise permettent d’instaurer une approche de sécurité complète et unifiée.

Contactez DigiCert

Notre plateforme de confiance numérique vous intéresse ? Écrivez-nous à pki_info@digicert.com pour en savoir plus ou pour prendre rendez-vous avec un conseiller commercial.