Les grandes prédictions 2023 de Keyfactor

Avec les progrès technologiques de ces dernières années, le débat autour de la cybersécurité s'est intensifié. Voici ce que nous réserve l'année 2023.

L’importance des PKI dans l’Internet industriel des objets (IIoT) 

En 2023, les secteurs qui continueront à avoir des difficultés à sécuriser les dispositifs IoT seront entre autres l'automobile, les technologies médicales, les services publics, les transports, les télécommunications mais également l'IIoT. Les cyberattaques contre les systèmes de contrôle industriel, les infrastructures critiques ou les réseaux IIoT sont, en effet, en constante augmentation, notamment du fait du nombre croissant d’équipements industriels qui sont connectés entre eux. Il devient donc primordial de mettre les exigences de cybersécurité au cœur du développement de tout nouveau système. En 2023, les fabricants de dispositifs IIoT ou les sociétés qui déploient des réseaux IIoT devront être proactifs et s’assurer que les équipements et réseaux dans lesquels ils opèrent soient les moins vulnérables possible.

Tout fabricant doit nécessairement pouvoir protéger l’identité machine d’un produit et ses firmwares dès sa conception, en injectant des certificats numériques, mais également lors de sa mise en service et de son exploitation, via notamment le zero-touch provisionning qui permet de configurer et gérer les appareils à distance en toute sécurité. La réalisation de ces objectifs implique de mettre en place une stratégie PKI performante, garante d’une sécurité renforcée et d’une authentification forte.

L’adoption croissante des smartcards, tokens, authentification forte, MFA et FIDO

Concernant la cybersécurité des personnes (employés, consultants, externes…) et dans le cadre de l’approche Zero Trust, la tendance de fond dans l’IT Entreprise continuera d’être l’adoption de techniques d’authentification forte à base de certificats numériques sécurités par cartes à puces, tokens USB, terminaux mobiles ainsi que par les nouveaux standards tels que FIDO. La technologie PKI, dans un cadre d’entreprise privé, s’allie à l’utilisation de toutes ces techniques.

Les grands enjeux du cloud souverain

Souveraineté numérique européenne… Cloud souverain… Cloud de confiance… SecNumCloud… ces thèmes ont été très présents dans l’actualité IT de 2022 et devraient encore animer le quotidien des entreprises en 2023. Conciliant les avantages du cloud public avec les exigences de sécurité et de conformité des données, le Cloud Souverain a pour objectif de protéger les données sensibles et privées, et de veiller à ce que leurs propriétaires en conservent la maîtrise dans le cloud. En Europe, plusieurs initiatives ont été lancées pour contribuer au développement de ce « Cloud souverain ». Le référentiel « SecNumCloud » élaboré par l’ANSSI en 2016, en fait partie. Ce visa délivré aux opérateurs cloud atteste de la qualité et de la sécurité globale de leur solution. Un Graal auquel nombre de fournisseurs clouds ont choisi d’adhérer à l’instar de Outscale, Cloud Temple, OOdrive et OVHcloud. 2023 s’annonce donc comme une année clé pour ces fournisseurs européens qui veulent rattraper, ou en tous cas réduire l’écart avec l’offre de leurs concurrents internationaux.

Mais les entreprises qui souhaitent migrer leurs infrastructures IT vers un cloud souverain, estampillé « SecNumCloud », devront également migrer leur PKI et donc se tourner vers des partenaires compatibles. La PKI est, en effet, essentielle pour l’authentification et la signature des utilisateurs, des serveurs, des appareils, des applications et services IoT et doit être à même de fonctionner pleinement dans cet environnement pour assurer une sécurité optimale.

L’anticipation de la transition vers la cryptographie post-quantique (PCQ)

Avec les progrès de la puissance de calcul et l’apparition probable, d’ici quelques années, d’ordinateurs quantiques, le risque de cryptographie cassable augmente chaque jour. Des algorithmes obsolètes peuvent impacter sérieusement la sécurité d’une entreprise si elle ne dispose pas des bons outils. A ce jour, l’ANSSI n’impose en aucun cas le remplacement direct des algorithmes actuels mais recommande que, dans les années à venir, les algorithmes post-quantiques soient utilisés dans un mode hybride, c’est à dire combinés avec un algorithme à clé publique classique reconnu et éprouvé.

Après la publication par le NIST (National Institute of Standards and Technology, agence du département du Commerce des Etats-Unis) des quatre premiers algorithmes résistants au calcul quantique, les fournisseurs de solutions qui mettent en œuvre ou utilisent la cryptographie, tels que les bibliothèques cryptographiques, les boîtes noires transactionnelles (Hardware Security Module), les PKI et composants de gestion des certificats, et même les navigateurs ou les systèmes d'exploitation, se mettront en conformité avec ces algorithmes en lançant des tests d'interopérabilité.

Entre 2023 et 2030, la crypto-agilité apparaîtra donc comme une réponse efficace à l’informatique quantique. Sa capacité à avoir une image claire de toutes les technologies de chiffrement déployées dans une entreprise et la manière dont elles sont exploitées, à identifier et résoudre rapidement les problèmes et à remplacer ou renouveler des certificats obsolètes ou à risque, d’un algorithme à un autre, sera essentielle au renforcement et au maintien de la sécurité des entreprises.

Nous sommes aujourd’hui dans une phase de transition mais les entreprises doivent anticiper et travailler avec des fournisseurs PKI capables de les accompagner pour s’adapter et supporter ces futurs algorithmes PQC. On peut prédire sans risque que l'adoption d'algorithmes et de protocoles post-quantiques sera probablement la tendance la plus disruptive du PKI depuis son apparition.

Les normes et directives en matière de cybersécurité

En 2023, les normes et directives en matière de cybersécurité des appareils IoT notamment continueront se renforcer et les fabricants devront s'y adapter car elles impacteront le développement, les opérations et la mise en œuvre des produits. Plus que jamais, il sera primordial de continuer à suivre les meilleures pratiques autour de l'identité numérique des appareils et de leur authentification via des certificats.

En premier lieu, l’arrivée de Matter dans le secteur de la domotique va marquer un tournant. Non seulement, ce standard va améliorer l’interopérabilité des appareils, mais il va également renforcer la sécurité, promettant ainsi aux consommateurs des expériences plus fluides et plus sûres. Les industriels seront indéniablement poussés à adopter cette norme pour prouver que leurs appareils connectés sont authentiques, certifiés et à jour. La PKI est un élément clé du dispositif puisqu’elle garantit la mise en conformité et facilite ainsi le lancement de nouveaux appareils innovants, tout en maintenant des niveaux de sécurité élevés.

De son côté, la loi européenne sur la cyber-résilience (Cyber-resilience Act), première législation européenne qui imposera des règles de cybersécurité aux fabricants et distributeurs de produits IoT, sera également largement d’actualité en 2023. Pour commercialiser leurs produits, les fabricants devront intégrer la sécurité dès leur conception afin qu’ils répondent aux normes requises.

Enfin, les recommandations de l’ENISA (Agence de l’Union Européenne pour la cybersécurité), de la GSMA IoT (GSM Association), la norme IEC 62443 dans le secteur industriel, la nouvelle directive européenne NIS 2 destinée à renforcer la cybersécurité, sans oublier l’adoption de la stratégie Zero Trust vont inciter les entreprises à se doter de PKI et à adopter la signature numérique et la cryptographie pour garantir l’intégrité et l’authenticité de l’ensemble de leurs équipements actifs et logiciels.