Tribunes

Florange Telecom

L'approche radicaliste de l'architecture du Web : l'assembleur

Big Dataxe

Le Big Data individuel

La comptine du cloud

Toute les tribunes

La vidéo du moment
Actualité marchés verticaux

Chronopost lance la livraison le dimanche

par Rick
le 23/09/2017 à 12:33

Les notaires adoptent la lettre recommandée électronique de Maileva

par arnaud
le 13/09/2017 à 11:28

Captivea ouvre le premier club utilisateur SugarCRM francophone

par Celia Jay
le 21/08/2017 à 10:35

Captivea ouvre le premier club utilisateur SugarCRM francophone

par Francois PAPON
le 11/08/2017 à 11:59

Capgemini améliore sa marge

par lecteur-itrnews
le 10/08/2017 à 03:51

Rechercher
Services
Logo_abonn Job Les derniers communiqués de presse Proposer un communiqué de presse
Fils RSS : Top 10 quotidien

Les problèmes de clés et de certificats numériques coûtent cher aux entreprises françaises

mercredi 18 novembre 2015

Ponemon Institute et Venafi viennent de publier une étude sur l’incidence économique directe, pour les entreprises françaises, de la non-sécurisation des clés cryptographiques et autres certificats numériques. Non protégés et mal gérés, ils peuvent entraîner une perte de clientèle, de coûteuses interruptions d’activité, des défaillances d’audit et des failles de sécurité. Rien que ça !

Premier constat : à partir du moment où la confiance en ligne est rompue, les entreprises perdent des clients. Près des deux tiers des sondés en France admettent avoir perdu des clients faute d’être parvenus à garantir la confiance en ligne instaurée par des clés et certificats, ce qui représente un coût moyen de 11 millions d’euros par interruption.

Second constat : les systèmes métiers stratégiques subissent des défaillances. En moyenne, chaque entreprise française a subi, depuis deux ans, trois arrêts liés à des certificats. Ce nombre est nettement plus élevé que la moyenne mondiale (qui est de deux arrêts).

Troisième constat : les entreprises échouent aux audits. En moyenne, les entreprises françaises ont échoué à au moins deux audit SSL/TLS et à au moins deux audit SSH au cours des deux dernières années. Là encore, ce nombre est bien plus élevé que la moyenne mondiale qui est de un audit dans les deux cas.

« À partir du moment où les entreprises ne sécurisent ni ne gèrent correctement leurs clés et certificats, l’impact financier direct se traduit par une perte de clientèle et un manque à gagner, précise Kevin Bocek, Vice President of Security Strategy and Threat Intelligence chez Venafi. Dans leur activité, les entreprises sont toutes tributaires de la confiance instaurée par les clés et certificats, même si elles n’en sont pas conscientes. C’est pourquoi il est impératif que les équipes dédiées à la sécurité informatique et celles dédiées à l’opérationnel réalisent périodiquement des audits pour localiser la totalité des certificats et clés utilisés, établir les dates d’expiration, puis mettre en place des règles appropriées pour éviter le piratage de données, les arrêts intempestifs et les défaillances d’audits ».

Depuis la banque en ligne et les applications mobiles jusqu’à l’Internet des objets, tout ce qui est basé sur IP fait appel à une clé et à un certificat pour établir une connexion digne de confiance, et cette dépendance vis-à-vis des clés et certificats ne fait que s’accentuer du fait du recours croissant au protocole SSL/TLS et des accès mobiles, WiFi et VPN. Elle accroît considérablement les risques en termes de disponibilité, de conformité et de sécurité, sachant que, dans ces domaines, l’importance des risques encourus n’est pas la même. Les risques liés à la sécurité sont presque huit fois plus importants que ceux liés à la disponibilité et à la conformité. Ainsi, dans les deux ans à venir, le seul risque lié à la sécurité devrait peser 41 millions d’euros, contre 5 millions d’euros pour les risques conjugués de conformité et de disponibilité.

Interrogés sur les difficultés posées par la protection et la gestion des clés et certificats, 63 % de professionnels français de sécurité informatique affirment ignorer le nombre de clés en leur possession, l’endroit où elles se trouvent ou encore la façon dont elles sont utilisées. Et ils sont 59% à déplorer l’absence de règles et de correctifs pour les clés et certificats. Les entreprises doivent donc impérativement régler ces problèmes.

"À l’évidence, les données figurant dans ce rapport sont symptomatiques d’une problématique de sécurité plus large : si vous ignorez où se trouvent vos clés et certificats, vous ne pouvez assurer leur suivi et êtes incapable d’automatiser leur cycle de vie ; en d’autres termes, vous ne parvenez tout simplement pas à les protéger. Raison pour laquelle, tôt ou tard, la confiance sur Internet est rompue" conclut Larry Ponemon, Chairman and Founder of The Ponemon Institute.

SQ 250-300

Les commentaires

Article très pertinent. Les enjeux de la gestion de certificats et de clés deviennent importants. Ainsi, les organisations commencent à prendre en compte le besoin de rendre obsolète périodiquement les clés SSH. Ce qui, de fait, ajoute un coût significatif aux infrastructure d'échange basées sur SSH et SFTP. De même, l'utilisation systématique de TLS entre serveurs, y compris en interne, et l'accélération du cycle de vie des certificats, créent une complexité, un coût et des interruptions de services dans les échanges.
J'ai rencontré récemment une grande banque en au Benelux, ce n'est pas moins de 4 personnes qui travaillent à plein temps pour gérer l'obsolescence des certificats.
Au moment, où on parle d'automatisation à tout prix et de réduction des opérations manuelles au sein des data-centers, les solutions telles que Axway Central Governance qui automatisent la gestion du cycle de vie des certificats devraient connaître un grand succès.

Par Jean-Claude Bellando le 23/11/2015 à 11:10

Les 10 derniers articles mis en ligne