ven. Déc 13th, 2019
venafi - steven satchwell

Les pannes informatiques : un symptôme lié à l’insuffisance de protection des identités machine

Par Steven Satchwell, directeur UK chez Venafi

La transformation digitale a profondément fait évoluer le mode de fonctionnement des sociétés. Ce changement s’est révélé de manière flagrante dans le secteur des services financiers, où l’émergence de la fintech et l’adoption rapide des nouvelles technologies ont fait exploser le nombre de machines sur les réseaux d’entreprise.

La définition même d’une machine sur les réseaux des services financiers a fondamentalement changé suite à l’adoption de technologies telles que le cloud, le DevOps et les appareils intelligents. Une machine peut être physique (serveur, ordinateur portable ou routeur par exemple), mais il convient désormais de traiter les machines virtuelles, les applications mobiles, les algorithmes, les conteneurs et les API comme des machines. Toutes celles-ci doivent pouvoir communiquer de manière sécurisée et répondre à des critères stricts de conformité, de fiabilité et de disponibilité, qui constituent de réelles difficultés pour les nombreuses entreprises dont les clés et les certificats, qui font office d’identités machine sont mal compris et peu protégés. Ils sont en outre gérés par deux équipes distinctes (informatique et sécurité), aux objectifs différents, ce qui a conduit la plupart des sociétés à négliger l’importance du rôle des identités machine en termes de sécurité.

 

Identités machine et informatique

Les services financiers ont traditionnellement confié leur fiabilité au service informatique, bien que cette responsabilité ne traite pas du rôle des identités machine en matière de protection des données financières des entreprises et de leurs clients. Au lieu de cela, les administrateurs informatiques s’efforcent d’éviter que les identités machine n’expirent inopinément afin d’éviter toute interruption des infrastructures critiques susceptible de nuire à la fiabilité et à la disponibilité des services. Lorsque des pannes liées aux certificats se produisent, comme c’est régulièrement le cas dans la plupart des entreprises, elles sont très difficiles à diagnostiquer et donc presque impossibles à résoudre rapidement. Les administrateurs informatiques recourent donc souvent à la méthode la plus expéditive pour déployer et renouveler les identités machine. Certains raccourcis susceptibles de nuire à la sécurité de ces identités sont ainsi employés pour permettre à l’équipe informatique d’atteindre ses objectifs de fiabilité et de disponibilité. Après tout, la fiabilité et la confiance sont cruciales dans le monde de la banque. Lorsqu’une banque cesse de fonctionner, elle restreint gravement nos vies et nos activités, en particulier au Royaume-Uni avec le déclin des espèces, qui ne représenteront plus que 26 % des ventes d’ici 2026.

 

Identités machine et sécurité

Les équipes de sécurité travaillent sans relâche pour garantir la sécurité des communications entre les populations de machines des réseaux d’entreprise en constante évolution, bien qu’elles aient cessé de gérer physiquement, voire d’accéder aux machines sur lesquelles les identités machine sont installées. Ce phénomène crée des difficultés, car les administrateurs de sécurité doivent s’assurer que les identités machine respectent les politiques de la société, sont déployées et configurées convenablement, et sont renouvelées avant d’expirer. Le problème s’intensifie, car ces équipes ne disposent généralement pas des outils nécessaires pour appliquer les politiques de l’entreprise relatives aux identités machine. Pire, elles possèdent rarement les informations de base concernant les identités machine présentes sur leur réseau. Une récente étude de Venafi a révélé que les sociétés de services financiers assurent le suivi de seulement 42 % des types les plus courants d’identités machine. Lorsque vous y pensez, il n’est pas surprenant que les cybercriminels exploitent les identités machine faibles, absentes ou non protégées lors de leurs attaques.

 

Prenons un peu de recul : Pourquoi avons-nous même besoin d’identités machine ?

Les identités machine sont omniprésentes sur les réseaux d’entreprise. À titre d’exemple, on peut citer les certificats TLS, qui permettent aux machines de déterminer si elles peuvent se connecter et communiquer de manière sécurisée avec leurs homologues. Cette opération s’apparente grandement à celui des noms d’utilisateur et des mots de passe pour les humains. Sans ces identifiants, l’accès est refusé. Les clés et les certificats fonctionnent de manière similaire pour les machines.

Les entreprises ont conscience du rôle fondamental des identités en termes de sécurité ; c’est pourquoi elles dépensent des millions d’euros par an pour protéger les identités des personnes. Elles peuvent ainsi répondre rapidement lorsqu’elles disposent de preuves indiquant que les identifiants de connexion d’un utilisateur ont été dérobés ou compromis.

Bien que les identités machine octroient des niveaux d’accès privilégié bien plus élevés que les identités humaines, la plupart des entreprises n’ont pas investi dans des technologies destinées à les protéger. En effet, une identité machine volée, compromise ou faible peut persister sur un réseau d’entreprise pendant des semaines, des mois, voire des années. La protection des identités machine est encore plus importante pour l’industrie des paiements, car elle permet à l’infrastructure de détecter les appareils valides et éviter la compromission de l’authentification multifacteur comme les défaillances ponctuelles.

 

La sécurité dépassée des identités machine

Les entreprises n’investissent pas dans les contrôles de sécurité des identités machine, car elles n’ont pas conscience de l’ampleur ou du périmètre du problème. Les équipes de sécurité gèrent souvent ces actifs de sécurité stratégiques en combinant un patchwork de tableaux de bord, des logiciels développés en interne et des feuilles de calcul dispersées.

Ces solutions auraient pu fonctionner il y a cinq ans lorsque les entreprises ne se préoccupaient encore que d’une poignée de centaines de serveurs physiques dans leur centre de données, mais ce nombre se monte aujourd’hui à des centaines de milliers d’identités machine. En l’absence de solutions capables de suivre, gérer et protéger les identités machine, les équipes opérationnelles ou de sécurité ne peuvent pas suivre le rythme, sans parler d’obtenir une visibilité complète. Dans le secteur des services financiers où les données les plus sensibles sont concernées, l’étude a mis en évidence que la préoccupation principale de 58 % des personnes interrogées est le vol ou la perte des données des clients.

 

Le lien entre les pannes et la sécurité

Après avoir pris conscience du manque flagrant d’informations sur les identités machine à disposition des équipes informatiques, il est tout naturel que la quasi-totalité des services informatiques soient confrontés à des pannes liées aux certificats. Si vous êtes en première ligne, il est moins évident que ces pannes constituent le symptôme d’un problème de sécurité à bien plus grande échelle. Étant donné que l’équipe informatique n’aborde pas non plus la prévention des pannes avec son homologue de sécurité, il est improbable que les dirigeants fassent le lien entre la persistance des problèmes de fiabilité opérationnelle et les risques de sécurité.

 

La lumière à la fin de la panne

Heureusement, les entreprises de services financiers ont trouvé un moyen de résoudre ce problème, et nous avons déterminé la marche à suivre pour renforcer la protection des identités machine. Nous savons également que si cette opération est menée à bien convenablement, la sécurité et la fiabilité s’en trouvent radicalement améliorées.

Les machines deviendront de plus en plus intelligentes, flexibles et omniprésentes dans les années à venir. Votre entreprise est-elle prête à relever le défi ?

%d blogueurs aiment cette page :