ÉTAT DES LIEUX DE L'AUTOMATISATION PKI Rapport 2021

Documents pareils
Une nouvelle enquête montre un lien entre l utilisation du Cloud Computing et une agilité accrue de l entreprise ainsi qu un avantage concurentiel.

Les entreprises qui adoptent les communications unifiées et la collaboration constatent de réels bénéfices

Les outils de gestion de campagne d marketing

Enquête internationale 2013 sur le Travail Flexible

Étude sur la compétitivité des administrations cantonales

Une représentation complète

Plan de cours. Chiffriers et bases de données en gestion commerciale

MSP Center Plus. Vue du Produit

Automatiser le Software-Defined Data Center avec vcloud Automation Center

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

Perdu dans la jungle des droits d accès?

DATE D'APPLICATION Octobre 2008

Faire face aux enjeux du Shadow IT : une nécessité pour les entreprises

Concilier vie privée et vie professionnelle, un enjeu pour tous les acteurs de l entreprise

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

LES CONDITIONS D ACCÈS AUX SERVICES BANCAIRES DES MÉNAGES VIVANT SOUS LE SEUIL DE PAUVRETÉ

LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

ANALY ANAL S Y E S PR

S engager pour la survie de l enfant: Une promesse renouvelée

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Erol GIRAUDY et Martine ROBERT LE GUIDE JURIDIQUE DU PORTAIL INTERNET/INTRANET

10 problèmes de réseau courants que PRTG Network Monitor vous aide à résoudre

E.I.S : Un outil performant pour I'analyse du risque en Assurance

Gestion des utilisateurs et Entreprise Etendue

D ITIL à D ISO 20000, une démarche complémentaire

Public Key Infrastructure (PKI)

ITIL V2 Processus : La Gestion des Configurations

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

Utilisation des médicaments au niveau des soins primaires dans les pays en développement et en transition

Comment réussir le déploiement de votre communauté B2B et réduire les coûts de votre chaîne logistique?

Evolution de la fréquence des sinistres en assurance RC automobile

DEVELOPPEMENT ET MAINTENANCE DE LOGICIEL: OUTIL DE PILOTAGE

La situation de la sécurité des clés USB en France

Toutefois, elles éprouvent de réelles difficultés à mettre en place. les résultats ne sont pas mesurés systématiquement.

Enquête publique sur les changements climatiques Compléments aux graphiques

Accélérez le projet de Cloud privé de votre entreprise

TBR. Postes de travail virtualisés : IBM simplifie la gestion de l infrastructure avec ses serveurs System x Août 2013

Programme de formation " ITIL Foundation "

Signature électronique. Romain Kolb 31/10/2008

Siemens Grâce aux documents intelligents, un leader mondial de la haute technologie augmente l efficacité et la précision de ses employés.

SEMINAIRES & ATELIERS EN TÉLÉCOMMUNICATIONS RESEAUX

Le nouvel acheteur de solutions informatiques. Les lignes d affaires adoptent les technologies Cloud Infobrief IDC, sponsorisée par Cisco mars 2015

ITIL V2. Historique et présentation générale

Le Document Unique : une obligation légale des entreprises

Gestion des Clés Publiques (PKI)

Management partie 2 : Marketing

3 Les premiers résultats des plans d'actions

Du 03 au 07 Février 2014 Tunis (Tunisie)

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Solutions collaboratives, vidéo et développement durable Ce qu en pensent les décideurs IT. Aastra Handbooks

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

Votre guide 2013 pour la gestion des déplacements et frais professionnels

Formation 12. Lutter contre les impayés. Formation + modèle de contrat. Module 1 : LES OUTILS POUR CONNAITRE LA SOLVABILITE DES CLIENTS

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

28/06/2013, : MPKIG034,

Règlement de la Consultation

ITIL Examen Fondation

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

P0 AUTO-ENTREPRENEUR DECLARATION DE DEBUT D'ACTIVITE RESERVE AU CFE U

Aujourd hui, pas un seul manager ne peut se dire à l abri des conflits que ce soit avec ses supérieurs, ses collègues ou ses collaborateurs.

Catalogue «Intégration de solutions»

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Licence Professionnelle Systèmes industriels automatisés et maintenance

QUESTIONNAIRE PARENTS D'ELEVES

Sondage d opinion auprès des Canadiens Perception à l égard des couples de même sexe PROJET

Mesurer le succès Service Desk Guide d évaluation pour les moyennes entreprises :

LA DEFINITION DES COMPETENCES : QUEL ROLE POUR LES ASSOCIATIONS PROFESSIONNELLES?

Gestion des risques, contrôle interne et audit interne

Chapitre 2 : Détermination de l'ensemble consolidé

La renaissance de la PKI L état de l art en 2006

Observatoire Orange Terrafemina vague 14. La ville connectée. Sondage de l institut CSA

Convocation à l'assemblée Générale

Présentation de nos prestations

Présentation. La société VFCS, offre un éventail très large de services couvrant vos besoins liés aux technologies actuelles de l'informatique.

Baromètre Atradius des pratiques de paiement Etude internationale sur les comportements de paiement en B2B Principaux résultats - Belgique

Le Cisco Smart Business Communications System

Les 10 pratiques pour adopter une démarche DevOps efficace

La sécurité dans les grilles

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Formation projet informatique. Expression de besoins, définir un besoin informatique

Gestion des processus métier orientée objectifs

Dynamiser l innovation tout en réduisant son coût

ScTools Outil de personnalisation de carte

AUDIT - GESTION - FISCALITE Collection dirigee par Thierry Lamorlette

CECOP. Centre d études et de connaissances sur l opinion publique LES FRANCAIS ET LEUR RETRAITE. Une enquête CECOP/CSA pour Le Cercle des épargnants

Les principes de la sécurité

La maturité numérique des dirigeants français

Les entreprises et le big data

Pour un Plan d Investissement Communal plus Participatif

Le DSI au service de l'expérience Client

Les Enseignants de l Ere Technologique - Tunisie. Niveau 1

Le VDI et les solutions SaaS : Des outils puissants pour les DSI au service des utilisateurs. Château de Montchat, 7 octobre 2013

Causes d insatisfactions du patient pris en charge en ambulatoire

Transcription:

ÉTAT DES LIEUX DE L'AUTOMATISATION PKI Rapport 2021

ÉTAT DES LIEUX DE L'AUTOMATISATION PKI : LE RAPPORT La PKI est au cœur de presque toutes les technologies. Utilisateurs, serveurs, appareils, IoT, applications et services DevOps, signature de documents numériques son rôle est essentiel en matière d'identification et d'authentification. Le problème, c est qu une telle infrastructure devient aujourd hui impossible à gérer manuellement. D'après une récente étude du Ponemon Institute, le nombre de certificats PKI gérés par les entreprises augmenterait en effet de 43 % chaque année 1. Ajoutez à cela une durée de validité raccourcie, et toutes les conditions sont réunies pour en compliquer la gestion. Pour faire un point complet sur la situation à l'échelle internationale, DigiCert a demandé au cabinet d'études ReRez Research d'interroger des responsables informatiques en charge de la PKI dans 400 entreprises. L'étude dresse un constat globalement tourmenté, tout en faisant ressortir les schémas suivis par les entreprises les plus en pointe dans la gestion PKI. Le nombre de certificats PKI gérés par les entreprises a augmenté de QU EST-CE QUE L'AUTOMATISATION PKI? Voici les principaux domaines d'application de l'automatisation PKI tels que nous les avons présentés aux sondés : Découverte de certificats numériques existants Émission de nouveaux certificats numériques Renouvellement des certificats numériques sur le point d'expirer Révocation des certificats numériques lorsque cela est nécessaire Automatisation de la signature de code Procédure d'enrôlement des certificats clients Vérification d'identité (pour la signature de document, par exemple) Automatisation d'activités de provisionnement (ex. : LDAP et Exchange) Toute autre activité pratique liée à la gestion PKI 1 Étude 2020 sur les tendances mondiales en matière de PKI et d'iot conduite par le Ponemon Institute

UNE CROISSANCE RAPIDE QUI PROVOQUE LA CONFUSION L'entreprise type de notre étude gère globalement plus de 50 000 certificats. Il s'agit principalement de certificats utilisateur et serveur, suivis par les certificats pour serveurs web, appareils mobiles et e-mails. Les certificats publics, émis par des Autorités de certification (AC) publiques, sont un tiers plus nombreux que les certificats privés, émis par une AC interne. Une entreprise type gère actuellement plus de 50 000 certificats. Cette très forte hausse comparée aux années précédentes explique en grande partie les difficultés de gestion qu'affrontent les entreprises. Concrètement, deux tiers d'entre elles ont subi des pannes dues à l'expiration soudaine de certificats, tandis qu'une sur quatre a essuyé cinq ou six pannes de ce type au cours des six derniers mois. Pourquoi? Notamment en raison de l'augmentation de la charge de travail : presque deux tiers des entreprises interrogées se disent «préoccupées», voire «très préoccupées» par le temps passé à gérer les certificats. À cela s'ajoute un manque certain de visibilité. Dans 37 % des entreprises interrogées, au moins trois départements se partagent la gestion des certificats. D où une confusion inévitable. Toujours selon l'étude, une entreprise type compte jusqu'à 1 200 certificats non gérés ; près de la moitié (47 %) des entreprises interrogées reconnaissent découvrir fréquemment des certificats non autorisés, c'est-àdire implémentés hors de tout cadre de gestion et à l'insu du département IT. L'automatisation PKI semble être la réponse évidente à ces problèmes. Nous avons donc voulu savoir où en étaient les entreprises dans ce domaine. S INQUIÈTENT DU TEMPS IMPARTI À LA GESTION DES CERTIFICATS DÉCOUVRENT FRÉQUEMMENT DES CERTIFICATS NON AUTORISÉS RÉPARTISSENT LA GESTION DES CERTIFICATS ENTRE 3 DÉPARTEMENTS OU PLUS SUR C EST LE TAUX DE SONDÉS QUI ONT SUBI CINQ OU SIX PANNES LIÉES À LA PKI AU COURS DES SIX DERNIERS MOIS

91 % DES ENTREPRISES VEULENT AUTOMATISER LEUR INFRASTRUCTURE PKI D'après notre enquête, la plupart des entreprises (91 %) envisagent d'automatiser leur infrastructure PKI. Pour les autres (9 %), le sujet n'est pas à l'ordre du jour. La grande majorité des entreprises (70 %) compte implémenter une solution dans les 12 mois, tandis que pour un quart, le processus est soit en cours, soit terminé. Pourtant, les obstacles cités sont nombreux, notamment : les coûts, la complexité, les questions de conformité et la résistance au changement de la part des collaborateurs comme de la direction. TENDANCES DIFFICULTÉS SANCTIONS OBJECTIFS Principaux ressorts de l'automatisation PKI dans les entreprises : 1. Certificats non autorisés 2. Préparation à l'informatique post-quantique 3. Raccourcissement rapide de la durée de validité des certificats, entraînant une hausse brutale des charges de travail 4. Envolée du nombre de certificats sous gestion 5. Progression du télétravail Questions de sécurité incitant les entreprises à automatiser : 1. Lenteur du provisionnement de nouveaux certificats 2. Mauvaise configuration des certificats 3. Surcharge des collaborateurs 4. Prolifération de certificats non autorisés 5. Expiration inopinée de certificats 6. Lenteur, voire absence de révocation des certificats lorsque cela est nécessaire Conséquences de l'absence d'automatisation PKI : 1. Problèmes de conformité 2. Problèmes de sécurité 3. Coûts 4. Interruptions de service 5. Insatisfaction des clients ou des collaborateurs Les entreprises adoptent l'automatisation PKI pour : 1. Plus de sécurité 2. Plus de conformité 3. Plus d'agilité 4. Plus de productivité 5. Moins d'interruptions de service et de coûts

COMPARAISON DU HAUT ET DU BAS DE TABLEAU Les participants à l'étude ont été invités à évaluer leurs propres capacités sur diverses métriques PKI : Prévention des interruptions de service dues à l'expiration inopinée de certificats Révocation rapide de certificats en cas de nécessité Gestion efficace des certificats numériques Réduction des risques de sécurité dus à une mauvaise gestion des certificats Réduction des problèmes de conformité dus à une mauvaise gestion des certificats Minimisation du nombre de certificats non autorisés Respect des accords SLA relatifs à la PKI Rapidité d'émission et de révocation PKI Nous avons attribué une note (positive ou négative) en fonction de chaque réponse, puis nous avons totalisé les scores. Ensuite, nous avons scindé les participants en trois groupes distincts selon leurs résultats : 1LEADERS Organisations les mieux notées sur l'ensemble des métriques listées ci-dessus. 2 3 INTERMÉDIAIRES Organisations obtenant un score moyen sur l'ensemble des métriques listées ci-dessus. RETARDATAIRES Organisations les moins bien notées sur l'ensemble des métriques listées ci-dessus. Enfin, nous avons comparé les leaders et les suiveurs pour mesurer le fossé qui les sépare et comprendre comment les leaders tirent leur épingle du jeu.

