Comment améliorer votre crypto-agilité

À l’heure où les objets connectés se multiplient et où l’avènement des ordinateurs quantiques se profile à l’horizon, la “crypto-agilité” d’une entreprise et sa capacité à protéger ses équipements/applications sont essentielles au renforcement et au maintien de sa sécurité, aujourd’hui comme demain. Cet article vous invite à découvrir les clés d’une entreprise crypto-agile.

Quasiment toutes les entreprises obéissent au même mot d’ordre : l’agilité. Cette faculté à s’adapter rapidement aux évolutions du marché constitue à la fois un levier de compétitivité et un filet de protection en cas de revers. L’information étant le poumon de l’entreprise, les RSSI ont pour mission de protéger ce précieux capital en sécurisant les connexions entre les systèmes IT internes et les équipements externes. Car dans tout échange inter-systèmes, le chiffrement doit faire partie des bonnes pratiques de base. En ce sens, votre organisation devra imposer l’usage de liaisons chiffrées pour protéger vos données en transit, tant en interne que vers des systèmes externes. Avec la prolifération des appareils connectés, l’agilité d’une entreprise se mesure désormais aussi à sa crypto-agilité.

Le manque de visibilité limite l’agilité
Une problématique récurrente pour la plupart des professionnels de la sécurité est leur manque de visibilité sur l’usage du chiffrement dans leur infrastructure IT. Habitués à dresser l’inventaire du portfolio logiciel de leur entreprise, ces spécialistes doivent donc appliquer les mêmes pratiques à tous les appareils connectés.

Parmi les technologies de chiffrement les plus répandues aujourd’hui figurent les certificats TLS/SSL. Leur mission : établir des liaisons sécurisées entre les navigateurs, les serveurs et un nombre sans cesse croissant d’équipements et d’applications connectés.

Un certificat TLS s’appuie sur un chiffrement symétrique et asymétrique via une infrastructure PKI (Public Key Infrastructure). Celle-ci rassemble tous les matériels, logiciels, politiques, procédures et ressources humaines nécessaires à la gestion des certificats numériques (création, distribution, usage, stockage, révocation, etc.). Une infrastructure PKI permet également d’assujettir des clés à des identités utilisateurs par le biais d’une Autorité de certification (AC). Elle bénéficie par ailleurs des avantages associés aux deux types de chiffrement. Exemple : dans les communications TLS, le certificat TLS du serveur contient une paire asymétrique de clés publiques et privées. La clé de session créée par le serveur et le navigateur durant la négociation TLS (handshake) est quant à elle symétrique.

Crypto-agilité : démêler le vrai du faux
Une entreprise crypto-agile sait exactement où les technologies de chiffrement sont déployées dans son environnement (protocoles, bibliothèques, algorithmes, certificats, etc.) et la manière dont elles sont exploitées. Elle peut également identifier et résoudre les problèmes rapidement. Être crypto-agile, c’est aussi pouvoir remplacer systématiquement tout algorithme obsolète grâce à l’automatisation.

En revanche, la crypto-agilité ne se limite pas à utiliser différents algorithmes pour des fonctions critiques (hachage, signature, chiffrement, etc.), ni à choisir l’algorithme (SHA-1, SHA-256, etc.) à utiliser pour un cas particulier.

Bien que sa longueur offre une meilleure protection contre les tentatives de cassage, l’algorithme SHA-2 présente les mêmes faiblesses que son prédécesseur, le SHA-1. Quant à l’algorithme SHA-3, déjà désigné comme le successeur du SHA-1 et du SHA-2, il n’est pour le moment pris en charge par quasiment aucun logiciel ou matériel.
Tenter de déployer les bons algorithmes aux bons endroits peut constituer un véritable défi qui rend la crypto-agilité particulièrement difficile à atteindre. La plupart des transitions cryptographiques se produisent à l’échelle d’Internet. C’est pourquoi la migration d’un algorithme cryptographique à un autre nécessite une collaboration étroite avec tous vos fournisseurs.

Quelques bonnes pratiques en matière de crypto-agilité :

  • Définition et communication de règles claires
  • Inventaire des “crypto-assets”, c’est-à-dire toutes les ressources cryptographiques déployées
  • Identification des “crypto-vulnérabilités” (internes et externes)
  • Évaluation de nouveaux algorithmes cryptographiques
  • Remplacement rapide de clés et certificats vulnérables
  • Maintien d’un référentiel d’informations de propriété
  • Automatisation de la gestion
  • Automatisation du suivi des remplacements

La première étape vers la crypto-agilité consiste à créer et à communiquer clairement les règles de bonnes pratiques TLS (pour plus d’infos sur les bonnes pratiques TLS, contactez votre conseiller DigiCert). Une fois ces règles établies, l’étape suivante sera d’inventorier tous les “crypto-assets” à l’aide par exemple d’une plateforme de gestion des certificats dotée d’une fonction de recherche avancée (pour plus d’infos sur la recherche de certificats, consultez la documentation CertCentral). Une fois que vous disposez d’une visibilité et d’un contrôle sur tous vos crypto-assets, vous pourrez tester de nouveaux algorithmes et/ou remplacer les clés vulnérables – le tout, sans compromettre la sécurité de l’entreprise ni perturber les processus critiques.

