Quatre choses à savoir sur les identités machine

Quel est le point commun entre O2, le gouvernement américain et Sennheiser ? Tous trois ont récemment subi des problèmes liés à leurs identités machine. Les identités machine sont des clés cryptographiques et des certificats numériques assurant la sécurité des communications privées entre les "machines" des particuliers et des entreprises, à savoir le matériel, les logiciels, les applications et les sites Web.

Fin 2018, l’expiration d’un certificat numérique a entraîné des pannes réseau pour les clients O2 dans l'ensemble du Royaume-Uni, tandis que Sennheiser a mis en péril ses données comme celle de ses clients en négligeant la sécurité de ses clés privées. En 2019, les problèmes de certificats numériques causés par le shutdown du gouvernement américain ont rendu inaccessibles certains sites Web gouvernementaux ou déclenché l'affichage d'avertissements de sécurité. Qu'il s'agisse de prévenir les pannes ou de parer aux attaques, les identités sont essentielles aux entreprises désirant protéger leurs données sensibles et proposer un service fiable et sûr à leurs clients.

Le recours croissant des entreprises à l'IA, au DevOps, aux conteneurs, aux périphériques IoT et autres nouvelles technologies a entraîné l'explosion du nombre de certificats. Cependant, 70 % des décideurs informatiques admettent encore suivre moins de la moitié de leurs identités machine. La situation est très inquiétante, car la cybersécurité d'une entreprise repose sur sa capacité à connaître ses identités de machine, ses forces et ses faiblesses.

Toutefois, en raison du nombre astronomique d'identités machine à gérer, il est impossible de suivre chacune d'elles de près. C'est pourquoi les entreprises doivent concevoir des méthodes simples et rapides pour différencier les identités sécurisées des autres afin de prendre les mesures nécessaires. Voici les quatre questions fondamentales à se poser lors de l'évaluation de la sécurité de leurs identités de machine :

1. Savez-vous où se cachent vos identités machine ?

Pour gérer efficacement les identités machine et répondre aux éventuels incidents, la première étape consiste simplement à savoir où elles se trouvent. De plus en plus de certificats sont créés à intervalle réduit et en l'absence d'inventaire complet de chacun d'eux, le diagnostic des problèmes se révèle extrêmement complexe, sans parler de leur résolution. Tout comme O2 en a récemment fait l'expérience, l'opération s'apparente à trouver une aiguille dans une botte de foin tandis que les conséquences empirent de minute en minute en l'absence de résolution.

2. Pouvez-vous savoir avec certitude qui gère le périphérique où l'identité machine est utilisée ?

Dans la plupart des entreprises, de nombreux utilisateurs peuvent obtenir l'identité machine d'innombrables systèmes et groupes. Cette opération doit être centralisée de manière à fournir aux équipes opérationnelles et de sécurité les capacités de supervision nécessaire à la gestion efficace de l'ensemble des identités. En cas de détection d'une vulnérabilité de sécurité telle qu'un algorithme défaillant ou une expiration imminente, la centralisation de la délivrance des certificats permet à l'équipe de sécurité ou chargée des PKI d'apporter une réponse rapide ou de contacter la personne adéquate.

3. Vos identités machine sont-elles parfaitement sécurisées ?

Le chiffrement moderne se fonde sur de complexes algorithmes de chiffrement : plus l'algorithme est complexe, plus le chiffrement est sécurisé. Cependant, les avancées technologiques constantes sont susceptibles de casser certains algorithmes, dont les identités machine qui s'y appuient deviennent à leur tour plus faibles et vulnérables. En raison des nouvelles vulnérabilités régulièrement découvertes dans les protocoles tels que SSH et TLS, les entreprises doivent connaître les derniers risques de sécurité. Heartbleed, l'une des vulnérabilités les plus graves de l'ère informatique, a nécessité le remplacement de tous les certificats concernés. Néanmoins en 2017, trois ans après, certains certificats n'ont toujours pas été remplacés.

4. Comment vos identités machine ont-elles été configurées ?

Chaque identité machine peut présenter sa propre configuration et il n'existe pas d'approche universelle. Les vulnérabilités proviennent souvent d'un défaut de configuration faisant courir des risques à l'identité machine en raison d'une certaine combinaison d'options. Configurer les identités machine en les sécurisant de manière optimale réduit les risques auxquels elles sont exposées et par là même leurs répercussions opérationnelles.

Il convient d'abord de localiser, sécuriser et configurer correctement toutes vos identités machine pour éviter qu'elles ne soient manipulées ou détournées. La connaissance de vos identités machine assure également à votre entreprise la souplesse nécessaire pour supprimer, modifier ou ajouter un certificat à brève échéance pour faire face à l'évolution des menaces ou des conditions opérationnelles.

Cependant, toutes les identités machine ne sont pas comparables et une évaluation rapide des risques peut être difficile en raison de leur vitesse de transformation. À titre d'exemple, les certificats gratuits sont parfois jugés plus risqués, car toute personne propriétaire d'un domaine peut en acquérir et qu'il est relativement simple d'usurper le site Web d'une autre entreprise.

Évaluer la fiabilité de vos identités machine vous permet de les protéger plus facilement, de les remplacer ou de corriger les problèmes potentiels. C'est pourquoi les entreprises doivent automatiser leur suivi. En l'absence de visibilité, elles s'exposent à devenir le prochain O2 ou Sennheiser et subir les conséquences des problèmes d'identités machine, notamment une augmentation des dépenses et la colère de leurs clients et partenaires.