L'identité numérique : le nouveau périmètre de sécurité des réseaux

Avec la croissance du cloud computing, du DevOps, de l'IoT, ou encore la généralisation du télétravail, il est devenu difficile de délimiter un seul périmètre de réseau. Une solution : la PKI.

Ces dernières années, les enjeux de la cybersécurité se sont considérablement complexifiés, et l'époque où un simple logiciel antivirus, un pare-feu ou un mot de passe suffisaient à nous protéger est bel et bien révolue. Avec la croissance du cloud computing, du DevOps, de l'IoT, ou encore la généralisation du télétravail, il est devenu difficile de délimiter un seul périmètre de réseau. Résultat : les entreprises se concentrent désormais sur les nouvelles méthodes d'authentification axées sur l'identité numérique, à l’image de l'infrastructure de gestion de clés et de certificats électroniques.

La nouvelle ère de l’IT

Pour comprendre l'étendue de cette transformation vers l'identité numérique, il faut se remémorer comment les équipes IT fonctionnaient il y a une dizaine d’années. Au sein des entreprises, le département IT avait la main sur chaque niveau d'accès des employés. Ce dernier possédait physiquement le matériel informatique, et les équipes IT pilotaient elles-mêmes ces outils ainsi que ceux des clients. La quasi-totalité de ce matériel ne quittait donc jamais le bâtiment, et le modèle bring your own device n'existait pas. En bref, tout ce qui était lié à l'IT était géré par un seul département, sous la responsabilité finale du DSI.

Mais aujourd'hui, les choses sont radicalement différentes. Quel que soit le secteur d'activité, quasiment chaque département développe une ou plusieurs applications dans le but de faciliter ses opérations. Des équipes de développeurs sont donc disséminées dans toute l’entreprise. S’ajoutent à cela les divers consultants et prestataires externes.

De plus, les collaborateurs travaillent désormais beaucoup à distance et parfois même depuis des ordinateurs personnels sur lesquels l'entreprise n'a aucun contrôle en matière de sécurité ni de qualité.

Et des questions émergent : Comment déterminer un périmètre de sécurité dans un écosystème IT aussi décentralisé ? Où l'entreprise doit-elle installer son pare-feu ? Comment s'assurer que ces différentes applications et groupes de travail forment un ensemble cohérent, une barrière de sécurité qui empêche des entités externes à l'entreprise de pénétrer leur réseau ou d'exploiter des failles ?

Un futur proche autour de l'identité numérique

Pour révolutionner cet écosystème, l'identité remplace dorénavant ce qui autrefois servait de périmètre de sécurité. Elle comprend à la fois les processus d’identification (qui l’on est) et d’authentification (prouver son identité). Chaque appareil (smartphone, ordinateur, IoTY...), chaque serveur, chaque utilisateur et chaque processus business possède ainsi une identité numérique propre et unique, vérifiée par des tiers de confiance, et via un processus régulé. Ensemble, ces identités forment un nouveau périmètre qui empêche les intrus d'accéder aux données et aux systèmes. En refusant l'accès à tout appareil ou processus dont l'identité ne répond pas aux autorisations nécessaires, le système exclut naturellement les entités non habilitées, sans interrompre les opérations courantes.

Aujourd’hui, l’utilisation de mots de passe n’est plus suffisante car la plupart d'entre eux peuvent être aisément décryptés. En effet, en cas de faille dans le système, les informations de connexion sont l'une des premières choses que cherchera un cybercriminel. Chaque entité numérique connectée au réseau doit donc avoir son identité propre. Appareil mobile, conteneur DevOps ou encore IoT doivent être équipés d’au moins un certificat numérique. In fine, chacun des utilisateurs a besoin d'informations de connexion liées à un système central contrôlant strictement les autorisations et les accès, personnalisables selon le rôle de chacun au sein de l'entreprise ou de l'écosystème.

Par conséquent, le nombre d'entités ayant besoin d'un certificat numérique est voué à augmenter de manière exponentielle. A titre d’exemple, si un hacker parvient à pénétrer un environnement IoT (exemple : le circuit de communication d'un réseau) en se faisant passer pour un appareil autorisé, il peut alors voler des informations tout en interrompant le bon fonctionnement du réseau. Et c'est exactement ce genre de vulnérabilités que cherchent à exploiter les cybercriminels.

Le périmètre PKI, gardien des réseaux

Utiliser une plateforme de gestion de clés (ou public key infrastructure, ou PKI) permet d'assigner, de suivre et de piloter les cycles de vie des certificats d'une multitude d'appareils. La valeur apportée par cette fonctionnalité est évidente pour les écosystèmes à risques, tels que les services financiers ou encore la santé. Avec l'évolution des technologies s'appuyant sur les données, et au vu des dangers auxquels s'expose un réseau avec de faibles méthodes d'authentification, de nombreuses entreprises optent donc pour cette solution, à la fois fiable et sécurisée. Les infrastructures de gestion des clés ont été adaptées pour mieux répondre aux besoins de l'entreprise moderne. Elles s'intègrent non seulement aux différentes solutions cloud et mobile mais aussi aux plateformes et systèmes d'exploitation.

Pour remplacer le périmètre de sécurité d’autrefois par un outil de PKI, chaque entreprise doit obligatoirement passer par une plateforme de gestion des certificats numériques capable de s'adapter spécifiquement à ses cas d'usages. L'entreprise devra absolument avoir de la visibilité sur tous les types de certificats et leurs utilisations, tant publics que privés.

Avec la complexification des services IT et les cyberattaques de plus en plus nombreuses, faire de la cybersécurité une priorité n’est plus une option pour les entreprises. La fuite des données confidentielles ont un impact humain et financier considérable pour n’importe quelle structure, il est donc impératif de se développer autour d’une identité numérique forte et fiable.