Secu
La Cryptographie : ce pilier essentiel mais négligé de la stratégie cyber
Par La rédaction, publié le 06 août 2024
Composante essentielle de la stratégie cyber, la cryptographie ne se place pas encore dans les principales priorités des DSI. En effet, elle est encore trop souvent gérée de manière éparse et désordonnée, là où un pilotage moderne et unifié est nécessaire. Et pourtant, les professionnels sont conscients de son importance, que cela soit pour protéger les actifs de l’entreprise en chiffrant des données au repos et en transit, ou comme brique fondamentale permettant d’assurer l’authentification des personnes et des machines, à travers des mots de passe et des certificats.
Par Carlos Aguilar Melchor, chief scientist, cybersécurité, Sandbox AQ
La cryptographie est bel et bien une composante indispensable pour garantir la sécurité des infrastructures numériques à long terme. C’est un incontournable, qui nécessite aussi une gestion de tous les outils mis en place par l’entreprise elle-même ou hérités des logiciels installés dans le système d’information. Cela soulève plusieurs questions cruciales, comme la protection des secrets et l’identification des algorithmes et librairies utilisés. Pour les premiers, il est effectivement essentiel de garantir leur actualisation régulière, de suivre leur utilisation et localisation, et de les protéger pour éviter une utilisation frauduleuse. Pour les algorithmes et les librairies, il faut pouvoir identifier rapidement les composants affectés par des vulnérabilités pour les isoler ou remplacer, mais aussi tout simplement être capable de les énumérer, pour prouver la conformité aux réglementations.
Pourtant, bien qu’elle soit omniprésente, la cryptographie est souvent invisibilisée et laissée au bon vouloir de différents fournisseurs ; parfois, elle est même complètement délaissée ! Qui peut aujourd’hui se targuer de savoir précisément quels algorithmes sont utilisés, à quels endroits et la manière dont ils sont gérés ?
L’inefficacité de la gestion de la cryptographie pose un risque opérationnel et financier
En 2023, l’Agence de l’Union européenne pour la cybersécurité (ENISA) a pour la première fois mis en lumière les défis liés à la gestion de la cryptographie. Le constat est sans appel : les nombreuses solutions de cryptographie utilisées au sein des entreprises rendent très complexes la gestion des clés et des certificats. Chaque système ou application peut utiliser une méthode différente, nécessitant une surveillance et une maintenance constantes. Cette complexité accrue augmente non seulement le risque d’erreurs humaines, mais aussi la probabilité de failles de sécurité. Les administrateurs doivent alors jongler avec plusieurs interfaces et protocoles, ce qui rend difficile la détection et la correction rapide des vulnérabilités. Une telle situation est une porte ouverte aux cyberattaques, mettant en danger les données sensibles, voire la réputation des entreprises.
C’est donc l’inefficacité opérationnelle qui est pointée du doigt. La fragmentation des solutions entraîne de fait une gestion morcelée et surtout manuelle. Et donc du temps consacré à ces tâches sans valeur ajoutée, sans compter le risque d’erreurs potentielles, au lieu de se consacrer à la prévention des menaces et la réponse aux incidents. Tout cela dans un contexte tendu vis-à-vis des spécialistes de la sécurité, difficiles à former et recruter.
Cette approche entraîne inévitablement des coûts cachés considérables, tant sur le plan financier qu’opérationnel, mettant en péril la sécurité et l’efficacité des systèmes d’information. Il est alors temps pour les entreprises de prendre conscience de ces enjeux et d’adopter une gestion plus intégrée et automatisée de la cryptographie.
La nécessité d’adopter des solutions de gestion centralisées
L’investissement dans une solution de gestion centralisée et automatisée de la cryptographie (en anglais Unified Cryptography Management, ou UCM) se réalise certes sur le long terme, mais avec des bénéfices qui surpasseront largement les dépenses. On peut ainsi dégager 4 phases d’implémentation d’une telle solution :
1 – Cartographie des actifs cryptographiques
2 – Gestion des cycles de vie
3 – Automatisation de la gestion
4 – Centralisation et visualisation globale des actifs
Outre l’amélioration de l’efficacité opérationnelle, les bénéfices d’une telle démarche sont nombreux, à commencer par la diminution des risques de failles de sécurité. De plus, elle permet de se prémunir face à une potentielle non-conformité réglementaire. En matière de cryptographie, les entreprises sont, en effet, de plus en plus soumises à des exigences strictes en matière de protection des données et de sécurité. Une solution centralisée facilitera ainsi les audits et les rapports, offrant une transparence accrue vis-à-vis des régulateurs notamment.
L’actuelle fragmentation de la gestion de la cryptographie nécessite donc d’être revue et corrigée. L’évolution rapide des menaces cyber nécessite une meilleure agilité et réactivité de la part des entreprises. Au fil des années, les cybermenaces évoluent et deviennent de plus en plus critiques, nécessitant une vivacité toujours plus élevée. Parallèlement, les réseaux des entreprises se complexifient eux aussi, avec l’intégration de technologies comme les SD-WAN ou les réseaux 5G. Le tout formant donc une équation de plus en plus nébuleuse.
Face à ces défis, l’automatisation et la centralisation des solutions de gestion de la cryptographie apparaissent comme des solutions incontournables. L’adoption d’une plateforme unique et intégrée permet de réduire la complexité de la gestion des mots de passe, des clés et des certificats, mais aussi des librairies et algorithmes utilisés par différents clients et serveurs fortement interconnectés. Pour l’entreprise, c’est la promesse d’une vue d’ensemble cohérente et simplifiée des actifs cryptographiques facilitant la surveillance, la maintenance et la mise à jour des systèmes.
Mieux sécuriser pour aujourd’hui… et pour l’avenir
Il paraît désormais essentiel pour les entreprises de prendre conscience de ces enjeux et d’investir dans des solutions de gestion centralisée et automatisée de la cryptographie. Et ce à double titre : sécuriser les actifs de manière immédiate, mais également se préparer à l’avenir.
Comme l’indiquait déjà l’ANSSI en 2022, les cybercriminels peuvent dérober et stocker des données sensibles chiffrées aujourd’hui et pourront briser les systèmes de chiffrement actuels dans un futur proche puis utiliser ces données à des fins malveillantes… Face à ce risque du « store now, decrypt later » pouvant avoir des impacts graves à terme, les avancées en matière d’informatique quantique sont évidemment scrutées de près, et l’agence française recommande la transition à la PQC (cryptographie résistant aux attaques utilisant des ordinateurs quantiques, ou Post-Quantum Cryptography en anglais) comme étant « la voie la plus prometteuse pour se prémunir contre la menace quantique ».
Pour les entreprises, cela souligne encore une fois l’urgence de renforcer dès maintenant leurs mesures de sécurité et de préparer la transition vers des algorithmes de cryptographie résistants aux attaques quantiques. Il ne s’agit pas seulement de changer les outils utilisés, mais surtout de faire évoluer la gestion parfois archaïque de la cryptographie, avec ses coûts et ses dangers. Il devient ainsi crucial de profiter de cette opportunité pour moderniser fondamentalement les pratiques en matière de cryptographie, réduisant ainsi les dépenses et les risques actuels et futurs.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :