Vous pensez avoir sécurisé votre exploitation et résolu les problèmes liés à l’authentification, au chiffrement des données et aux signatures électroniques simplement en ayant implémenté une infrastructure à clés publiques (PKI) ? « Réfléchissez-y à deux fois, » recommande Daniel Hjort, responsable du développement commercial chez Nexus Group, société spécialisée dans les identités et la sécurité.
Une infrastructure à clés publiques (PKI) permet de certifier les identités électroniques (eIDs) pour les individus, les applications et les objets, et de sécuriser ainsi l’authentification, le chiffrement des données et les signatures électroniques. Ces mécanismes de sécurité sont utilisés pour contrôler les accès aux ressources physiques et numériques, sécuriser les communications entre les personnes, les applications et les objets, et pour certifier les signatures électroniques des documents et des transactions.
« La PKI est à présent largement considérée comme la meilleure méthode pour ce genre de choses, et de plus en plus d’entreprises adoptent cette approche. Tout cela est très bien. Le problème est que la PKI est souvent mal comprise et mal utilisée, » explique Daniel Hjort.
Dans la PKI, des certificats numériques sont attribués à des personnes, des applications ou des objets afin de garantir l’authenticité de leur identité. Ces certificats sont générés à l’aide d’autorités de certification (CA, pour Certificate Authority).
« Le logiciel de CA le plus courant est Active Directory Certificate Services (ADCS) de Microsoft, et de nombreuses organisations achètent des certificats supplémentaires à la volée pour gérer leurs serveurs web, par exemple. Mais un grand nombre d’entreprises ne comprennent pas ce qu’elles implémentent, ne savent pas documenter cette implémentation, ni gérer les cycles de vie des certificats, » constate Daniel Hjort.
Daniel Hjort compare cela au fait d’acheter une brosse à dent électrique et du dentifrice au fluor, parce que l’on sait que c’est bon pour les dents – mais que l’on ne sait pas s’en servir.
« Si vous ne vous brossez les dents qu’une fois par semaine, ou encore si vous nettoyez la brosse au lieu de vos dents avec le dentifrice, vos investissements n’auront servi à rien. De la même façon, beaucoup d’organisations pensent sécuriser les authentifications, le chiffrement des données et les signatures électroniques, alors qu’elles n’utilisent pas correctement PKI, » poursuit Daniel Hjort.
Les nouvelles réglementations, notamment la législation européenne sur la protection des données (GDPR), poussent les organisations à mieux contrôler leurs données et à garantir la confidentialité au niveau de leur exploitation.
« Cette situation stresse de nombreux responsables. Ils se renseignent, comprennent que la PKI est ce qui se fait de mieux, et décident que leur organisation doit implémenter cette technologie. Mais, pour utiliser une autre métaphore, c’est comme acheter un canot de sauvetage gonflable, avant de réaliser que vous ne disposez d’aucun moyen pour le gonfler. Mal utiliser une PKI vous donne un faux sentiment de sécurité, » affirme Daniel Hjort.
Le défi consiste à mettre en œuvre une implémentation à la fois stable et sécurisée de la PKI, et de définir les stratégies et les procédures de gestion adéquates.
« Par exemple, vous devez vous assurer que la gestion du cycle de vie des certificats est correctement opérée, que les notifications sont envoyées avant le renouvellement des certificats, que vous pouvez gérer plusieurs domaines, et ainsi de suite. Vous devez également contrôler les droits relatifs à certaines décisions, telles que la génération de certificats, via une stricte séparation des tâches, » explique Daniel Hjort.
Les équipes IT connaissent généralement les principes de base de la séparation des tâches dans le traitement des informations, ainsi que celui du moindre privilège. Mais ils ne disposent habituellement pas de la connaissance nécessaire pour déterminer quelle doit être la séparation des tâches au sein de l’organisation.
« Si des conflits au niveau des droits d’accès posent problème, le service IT n’a pas la responsabilité de les identifier et d’attirer l’attention de la direction. C’est à la direction de s’assurer que la logique interne de l’organisation est appliquée au flux d’information, et que la répartition des tâches est imposée là où elle est nécessaire, » précise Daniel Hjort.
L’idéal, selon Daniel Hjort, est de faire appel à des prestataires d’audit possédant la formation et l’expertise adéquates, et de mettre en place une solution de gestion des identités et des accès (IAM pour Identity and Access Management).
« Tous les logiciels PKI génèrent des certificats X.509, et un certificat X.509 est un certificat X.509. Mais la technologie seule ne garantit pas l’authenticité des identités. Une implémentation rigoureuse de processus contrôlés est nécessaire pour garantir l’authenticité des certificats, et permettre à PKI de renforcer efficacement la sécurité de votre organisation, » ajoute Hjort.
Une solution IAM vous permet de définir et d’appliquer des stratégies cohérentes en matière de gestion des identités, des données d’accréditation et des permissions d’accès. Elle vous permet également de bénéficier à tout moment, et de façon centralisée, d’informations précises concernant l’attribution d’accréditations et de permissions d’accès.
« De plus, une solution IAM performante, offrant idéalement une interface utilisateur conviviale, facilite et renforce la gestion des identités, que ce soit pour les employés, les stagiaires, les visiteurs ou encore les prestataires extérieurs. Une telle solution simplifie la vie à la fois des administrateurs et des utilisateurs, » conclut Daniel Hjort.