Chiffrement : pour Venafi, la gestion des clés et des certificats reste artisanale
Les entreprises en utilisent de plus en plus, alors que le recours au chiffrement se généralise. Mais l’administration des clés et certificats reste majoritairement décentralisée.
Les entreprises françaises semblent prendre au sérieux la gestion des clés et des certificats utilisés pour leurs applications cryptographiques. De fait, 99 % de celles sondées par Venafi indiquent le faire dans le cadre de leur programme de sécurité. Mais cette gestion apparaît encore largement artisanale : seulement 36 % des entreprises la réalisent de manière centralisée.
Et pourtant, l’utilisation de la cryptographie explose : 55 % des sondés assurent avoir constaté une hausse de plus de 25 %, en 2016, du nombre de clés et de certificats utilisés dans leur organisation. Pour un quart des sondés, la progression a dépassé les 50 %. Et ce n’est pas près de s’arrêter : 52 % des sondés entrevoient une croissance de 25 % au cours des douze prochains moins. Dans l’Hexagone, 43 % des sondés indiquent utiliser plus de 2 500 clés et certificats, et même plus de 10 000 pour 17 %.
Kevin Bocek estime que cette étude, réalisée auprès de 505 professionnels de l’informatique aux Etats-Unis, au Royaume-Uni, en France et en Allemagne, « témoigne de l’essor massif et ininterrompu du recours à des protocoles chiffrés tels que HTTPS pour assurer des connexions sécurisées et authentifiées aux applications Web, aux services Cloud et à l’Internet des objets ».
Mais pour le vice-président stratégie sécurité de Venafi, les chiffres avancés par les sondés sont probablement sous-estimées : « l’adoption généralisée de DevOps, des conteneurs et des services Cloud n’est probablement pas prise en compte dans ces taux de croissance ». Une demi-surprise alors que près des deux tiers des entreprises ne gèrent pas leurs clés et certificats de manière centralisée…
Et personne n’apparaît à l’abri d’erreurs de gestion de clés. VMware en a encore récemment fait la démonstration, en diffusant une mise à jour pour vSphere Data Protection 6.1.x : les clés SSH n’étaient pas modifiées après déploiement. Et l’éditeur d’expliquer qu’une « clé privée SSH compromise d’EMC Avamar a été identifiée comme préconfigurée en tant que clé autorisée au sein de l’appliance vSphere Data Protection. Attaquant ayant accès au réseau interne pourrait en tirer profit pour accéder à l’appliance avec des privilèges de niveau root puis procéder à une compromission complète ».