AVIS D’EXPERT – Le projet Chromium – un projet de navigateur open source soutenu par Google – a publié l’an dernier sa feuille de route pour bâtir un Internet plus sûr, plus rapide et plus stable, contenant des recommandations visant à réduire la durée de vie des certificats Transport Layer Security (TLS) de 398 jours à 90 jours. Une tribune de Kevin Bocek, Chief Innovation Officer chez Venafi
Le coup d’envoi a ainsi été donné à l’industrie. Opérateur de Chrome, Google a le pouvoir d’imposer des périodes de validité plus courtes en les rendant obligatoires, ce qui deviendra probablement la norme de facto pour tous les navigateurs dans un avenir proche. Lorsque ces changements entreront en vigueur, toutes les entreprises qui utilisent des certificats TLS – c’est-à-dire toutes les entreprises qui connectent des services à Internet – seront concernées. Les certificats TLS sont des identités machine qui permettent aux systèmes de communiquer entre eux en toute sécurité via Internet. S’ils ne sont pas réémis ou remplacés avant leur expiration, le service qu’ils connectent cesse de fonctionner. Il en résulte des pannes extrêmement coûteuses, des perturbations et des risques accrus pour la sécurité. Tout le monde en a fait l’expérience avec son navigateur en recevant une erreur indiquant une connexion à un site non sécurisé. Alors que le volume des identités machine explose et que la vitesse à laquelle elles doivent être remplacées s’accélère, ces changements menacent d’exposer les entreprises à des pannes et à des failles. Afin d’éviter d’importants préjudices au niveau financier et de leur réputation, les entreprises doivent de toute urgence intégrer un degré élevé d’automatisation dans leur stratégie d’identités machine.
Une charge numérique croissante
Depuis quelques années, la tendance est à la réduction de la durée des certificats TLS/SSL, passée de cinq ans à deux ans en 2018, puis à 13 mois en 2020. En général, une durée de vie plus courte renforce la cybersécurité à plusieurs égards. En effet, si une menace parvient à s’emparer d’un certificat volé ou compromis, elle disposera d’une fenêtre de tir plus réduite pour l’exploiter. Une durée de vie plus courte favorise également une rotation plus régulière des clés qui n’aurait peut-être pas été possible autrement, tout en simplifiant la gestion des révocations. Cela réduit par ailleurs le risque que les organisations persistent à utiliser des algorithmes de chiffrement obsolètes. Enfin, cela encourage les entreprises à être moins dépendantes d’une seule et même autorité de certification (AC). Néanmoins, une durée de vie des identités machine réduite à 90 jours risque de faire peser une charge supplémentaire importante sur les équipes de sécurité. Étant donné que dans le cadre des bonnes pratiques, il est recommandé de renouveler les certificats 30 jours avant leur expiration, cela nécessiterait six rotations de certificats TLS par an, au lieu d’une seule actuellement. S’ils ne sont pas tous repérés et remplacés, cela pourrait entraîner d’importantes pannes de services ou d’applications. La charge sera d’autant plus importante que le volume de certificats TLS/SSL continue de grimper en flèche, au même titre que la complexité associée à la gestion des identités machine. En parallèle, la dépendance accrue à l’égard des services cloud et du cloud complique encore les problématiques liées aux certificats réduits à 90 jours, notamment quant à savoir ce qui va expirer et comment y remédier. Une étude a révélé que le nombre moyen d’identités machine par organisation fin 2021 s’élevait à près de 250 000, avec une croissance estimée à 42 % par an. Pour les organisations de plus de 10 000 employés, ce chiffre était de 320 000 identités machine début 2022 et pourrait plus que quadrupler d’ici 2025 pour atteindre 1,3 million. Si l’on conjugue ce volume à la charge supplémentaire que représente la gestion de durées de vie plus courtes, on obtient la recette d’une montée en flèche des risques pour la sécurité et des pannes.
