À mesure que les infrastructures basées sur le cloud se complexifient et que l’IA et les menaces sur l’informatique quantique augmentent, il devient de plus en plus complexe de maintenir la confiance numérique. La plupart des entreprises sont déjà confrontées à la difficulté de gérer la PKI et les certificats – l’ADN technique de la confiance numérique – ce qui entraîne des pannes, des échecs de conformité et autres incidents de sécurité. Elles doivent donc se lancer dans un long parcours pour établir une confiance numérique durable.
Pour les lecteurs de Solutions numériques & cybersécurité, les explications de Pierre Codis, AVP of Sales Nordics & Southern Europe chez Keyfactor et directeur général de la filiale française.
La progression vers la confiance numérique doit reposer sur 3 piliers indispensables : sécurité et fiabilité, transparence et visibilité et conformité et éthique. Ils permettront à des technologies et systèmes de plus en plus sophistiqués de fonctionner de manière optimale.
1. Sécurité et fiabilité
La complexité croissante des écosystèmes de fournisseurs et de la supply chain des logiciels engendre une dépendance évidente à l’égard de systèmes numériques, qui doivent résister aux attaques, sans aucune défaillance.
La trio CIA (confidentialité, intégrité et disponibilité) permet d’assurer la sécurité des données d’une entreprise. Les technologies opérationnelles (OT) et de l’information (IT) n’ont pas toujours les mêmes priorités mais ces trois principes constituent la base de la sécurité de l’information.
Les incidents de sécurité, les brèches et les pannes peuvent être dommageables. Une faille de sécurité qui conduit à l’acquisition de données sensibles de clients entraîne souvent des sanctions financières. De même, une panne peut perturber l’activité commerciale, nuisant à la réputation de l’entreprise et entraînant une perte de confiance de la part des clients.
La clé de l’amélioration de la sécurité et de la fiabilité consiste à éliminer les pannes grâce à une meilleure gestion des certificats. Une gestion efficace de la PKI implique le suivi du cycle de vie de l’ensemble des certificats, l’automatisation des renouvellements et la garantie que tous ces certificats sont pris en compte. Les équipes responsables de cette gestion font souvent partie de services de sécurité ou IT. En automatisant la gestion des certificats, ils peuvent gagner un temps précieux et se concentrer sur les tâches les plus importantes.
2. Transparence et visibilité
Selon un récent rapport1, une entreprise gère en moyenne plus de 81 000 certificats de confiance en interne. Sans une visibilité complète, elle ne peut pas défendre efficacement son infrastructure numérique, effectuer des investigations approfondies ou répondre aux exigences de conformité.
Le problème fondamental réside dans l’absence de gouvernance et de rapports centralisés. Les environnements PKI décentralisés créent, en effet, de nombreux problèmes comme la prolifération de certificats, une informatique fantôme (shadow IT) et des autorités de certification (AC) non approuvées. En l’absence d’un système unifié de supervision et de gestion des certificats, les entreprises rencontreront des difficultés pour suivre, gérer et sécuriser leurs actifs.
Pour une gestion efficace de la PKI, les entreprises doivent être capables de suivre l’historique et le statut de chaque certificat, elles peuvent ainsi assurer la conformité, corriger les problèmes et garantir un degré élevé d’intégrité de la PKI. Pour cela, elles ont besoin d’outils qui centralisent les multiples processus du cycle de vie des certificats.
En outre, une visibilité globale ouvre la voie à l’automatisation qui renforce la sécurité et la fiabilité de l’infrastructure de clés publiques. La connaissance de l’état et de la gestion des certificats permet notamment aux entreprises d’automatiser les tâches chronophages telles que les renouvellements et les contrôles de conformité.
3. Conformité et éthique
Des réglementations internationales telles que le RGPD obligent les entreprises à adopter des pratiques rigoureuses en matière de protection des données. En outre, la cyberassurance exige de meilleurs audits et investigations pour garantir une réponse efficace aux violations et atténuer leurs effets.
Se conformer à ces diverses normes et obligations réglementaires est essentiel pour renforcer la confiance des clients et des partenaires. Cela implique interopérabilité, équité et une coordination sans faille.
La première étape consiste à s’entourer de fournisseurs qui accordent la priorité à la flexibilité du déploiement et à l’interopérabilité. Les entreprises peuvent s’adapter et s’intégrer plus facilement à d’autres technologies si elles évitent les fournisseurs qui les enferment dans une suite d’outils propriétaires. Cela leur fournit également plus de souplesse pour s’adapter rapidement aux nouvelles exigences réglementaires. En effet, la conformité ne doit pas être considérée comme un objectif final, mais comme une notion de base sur laquelle construire sa politique et ses pratiques. L’adoption d’une approche proactive de la conformité implique de surveiller en permanence le contexte réglementaire, d’anticiper les changements, d’adapter les politiques en conséquence pour garder une longueur d’avance sur des réglementations en constante évolution.
En outre, l’adoption d’une culture éthique va au-delà de la conformité réglementaire, elle s’étend de la gestion des données aux interactions avec les clients. Des politiques globales, qui vont au-delà des normes standards, renforcent la capacité des entreprises à gérer les risques et à instaurer et maintenir une confiance à long terme avec toutes les parties prenantes.
A l’instar des transports aériens, la technologie numérique n’est efficace que si les gens lui font confiance et l’utilisent. Le moindre doute peut éroder la confiance des utilisateurs dans la sécurité, la fiabilité ou l’intégrité d’un système numérique, voire la compromettre. Elle est donc devenue aujourd’hui un impératif pour les entreprises et la clé de voûte de leurs activités.
