‘’Le dilemme des cerises et du gâteau’’
Stéphane Dorchin – Southern Europe Director chez VENAFI
Disposer d’une visibilité sur les identités machine, notamment les certificats numériques et les clés cryptographiques, permet d’anticiper la charge de travail, d’éliminer les pannes, de réduire ses risques en détectant les identités machine faibles et vulnérables. Dans un monde digital, ou tout se passe via des machines, la visibilité est devenue vitale pour les équipes de sécurité.
La visibilité ne constitue plus un atout, mais une nécessité. Pourquoi ?
Simple, commencons par une question de bon sens : Est-ce que vous vous rendriez dans une ville inconnue par la route sans carte (papier ou numérique) ? Si vous souhaitez être efficace, certainement pas. N’emporteriez-vous pas au moins une carte générale pour savoir quelle direction prendre ou une carte détaillée de manière à suivre la route la plus directe.
« La comparaison est facile, Stéphane », m’a dit un jour un RSSI, « mais dans la réalité, il n’est pas si facile d’obtenir la cartographie des identités machine et donc d’y voir clair… »
Vraiment ? Avez-vous réellement essayé d’y parvenir ? Les entreprises disposent depuis longtemps d’une ‘’cartographie (annuaire, liste, référentiel) très précise’’ de leurs utilisateurs, mais n’ont encore rien entrepris quant aux machines qui pullulent sur leurs réseaux. Chers profesionnels de la sécurité, il existe dix fois plus de machines que d’utilisateurs dans votre entreprise, et ce sont en définitive ces machines qui pérennisent vos activités en veillant à leur conformité et en sécurisant vos données et vos finances. Les machines ne sont pas vouées à disparaître et il ne nous est plus permis de les ignorer.
Mieux vaut commencer par découvrir le gâteau plutôt que de penser aux cerises.
Le professionnel de la sécurité en entreprise est souvent tenté de privilégier les cerises (la gouvernance et l’automatisation) sans analyser d’abord votre gâteau (la visibilité).
Lorsque je rencontre des RSSI, la plupart d’entre eux me suggèrent de m’adresser à leur service informatique ou SecOps, car les identités machine ne relèvent pas de leur fonction. Ah ? Les RSSI ne sont-ils pas censés s’occuper de sécurité et assurer la gouvernance ? Oui, bien sûr, ils doivent gérer la sécurité, mais la plupart du temps, leurs actions portent sur les personnes ou les utilisateurs.
Je me rends donc dans les services informatiques pour rencontrer les SecOps, les équipes PKI, production, réseau, l’architecte de sécurité, DevOps, etc.
Résultats a peu prés similaires partout : ces experts en sécurité n’ont qu’une vague idée, voire aucune idée, de leurs machines et de leurs identités. L’identification (Emetteur, Positionnement dans le SI, caractéristiques cryptographiques) des identitiés machines (hormis celles issue de la PKI, et encore) ne consitituent pas des informations critiques à la sécurité de l’entreprise.
Je leur pose une question simple : « Sommes-nous en sécurité (car je suis l’un de vos clients) ? » Leur réponse ressemble souvent à la suivante : « Nous le pensons, car nous avons déployé les certificats via notre PKI, mais pas sur toutes les machines et nous ne savons pas quoi, où, ni quand les identités machines ont été déployées.»
Même si cette réponse fait peur, elle est néanmoins honnête, et reflète la realité du terrain : les équipes de sécurité n’ont pas les moyens de connaître l’état des identités machines. La question importante est la suivante : « Souhaitez-vous demeurer ainsi jusqu’au jour où vous vous ferez pirater (comme Equifax ou Marriott) ? Souhaitez-vous observer une augmentation des pannes en raison de l’expiration imprévisible d’un nombre croissant de certificats et ne rien faire pour y remedier?Je ne vous parle pas (encore) d’automatisation, de gouvernance, d’évaluation des risques, de cryptoagilité, ni de migration SHA1-SHA2. Ces domaines constituent les cerises sur le gâteau. Nous devons d’abord nous soucier du gâteau lui même, à savoir la visibilité. La visibilité est vraiment simple. Pour l’obtenir, il s’agit principalement d’une question de priorité et de volonté de votre fait, et de disposer de l’outil adéquat.
Comment réagiriez-vous si je vous affirmais que vous pouvez bénéficier de la visibilité nécessaire sur toutes vos identités machine ? et ce sans vous lancer dans un projet pharaonique ! Ne seriez vous pas tenter de regarder sous le tapis et d’analyser vos risques, vos faiblesses ?
Venafi vous le permet. Vous pouvez créer l’inventaire de l’ensemble des clés et des certificats actuellement actifs sur votre réseau (émises par vos PKIs ou pas). En outre, vous pouvez obtenir la liste de tous les certificats illégitimes affiliés à votre entreprise sur Internet (et ainsi protéger votre marque et réputation).
Bien sûr, il est probable que vous obteniez des milliers d’identités machine accompagnées de tous les détails « croustillants » : date d’expiration, émetteur, caractéristiques cryptographiques, nombre de doublons d’identité, emplacement d’installation, etc.
Le gâteau est donc plus gros que vous ne le pensez. Et qui dit gros gâteau, dit aussi plus de cérises.
Imaginez simplement le nombre de cerises de gouvernance et cerises d’automatisation que vous pouvez ajouter grâce à la visibilité ? Ne seriez vous pas plus pertinent face aux managers pour leur expliquer les risques liés à leur business, la réalité de transformation digitale, la cloudisation, les DevOps … chiffres à l’appui !
Nous sommes bien sûr conscients que vous devez d’abord mettre en place une visibilité globale et permanente pour mieux comprendre vos identités machine avant de prendre d’autres mesures.
C’est pourquoi nous avons décidé de vous laisser utiliser notre plateforme pour renforcer votre visibilité, créer vos inventaires, identifier vos vulnérabilités et connaître le volume et caractéristiques de vos identités machine.
Vous connaîtrez votre degré d’exposition afin de pouvoir agir. Grâce à ces informations, vous pourrez concevoir une stratégie basée sur vos évaluations de risque quantifiées avant d’opter pour gouverner, contrôler et automatiser cet environnement : les cerises.
Nous fournirons également les cerises, mais commençons par le gâteau. Mon prochain article de blog vous indiquera comment cuire le gâteau. Si la visibilité correspond au gâteau, l’intelligence équivaut à sa cuisson. Toutes ces phases doivent être mises en œuvre avant d’ajouter les cerises, à savoir l’automatisation et la gouvernance. Je suis français et aime les pâtisseries. Je sais qu’un gâteau mal fait ne sera jamais bon, indépendamment de la qualité des cerises. Tout le monde souhaite manger un bon gâteau avec de bonnes cerises.
Nous ne sommes pas encore arrivés au moment des cerises, mais après une bonne cuisson, nous obtiendrons un excellent gâteau digne de les accueillir !