Une réduction de la durée de vie susceptible d’exposer davantage les entreprises
Qu’est-ce que cela pourrait signifier pour les organisations ? Si elles ne sont pas en mesure de gérer efficacement un grand nombre de renouvellements chaque année, il pourrait en résulter des pannes et des failles de sécurité majeures. Lorsque des certificats expirent, les navigateurs web, applications mobiles, API et autres machines ne peuvent pas les authentifier, ce qui met les applications hors ligne. Des sites web en contact avec les clients et des applications internes critiques telles que des services de messagerie électronique et de connectivité VPN peuvent ainsi être mis hors service. À tout le moins, cela peut se traduire par des avertissements affichés par le navigateur sur les sites web qui effraient les clients, mais aussi exposer le trafic web à un risque d’interception par des cybercriminels. Diverses organisations, du gouvernement américain à Spotify, ont directement constaté l’impact que peut avoir le scénario d’une panne. Selon une étude, 83 % des organisations ont subi une panne liée à un certificat au cours des 12 derniers mois, tandis qu’un quart d’entre elles (26 %) affirment que cela a affecté des systèmes essentiels à leur activité. Il faut donc s’attendre à une augmentation de ce type d’incidents si la durée de vie des identités machine est réduite. Les certificats ayant expiré mettent également les clients en danger, car ils permettent aux menaces de lancer plus facilement des campagnes de phishing et des attaques man-in-the-middle (MITM). Un plus grand nombre de sites web qui ne peuvent pas être authentifiés et dont le certificat expire ferait le bonheur des hackers, qui espèrent voir les utilisateurs accepter les erreurs et cliquer jusqu’au bout pour déclencher l’attaque.
La solution passe par l’automatisation
Le seul moyen de limiter ces difficultés à grande échelle est d’intégrer l’automatisation dans la gestion des identités machine. Dans les environnements cloud-native dynamiques et éphémères, il est essentiel de mettre en place un plan de contrôle pour gérer l’ensemble du cycle de vie des identités machine et automatiser à travers le centre de données et plusieurs clouds. Qu’il s’agisse d’un développeur/éditeur ou d’un consommateur de logiciels, toute organisation a besoin de contrôles automatisés pour veiller à ce que l’ensemble de ses ressources numériques puissent se connecter, s’authentifier et communiquer en toute sécurité. Des technologies comme ACME et des logiciels open source comme Certbot ont fait naître l’espoir d’une automatisation simple et définitive. Toutefois, le défi réside dans le fait que ces technologies n’apportent pas à elles seules l’assurance que les changements ont été effectués, pas plus qu’elles n’ont la capacité de commander une flotte de bots d’automatisation. L’automatisation effectuée par un bot ou une infrastructure as code avec Ansible ou Terraform doit toujours disposer d’une boucle de rétroaction succès/échec et doit toujours être confirmée, tout en ayant la possibilité d’effectuer des changements. Néanmoins, l’automatisation à elle seule n’est pas une solution miracle. Les solutions de gestion des identités machine doivent être conçues pour offrir un ensemble unifié et intégré de fonctionnalités, parmi lesquelles la découverte et l’inventaire en continu des certificats TLS/SSL, notamment l’identité de leur propriétaire, leur emplacement et leur date d’expiration. Elles doivent également prévoir une fonction de renouvellement automatique afin d’éviter les interruptions dues à une expiration des certificats. Par ailleurs, une surveillance et un reporting continus et en temps réel permettent de s’assurer que tous les certificats respectent une durée de vie de 90 jours et les politiques de l’entreprise qui s’y rapportent. Les meilleurs outils ne se contentent pas de couvrir ces bases, puisqu’ils s’intègrent étroitement à des outils DevOps par le biais d’API. Ceci permet d’automatiser la fourniture de certificats dans les environnements de développement et de veiller à ce que les applications nouvelles et existantes respectent strictement des périodes de validité raccourcies.
Se préparer au cloud
Les défis liés à la gestion des identités machine ne se limitent pas uniquement au cloud, mais ils se multiplient indéniablement compte tenu de la complexité et de l’évolution rapide qui caractérisent ces environnements. Selon une étude, la mauvaise gestion des certificats constitue déjà l’une des trois principales causes des problèmes de sécurité dans le cloud, citée par deux organisations sur cinq (39 %). Parmi les nombreuses répercussions potentielles figurent un ralentissement et une perturbation de la transformation numérique, des expériences négatives pour les clients et des violations de données. Les entreprises désireuses d’acquérir un avantage concurrentiel grâce à la transformation numérique ont d’ores et déjà un défi de taille à relever quant à la gestion des identités machine. Et ce défi ne fera que croître à mesure que la durée de vie des certificats se raccourcira et que le volume de certificats augmentera. C’est pourquoi il est recommandé de mettre en place dès aujourd’hui un plan de contrôle automatisé, ceci afin d’apporter la sécurité et la résilience nécessaires aux entreprises pour prospérer demain.
Kevin Bocek, Chief Innovation Officer chez Venafi