LEADERS VS SUIVEURS Les personnes interrogées ont évoqué sans détour leurs problèmes de gestion PKI. Certificats non autorisés, pannes dues à l'expiration inopinée d'un certificat les entreprises font face à de nombreux incidents, mais à des degrés de gravité différents. Nous avons classé les réponses dans trois groupes avant de comparer les deux extrémités du classement. Les différences sont frappantes. Prévention des interruptions de service de la PKI Gestion des certificats numériques Émission et révocation de certificats Les leaders se démarquent dès le départ. En particulier, un tiers d'entre eux (33 %) pensent que l'automatisation PKI est de première importance. Le groupe de tête obtient de meilleurs résultats (2 ou 3 fois supérieurs) dans les domaines suivants : Réduction des risques de sécurité PKI Prévention des interruptions de service de la PKI Limitation des certificats non autorisés Respect des accords SLA relatifs à la PKI Gestion des certificats numériques Émission et révocation des certificats Conformité À l'opposé, les retardataires sont fortement pénalisés par manque de compétences en gestion des certificats PKI : Réduction des risques de sécurité PKI Respect des accords SLA relatifs à la PKI LEADERS Conformité Conformité Limitation des certificats non autorisés Problèmes de conformité Problèmes de sécurité Perte de productivité Retards Surcharge de travail Attrition des clients Manque à gagner Qu'est-ce qui distingue les leaders? Quels enseignements pouvons-nous en tirer? Attrition des clients Manque à gagner RETARDATAIRES Affaiblissement de la sécurité Perte de productivité Travail supplémentaire Retards

PORTRAIT TYPE DES LEADERS DE L'AUTOMATISATION PKI Les leaders sont deux fois plus nombreux que les autres à se dire préoccupés par le temps que mobilise la gestion des certificats PKI, au détriment d'autres tâches. Ils sont également plus sensibles au problème des certificats non autorisés. Enfin, ils sont convaincus de l'importance de l'automatisation PKI pour l'avenir de leur entreprise. Voilà qui explique sans doute pourquoi ils sont six fois plus nombreux à avoir déjà franchi le pas. Quels enseignements pouvons-nous tirer de ces constats et quels sont les ajustements possibles? LE RÈGNE DU CHACUN POUR SOI Une analyse approfondie des données nous livre des informations surprenantes : de nombreuses entreprises qui, en théorie, devraient gérer plus facilement les certificats PKI sont celles qui ont souvent le plus de mal en pratique. Prenons un exemple. Les entreprises qui gèrent le moins de certificats sont bien plus nombreuses à subir des pannes liées à l'expiration accidentelle de ces derniers. Par ailleurs, elles obtiennent uniformément de moins bons résultats sur un large éventail de métriques de gestion PKI. En définitive, malgré le faible volume de certificats à gérer, ces entreprises se disent largement plus préoccupées par la gestion de la PKI que celles qui gèrent des volumes bien supérieurs. Concrètement, elles sont presque 50 % plus nombreuses à se dire inquiètes du temps qu'elles passent à gérer leurs certificats PKI. Autre particularité : elles détiennent également près de deux fois plus de certificats enrôlés dans un programme d'automatisation PKI. LES ENTREPRISES À PETITS VOLUMES N'APPLIQUENT PAS DE RÈGLES COMMUNES ET CHACUN Y GÈRE LES CERTIFICATS À SA FAÇON. À première vue, cela semble paradoxal. Mais en y regardant de plus près, on remarque que leurs capacités de gestion PKI sont bien moins matures que celles des entreprises qui gèrent plus de 100 000 certificats. Dans les structures à petits volumes, c'est le règne du chacun pour soi : en l'absence de règles, chacun joue sa partition en solo.

