Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les entreprises son-elles prêtes pour le passage aux certificats pour le passage aux certificats TLS 90 jours et à la cryptographie post-quantique ?

juillet 2024 par Venafi

Venafi publie les résultats de sa nouvelle étude, intitulée La non-préparation des organisations face aux certificats TLS de 90 jours. Le rapport analyse l’état de préparation actuel des entreprises à la transition vers de nouvelles normes d’identités machines, notamment la durée réduite des certificats et la cryptographie post-quantique.

Selon un sondage auprès de 800 décideurs en matière de sécurité aux États-Unis, au Royaume-Uni, en Allemagne et en France, plus des trois-quarts (76 %) des responsables sécurité reconnaissent l’urgence d’une transition vers une durée réduite des certificats pour améliorer la sécurité. En revanche, nombreux sont ceux qui ne se sentent pas prêts, et 77 % d’entre eux affirment que le passage à des certificats de 90 jours entraînera inévitablement une augmentation du nombre de pannes.

L’étude met également en évidence les points suivants :

Enjeux liés aux certificats de 90 jours – 81 % des responsables sécurité pensent que la proposition de Google consistant à réduire la durée des certificats TLS de 398 jours à 90 jours amplifiera les enjeux existants autour de la gestion des certificats. Une écrasante majorité (94 %) des personnes interrogées s’inquiétaient des impacts de la transition, avec près de 73 % d’entre elles estimant que celle-ci pourrait même diminuer leur sécurité.

Volatilité du paysage des AC – Le récent décret selon lequel les certificats émis par l’Autorité de Certification (AC) Entrust ne seraient plus approuvés constitue encore un bouleversement dans le marché des AC. En effet, 88 % des responsables sécurité affirment que leur organisation a été impactée par des révocations d’AC. Parmi eux, 45 % ont dû déployer des ressources supplémentaires pour trouver, résilier et remplacer les certificats, 38 % ont subi un incident sécurité et 31 % ont subi une panne liée aux certificats.

Scepticisme quantique – Face à la dynamique actuelle autour de la nécessité d’une migration vers de nouveaux algorithmes de cryptage résistants aux calculateurs quantiques, 64 % des responsables sécurité affirment « redouter le moment » où leur direction va les questionner concernant leurs plans de migration. 78 % d’entre eux déclarent que le jour où un ordinateur quantique capable de forcer le cryptage verra le jour, ils « y feront face à ce moment-là », et 60 % d’entre eux estiment que les systèmes informatiques quantiques ne présentent aucun risque pour leur société, que ce soit aujourd’hui ou demain. En outre, 67 % d’entre eux écartent la question, estimant que l’hypothèse d’une « apocalypse quantique » a été surestimée.

« Nous venons de vivre la plus grosse panne informatique mondiale ; la panne liée à la mise à jour CrowdStrike provenait d’une erreur et elle était inattendue. Les équipes sécurité savent qu’elles s’exposent à des risques majeurs lorsque surviendront de nouvelles pannes causées par ce qu’elles redoutent le plus : de nouvelles expirations de certificats », affirme Kevin Bocek, Directeur de l’innovation chez Venafi. « Le passage à des durées réduites de certificats diminue considérablement ces risques et elle est devenu nécessaire. Toutefois, cela peut également engendrer un certain chaos pour les équipes sécurité, et avec la perte de fiabilité des certificats émis par Entrust dans Chrome, on fait face à un double coup dur. Il n’y a pas que le canari dans la mine, il y a une marmotte lanceuse d’alerte dans chaque Cloud, chaque machine virtuelle, chaque cluster Kubernetes. On ne parle pas que d’un seul fournisseur d’actualisation de logiciels, mais de l’intégralité d’Internet tel qu’on le connaît ».

Avec le passage aux certificats de 90 jours, les structures vont devoir renouveler leurs certificats cinq fois plus souvent qu’elles ne le font aujourd’hui, ce qui signifie cinq fois plus d’efforts. D’après l’étude, cela représentera un défi majeur pour les sociétés à deux titres :

Retard de déploiement – Seuls 8 % des responsables sécurité automatisent entièrement tous les aspects de la gestion des certificats TLS dans l’ensemble de leur entreprise, et près d’un tiers (29 %) continuent de recourir à leurs propres logiciels et tableurs pour gérer la problématique. En conséquence, il faut en moyenne 2 à 3 jours de travail (21,75 heures) pour déployer un certificat.

Transformation TLS – Le volume de certificats TLS utilisés par les organisations est en hausse constante, en raison d’une utilisation croissante des technologies ces dernières années. 95 % des responsables sécurité déclarent que les initiatives de transformation numérique ont entraîné une augmentation de l’utilisation des SSL/TLS par leur organisation de 36 % en moyenne l’an dernier. Ainsi, une entreprise gère actuellement 3730 certificats TLS en moyenne, et ce chiffre devrait augmenter de 39 % d’ici 2026, pour atteindre plus de 5000 certificats.

On assiste à des enjeux similaires avec l’informatique quantique. 67 % des personnes interrogées pensent que la transition à la cryptographie post-quantique sera catastrophique, étant donné qu’ils ne savent pas où sont leurs clés et certificats. Si l’on examine plus en détail les enjeux posés par ces transitions, les 3 principales préoccupations qui reviennent sont le rythme potentiel de la migration, l’ampleur et le coût, et le manque de compétences et connaissances en interne. Cependant, 86 % d’entre eux estiment que le contrôle de la gestion des clés et certificats constitue la meilleure façon de se préparer aux risques quantiques à venir.

« C’est une excellente nouvelle : des certificats de 90 jours, au remplacement des AC non-approuvés, en passant par la transition post-quantique, les équipes sécurité ont aujourd’hui des capacités qui n’étaient pas disponibles il y a encore quelques années. Les équipes sécurité peuvent désormais avoir leurs émetteurs CLM (gestion du cycle de vie des certificats), PKI-as-a-Service (infrastructure à clé publique fournie en tant que service) et identités de charge de travail sur un seul plan de contrôle » conclut Kevin Bocek. « L’argument commercial est simple pour assurer une transition aux certificats de 90 jours sans encombre. Contrairement à la dernière grosse panne informatique, on est prévenu de l’arrivée du problème, et l’automatisation mise en place avec la sécurité des identités machines nous permet d’être prêts pour l’avenir post-quantique, la prochaine perte de fiabilité d’AC, et pour fonctionner dans n’importe quel Cloud choisi par nos développeurs. Chez Venafi, nous sommes armés pour faire face aux défis actuels ».


Voir les articles précédents

    

Voir les articles suivants