À mesure que vous gagnez en visibilité et en contrôle, et pouvez basculer librement d’une technologie à une autre, votre attention se portera sur le maintien de cette crypto-agilité. Pour cela, vous devrez vous assurer que les personnes ou les départements concernés assument la responsabilité de leurs crypto-assets respectifs et d’en automatiser autant que possible la gestion (par ex. les certificats TLS) pour garantir leur suivi et leur remplacement même en cas d’absence des administrateurs.

Être crypto-agile, c’est aussi faire en sorte que tous vos fournisseurs hardware puissent rapidement mettre à jour leurs équipements. D’où l’importance de collaborer avec des fournisseurs sensibles aux enjeux de sécurité. Un fournisseur réputé pour être lent à déployer des mises à jour de sécurité constituera un risque. En revanche, vous minimiserez les risques et améliorerez votre crypto-agilité si vous optez pour des fournisseurs qui effectuent des mises à jour régulières, vous informent sur les technologies de chiffrement qu’ils utilisent et supportent les algorithmes les plus récents. Votre entreprise pourra ainsi se montrer plus réactive en cas de menaces de grande envergure et limiter les dommages potentiels.

Vos fournisseurs (par ex. hardware/software), vos partenaires commerciaux et vos fournisseurs de services externes doivent être clairs sur la manière dont ils entendent accompagner votre projet. Érigez en principe immuable le recours exclusif à des fournisseurs qui ne travaillent qu’avec les dernières technologies de chiffrement. À cette exigence, vous pourrez ajouter celle de supporter les nouveaux standards et algorithmes dans des délais raisonnables. La mise à niveau des logiciels et des firmwares doit également s’effectuer de manière fluide et dans des délais raisonnables. Vous remplacerez ainsi rapidement tout ce qui se rapporte aux technologies de chiffrement d’ancienne génération et rend votre entreprise vulnérable. Cette même approche devra s’appliquer aux mises à jour logicielles effectuées à distance. Toutefois, aucun problème ne devrait se poser si vous avez pris les mesures nécessaires pour maintenir la visibilité et le contrôle et automatiser la gestion de vos crypto-assets.

Dernier point : vous devez commencer à réfléchir à l’arrivée prochaine de l’informatique quantique et à ses répercussions profondes sur votre infrastructure IT. L’informatique quantique va faire exploser la puissance de calcul des ordinateurs. De la recherche sur le cancer à la fluidification du trafic dans les grandes villes, elle promet de totalement réinventer notre manière d’aborder les choses. Mais l’ère quantique soulève aussi de grosses problématiques de sécurité.

Aujourd’hui, les appareils connectés s’appuient sur les algorithmes RSA ou ECC pour protéger la confidentialité, l’intégrité et l’authenticité des communications électroniques. Les navigateurs web utilisent également les standards RSA et ECC pour établir des connexions sécurisées sur Internet ou valider des signatures numériques. Mais selon le NIST et d’autres observateurs, les ordinateurs quantiques pourraient bien arriver en masse dans les dix ans à venir, rendant ainsi vulnérables les clés publiques RSA et ECC utilisées actuellement.

Les avantages et les risques de l’informatique quantique concernent pratiquement tous les secteurs d’activité, à commencer par la santé, l’énergie, l’industrie et les services financiers. L’ère de l’informatique quantique n’est peut-être pas pour demain, mais c’est une question à laquelle il faut réfléchir dès maintenant pour améliorer votre crypto-agilité, aujourd’hui comme demain.

Réflexions finales :

  • Des technologies de chiffrement capables de protéger les mises à jour logicielles distantes (signatures basées sur un hachage) existent et doivent être déployées.
  • Les logiciels pourront ainsi être mis à jour avec les algorithmes post-quantiques approuvés par le NIST, une fois ces derniers disponibles.
  • Des technologies déjà sur le marché permettent non seulement de migrer vers les algorithmes post-quantiques de demain, mais aussi d’améliorer la réactivité de votre entreprise face aux problématiques cryptographiques à venir.
Posted in Crypto-Agility, PKI, SSL