Lorsqu'il s'agit de protéger votre réseau, l'identité est le nouveau périmètre

Avec l'essor de l'informatique en nuage, DevOps, IoT et les employés accédant aux systèmes avec une variété d'appareils du monde entier, le "périmètre" du réseau est devenu difficile à définir. En réponse, les entreprises se concentrent sur l'authentification, s'éloignant des méthodes traditionnelles de sécurité périmétrique au profit d'une technologie solide centrée sur l'identité comme l'infrastructure à clé publique (PKI), le plus souvent sous forme de certificats numériques.

Les TI ont changé radicalement

Pour comprendre à quel point le passage à l'identité numérique a été monumental, considérez comment étaient les départements TI. Même il y a seulement 10 ans, les départements TI jouissaient d'une propriété beaucoup plus grande sur tous les niveaux d'accès. Les entreprises possédaient leurs propres installations de centres opérationnels, matériel TI et machines clientes utilisées par les employés, dont beaucoup ne quittaient même pas le bâtiment. Il n'y avait pas d'appareils mobiles BYOD, et les personnes qui n'étaient pas des employés, comme les contractants et les clients, accédaient rarement aux réseaux de l'entreprise. Tout ce qui concernait les TI était contrôlé par un seul département qui, en fin de compte, répondait au CIO.

Les choses sont considérablement différentes aujourd'hui. Étant donné que la transformation numérique a touché tous les recoins de l'entreprise, pratiquement tous les départements et LOB développent des applications pour leurs propres opérations commerciales. Cela signifie qu'il y a des groupes de développement répartis dans toute l'entreprise, et ils pourraient rendre compte à presque n'importe qui. Ces développeurs ne sont même pas nécessairement des employés; ils peuvent être des consultants ou des fournisseurs rémunérés complètement en dehors du budget TI traditionnel.

Les développeurs créent des applications qui interagissent avec des systèmes dont ils peuvent ne pas connaître ou se soucier de l'emplacement physique ou de la propriété. Les employés utilisent souvent des appareils personnels, comme des téléphones et des ordinateurs, et l'entreprise a peu de contrôle sur leur sécurité. Avec un écosystème aussi décentralisé, comment peut-on établir une limite dans le réseau? Comment s'assurer que ces applications et équipes de travail forment une barrière sécurisée contre les attaques externes? Si aucune mesure n'est prise, les possibilités de violations, de vol de données et d'interruptions des affaires sont alarmantes.

L'identité est l'avenir

Dans l'environnement commercial actuel, l'identité est le nouveau périmètre de sécurité. Si chaque appareil, utilisateur, serveur, processus et IoT ont une identité unique, ces identités deviennent le nouveau "périmètre" empêchant l'accès non autorisé aux données et systèmes. En refusant l'accès à tout appareil ou processus qui n'a pas les autorisations correctes, on maintient à l'écart les acteurs non autorisés et on permet la continuité des processus commerciaux.

Et les mots de passe ne sont pas suffisamment sécurisés. Beaucoup de mots de passe peuvent être devinés et il existe des méthodes pour voler des mots de passe; en cas de violation, les identifiants sont parmi les premières choses qu'un intrus cherchera. Bien que les entreprises puissent mettre en œuvre des méthodes telles que l'authentification multifactorielle (MFA) pour aider un peu, personne ne veut se retrouver bloqué de tous ses comptes après avoir oublié son téléphone dans un bar. 

Dans le monde actuel, le "bord" (Edge) du réseau se trouve dans chaque élément logique discret. Chaque "entité" numérique connectée au réseau a besoin de sa propre identité. Chaque appareil mobile, chaque conteneur DevOps et chaque appareil IoT a besoin d'un certificat numérique unique. Chaque utilisateur a besoin d'une crédentiale solide, contrôlée par l'informatique centrale et liée à des accès et des permissions personnalisés pour la fonction de chaque utilisateur dans l'entreprise ou l'écosystème.

Le nombre d'entités nécessitant des certificats augmente de manière exponentielle avec les architectures informatiques modernes. Par exemple, les environnements DevOps ont besoin d'un certificat unique pour chaque conteneur créé dans le cloud, sinon il est possible qu'un conteneur faux soit injecté dans l'environnement et que des données soient volées, qu'un accès non autorisé soit accordé, que des processus soient interrompus ou que d'autres résultats négatifs se produisent. Étant donné qu'un conteneur peut ne durer que quelques minutes ou secondes avant de remplir sa fonction et d'être supprimé, le volume total de certificats sera bien plus important que dans une architecture informatique traditionnelle.

De manière similaire, si les intrus peuvent s'insérer dans un environnement IoT et accéder aux communications de ce réseau en se faisant passer pour un appareil valide, ils peuvent également voler des informations et interrompre les opérations. Ce sont les types de faiblesses que recherchent les attaquants.

Le nouveau périmètre de PKI

Une plateforme PKI moderne peut attribuer, suivre et gérer les cycles de vie des certificats pour chaque appareil. La valeur de cette fonctionnalité a été évidente pour les industries à haut risque comme la finance, mais à mesure que la technologie d'approvisionnement a évolué et que les méthodes d'authentification faibles mettent en danger les réseaux, PKI a servi de solution fiable et sécurisée dans toutes les industries. PKI est plus répandue que certains ne le pensent et s'est adaptée pour s'intégrer à l'entreprise moderne. Les itérations précédentes de la technologie PKI étaient suffisantes dans une seule pile technologique, comme Windows, mais doivent maintenant s'intégrer au cloud et aux appareils mobiles, ainsi qu'à leurs diverses plateformes et systèmes d'exploitation.

Pour implémenter PKI de manière efficace et complète en tant que nouveau périmètre, les entreprises devront disposer d'une plateforme de gestion des certificats capable de prendre en charge l'ensemble des cas d'utilisation de l'entreprise. La visibilité de tous les types et usages de certificats, tant publics que privés, est essentielle. Tout aussi importante est la technologie de support qui permet d'automatiser le déploiement, la surveillance et le renouvellement.

À mesure que les équipes chercheront à protéger leurs réseaux maintenant et à l'avenir, l'identité numérique deviendra de plus en plus le nouveau périmètre de l'entreprise.