Cette semaine ne déroulent les Assises de la Sécurité. Chaque jour nous vous proposons une étude sur la cybersécurité. Aujourd’hui, Venafi, avec une étude confiée à Forrester, soulève la question de la protection des clés et certificats utilisés par les machines pour s’identifier et s’authentifier.
Alors que nous nous concentrons sur la protection des noms d’utilisateur et des mots de passe, pratiquement rien n’est fait pour la protection des clés et certificats utilisés par les machines pour s’identifier et s’authentifier. Pourtant, le nombre de machines sur les réseaux d’entreprise ne cesse de monter en flèche !
Les analystes du Forrester décrivent ainsi ces ‘machines’ : « Les nouvelles technologies, telles que le cloud et la containerisation, ont élargi la définition de la notion de machine à un large éventail de logiciels émulant des machines physiques. De plus, ces technologies sont à l’origine d’une déferlante de machines nouvelles, en rapide évolution, sur les réseaux d’entreprise. »
8 entreprises sur 10 prises en défaut
Selon une étude de Forrester, 80 % des 350 professionnels confirmés de la sécurité informatique interrogés en charge de la gestion des identités et des accès dans leurs établissements - basés aux États-Unis, au Royaume-Uni, en Allemagne, en France et en Australie - éprouvent des difficultés à mettre en place des outils importants pour la protection de ces identités machines.
La question n’est pas de savoir s’il faut protéger les identités machines, 96 % des entreprises jugent essentielle la protection efficace des machines et des identités machines pour leur sécurité et leur viabilité à long terme. Ce que l’étude pointe, c’est l’absence d’investissement dans la veille et dans l’automatisation nécessaires à la protection de ces ressources de sécurité stratégiques.
Et les pirates, qui ne l’ignorent pas, prennent volontiers ces machines pour cibles car ce sont des ressources qui se révèlent incroyablement précieuses sur un large éventail de cyberattaques.
Identités et privilèges d’accès des utilisateurs et des machines
Les programmes de gestion des identités et des accès IAM (Identity and Access Management) se cristallisent sur l’individu. Mais récemment, la multiplication du nombre de machines sur les réseaux d’entreprise, les évolutions technologiques et les nouvelles capacités de calcul ont soulevé toute une série de difficultés exigeant de se recentrer sur la protection des identités machines.
C’est ainsi que les professionnels interrogés estiment que :
- 47 % - la protection des identités machines et celle des identités humaines seront tout aussi importantes dans leurs entreprises au cours des 12 à 24 prochains mois ;
- 43 % - la protection des identités machines revêtira davantage d’importance.
Mais ils sont 61 % à affirmer que leur plus grande crainte, au regard d’une gestion médiocre de la protection des identités machines, porte sur les pertes ou fuites de données internes...
Que de chemin reste à parcourir...
« Pour gérer et protéger efficacement les identités machines, les entreprises requièrent une totale visibilité sur l’ensemble des identités machines à l’échelle de leurs réseaux, une veille exploitable pour chacune d’elle, et les moyens de mettre en œuvre cette veille rapidement et à grande échelle », continuent les analystes de Forrester.
Le chemin risque d’être long, 70 % des professionnels admettent localiser moins de la moitié des identités machines les plus courantes sur leurs réseaux.
Interrogés sur le type d’identités machines ainsi pistées, ils sont seulement :
- 56 % à citer celles d’instances de plates-formes cloud ;
- 49 % à désigner celles d’appareils mobiles ;
- 49 % à mentionner celles de serveurs physiques ;
- 29 % à évoquer celles de clés SSH ;
- 25 % à citer les identités machines de microservices et containers.
Source : Etude « Securing The Enterprise With Machine Identity Protection » de Forrester Consulting pour Venafi en juin 2018
Image d’entête 544122376 @ iStock siraanamwong