Ne laisser aucune chance aux hackers en choisissant le bon prestataire PKI

En dix ans, le DevOps est devenu de facto la méthode pour mettre en œuvre les applications à un rythme sans précédent. Mais au-delà du DevOps, sans mesures de sécurité appropriées, les hackers ont tôt fait de s'engouffrer dans les brèches d'une cybersécurité lacunaire.

Une fois introduits dans un système d’entreprise à travers une brèche, les hackers ont ensuite le champ libre pour accéder aux ressources du réseau et à d’éventuels éléments de propriété intellectuelle. Les récents événements ont montré que rien (ou presque) n’arrêtait un cybercriminel motivé, même en pleine crise sanitaire (et dire que le piratage de baby-phones nous arrachait autrefois des cris d’effroi !). Dénués de tout scrupule pendant la pandémie de Covid-19, les hackers n’hésiteront pas longtemps avant de s'en prendre à une entreprise pour contrarier son cycle de développement.

Le DevSecOps, contraction des termes Développement/Sécurité/Opérations, consiste à intégrer la sécurité à chaque étape du développement d’une application — de la planification, à la rédaction du code source, en passant par la préparation du code binaire et les tests. Pour que l’approche DevSecOps porte ses fruits, de récentes réglementations sur la protection des données exigent que la sécurité soit désormais intégrée au cycle de développement. L’un des moyens d’y parvenir consiste à utiliser une infrastructure à clés publiques (PKI, Public Key Infrastructure). Cette technologie éprouvée offre une méthode économique, sécurisée et évolutive d’attribuer des identités fortes aux conteneurs, aux points de terminaison, voire au code de microservices. Compte tenu du rythme effréné auquel s’enchaînent les projets DevOps, l’utilisation d’identités fortes prend aujourd’hui tout son sens pour gérer les conteneurs, d’autant que les points de terminaison sont aussi vite retirés qu’ils ont été déployés.

Mais la création en interne d’infrastructures fiables et évolutives qui prennent en charge l’intégration et la mise en œuvre en continu de microservices engendre des coûts irrécupérables. Prenons ainsi le salaire annuel standard d'un profil d’ingénieur spécialiste des PKI qui dépasse les 100 000 euros en 2020. Ce chiffre doit être ensuite être multiplié par le nombre d’experts en PKI que l’entreprise doit embaucher lorsqu’elle utilise sa propre solution. En effet, le degré de complexité d'une telle infrastructure exige, comme vu plus haut, de ne pas en déléguer la maintenance à une seule personne.

À cela s’ajoutent les problématiques spécifiques que les Responsables de la Sécurité des Systèmes d’Information (RSSI) doivent aussi gérer :

  • Facteur Temps :  On ne devient pas expert en un jour et le départ, ne serait-ce que d’un membre de l’équipe de sécurité, suffit à faire fondre ce capital intellectuel patiemment acquis. 
  • Recrutement : Dans le domaine des PKI, en plus des difficultés pour recruter et maintenir les équipes à niveau, la moindre erreur peut coûter cher avec, pour effet des interruptions de services et des problèmes de non-conformité.
  • Délégation : Lorsqu’un membre de l’équipe, insuffisamment qualifié ou débordé, arbitre sur une règle importante, cela peut occasionner de nouveaux problèmes, alors que la tâche aurait pu être externalisée vers un service cloud axé, entre autres, sur la conformité.

Pour atténuer les risques de cybersécurité, de nombreux éditeurs de logiciels ont développé des solutions de sécurité en interne. Ces pratiques sont-elles vraiment utiles ou engendrent-elles des inefficacités opérationnelles et des vulnérabilités qui ne font qu’entraver la continuité de leurs activités ? Car, pour que l’ensemble fonctionne correctement, il faut du temps, de l’argent et la bonne expertise en infrastructures PKI.

Ce qu’il faut savoir avant de choisir son partenaire en PKI

Selon Gartner (paywall), "l’évolution du DevOps et de la virtualisation poussera les Responsables Sécurité et Risques des Systèmes d'Information à se pencher sur la sécurité et l’intégrité de ces environnements en plein essor". D’autre part, "même si plusieurs méthodes s’appuient sur l’utilisation de l'identité (et de la sécurité) du conteneur, il est également possible d’utiliser des certificats numériques. La gestion de certificats X.509 dans des conteneurs peut être utilisée par les RSRSI pour protéger ces environnements virtuels. Mais attention, la rapidité et l’élasticité des conteneurs ne sont pas compatibles avec une gestion manuelle des certificats. Les RSRSI chargés de sécuriser les systèmes virtuels conteneurisés pourraient par conséquent utiliser des outils X.509 avec des intégrations embarquées pour sécuriser ces environnements."

Pour l'heure, il reste compliqué et dangereux de suivre et de gérer correctement les certificats tout au long de leur cycle de vie. Cela tient à la validité limitée des certificats, à la spécificité de la maintenance technologique et à la nécessité de disposer de connaissances poussées en PKI. Si une entreprise n’est pas en mesure de gérer les certificats fournis par un fournisseur tiers, elle risque de révéler des vulnérabilités à ceux qui n'attendent qu'une chose : les détecter pour les exploiter à leur avantage.

Il est donc important de plutôt chercher un partenaire PKI qui pourra fournir le nombre de certificats dont l’entreprise a besoin, au moment où elle en a besoin. La disponibilité des certificats constitue un critère déterminant. Il ne faudrait pas que l’entreprise se retrouve sans certificat lors du déploiement ou à un quelconque stade de développement de son logiciel ou application. L'automatisation constitue donc un autre point clé : elle permet d’accompagner l’évolution des besoins sans intervention humaine.

Aujourd’hui, dans un monde où la continuité des intégrations et des déploiements semble être devenue la nouvelle norme, il est d’autant plus crucial de protéger le code dans les conteneurs. Il y a besoin d'identités fortes pour authentifier tous les points de terminaison et chiffrer les sessions entre les systèmes informatiques. Les déploiements doivent en effet pouvoir être gérés sans intervention humaine et en conformité avec les diverses réglementations. Lorsque la création et la gestion de configurations de certificats dans le respect des règles internes relèvent de la responsabilité d’une seule personne, ou d’une toute petite équipe, on comprend bien qu’une erreur est vite arrivée. Et ce risque d’erreur humaine augmente avec la multiplication des certificats qui accompagnent la montée en puissance des applications.        

Or, les interruptions dues à des certificats qui expirent ou à un manque d’automatisation finissent par générer des risques opérationnels considérables. Ces dernières années, MicrosoftLinkedIn, des partis politiques britanniques et même la Maison-Blanche en ont fait les frais : tous ont oublié de renouveler un certificat. Lorsque l’on opte pour une solution automatique gérée, le partenaire retenu doit impérativement avoir les reins solides et les capacités techniques pour que ses services automatisés répondent aux besoins de son client.

Enfin, il est important de se souvenir que les autorités de certification (AC) et les partenaires de PKI ne se valent pas tous. L’entreprise se doit donc de chercher l’AC ou le partenaire qui pourra répondre à ses besoins et s’y adapter, qui saura accompagner sa croissance et se montrera disponible, quels que soient les volumes et les débits demandés.