PORTRAIT TYPE DES LEADERS DE L'AUTOMATISATION PKI D'après l'étude, les leaders de la gestion PKI possèdent une bien meilleure maîtrise de leur portfolio de certificats, mais se notent paradoxalement moins bien que les entreprises moins préoccupées par cette question. Ils indiquent pourtant subir moins de pannes liées aux certificats ou détecter moins de certificats non autorisés, prouvant par là même qu'ils obtiennent en réalité de bien meilleurs résultats qu'ils ne le pensent. PARADOXE DE L AUTOÉVALUATION Un autre fait intéressant concerne les entreprises «très préoccupées» par la gestion des certificats PKI. Celles qui subissent objectivement le moins de problèmes ont tendance à se noter plus sévèrement. Prenons le cas des entreprises qui considèrent la gestion de la PKI comme difficile. Elles sont trois à cinq fois plus nombreuses à affirmer être préoccupées, voire extrêmement préoccupées, dans de nombreux domaines tels que la rapidité d'émission de nouveaux certificats, les erreurs accidentelles de configuration de certificats et la découverte de certificats non autorisés. Pourtant, c'est aussi dans ces entreprises que l'on recense le moins de certificats non autorisés (seulement deux tiers de ce que constatent les entreprises qui affirment n'être pas préoccupées). En outre, elles ont subi bien moins de pannes liées à l'expiration accidentelle de certificats (une seule au cours des six derniers mois contre trois à cinq pour les entreprises qui ne se disent pas préoccupées). LES ENTREPRISES PRÉOCCUPÉES PAR LA GESTION DES CERTIFICATS PKI SUBISSENT OBJECTIVEMENT LE MOINS DE PROBLÈMES, MAIS ONT TENDANCE À SE NOTER PLUS SÉVÈREMENT. Ce phénomène est fréquent dans les enquêtes liées à la sécurité. Il s'explique comme suit : les entreprises les plus attentives sont aussi les plus conscientes de leurs points faibles et de leurs erreurs. Elles ont donc tendance à se noter plus sévèrement que les autres. Mais leur vigilance paye, et elles s'en sortent bien mieux que les autres.

NOS RECOMMANDATIONS Pour garder une parfaite maîtrise de leur environnement cryptographique, réduire les erreurs humaines et gérer leurs certificats dans les règles de l'art, les entreprises doivent automatiser leur portfolio de certificats PKI de façon homogène. Mais comment y parvenir? Voici une liste de recommandations pour vous y aider. IDENTIFICATION 1 3 Définissez une base de référence de tous les certificats émis Localisez les emplacements de tous les certificats Nommez tous les utilisateurs et tous les appareils détenant les certificats et les domaines Identifiez les versions des systèmes d exploitation et applications installés sur les serveurs web Recensez les suites cryptographiques et les versions de certificats TLS/SSL sur les serveurs web 2 4 REMÉDIATION Supprimez les hachages, les clés et les suites cryptographiques trop faibles Contrôlez l émission et la distribution de certificats Wildcard Déployez des certificats adaptés à chaque cas d'usage Contrôlez tous les certificats des fournisseurs par défaut Veillez à l installation des correctifs les plus récents sur tous les serveurs web PROTECTION Standardisez et automatisez les processus d enrôlement, d émission et de renouvellement Installez et renouvelez tous les certificats dans les délais Veillez à ce que les clés privées ne soient pas réutilisées lors du renouvellement des certificats Installez les certificats et les clés privées de manière sécurisée Supprimez/révoquez les certificats lors du processus de décommissionnement SUIVI Effectuez des analyses régulières des réseaux pour détecter tout changement ou nouveau système Recherchez les certificats TLS non autorisés dans les logs CT (Certificate Transparency) Vérifiez le registre CAA pour prévenir les demandes de certificats TLS publics non autorisés

MÉTHODOLOGIE Le cabinet ReRez Research a effectué une enquête auprès de 400 informaticiens travaillant dans des entreprises de plus de mille salariés aux États-Unis, en EMEA, en Asie-Pacifique et en Amérique latine. L échantillon était composé de directeurs informatiques, responsables de la sécurité informatique et informaticiens généralistes. Tous avaient comme point commun de gérer les certificats numériques des utilisateurs, des serveurs et des appareils mobiles pour des ETI et des grands groupes. Vous souhaitez évaluer les besoins de votre entreprise et connaître les solutions adaptées à votre situation? Nos experts de l'automatisation PKI se tiennent à votre disposition. Découvrez également la plateforme d'automatisation qui vous aidera à prendre un bon départ. 2021 DigiCert, Inc. Tous droits réservés. DigiCert et CertCentral sont des marques déposées de DigiCert, Inc. aux États-Unis et dans d autres pays. Les autres noms peuvent être des marques de leurs détenteurs respectifs.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back