Comment gérer les identités des machines
Les entreprises doivent vérifier que les machines, applications et appareils disposent bien d’une identité propre et des droits d’accès appropriés pour leurs communications en tâche de fond.
La gestion des accès et des identités (IAM) vise à assurer que les utilisateurs légitimes ont un accès approprié aux ressources IT. Mais un autre volet de l’IAM consiste à appliquer ce principe aux machines.
Dans le cadre de l’IAM, on entend par « machine » tout ce qui n’est pas une personne – par exemple, les serveurs, les terminaux mobiles, les applications, les sites Web, les logiciels, les API, les VM et les objets connectés, etc. Les machines ont toutes besoin d’une identité, établie grâce à l’utilisation de certificats numériques et de clés cryptographiques. Ces jetons de sécurité permettent aux protocoles, tels que HTTPS et SSH, de valider l’identité d’une machine.
Une fois authentifiée, la machine peut communiquer en toute sécurité avec d’autres machines. Il s’agit d’établir la confiance pour obtenir un accès légitime aux réseaux et aux ressources. Les entreprises ont besoin de gérer l’identité des machines pour garder les traces d’accès et s’assurer que les entités impliquées disposaient des autorisations appropriées. Une personne peut n’avoir besoin de se connecter qu’une seule fois pour consulter un compte en ligne, mais en coulisse, des centaines de machines doivent potentiellement s’authentifier pour répondre à la demande en toute sécurité.
Les organisations doivent gérer de manière proactive les certificats et les clés des machines sur l’ensemble du réseau de dispositifs physiques et virtuels. Les clés expirées peuvent entraîner des pannes de système qui rendent indisponibles des services essentiels. Des acteurs malveillants peuvent également exploiter des clés non protégées. Par exemple, l’attaque sur la chaîne logistique du logiciel s’étant appuyée sur SolarWinds a conduit à la compromission d’un certificat numérique émis par Mimecast et utilisé pour s’authentifier auprès des services Web Microsoft 365 Exchange.
Grâce à des identités de machines volées ou falsifiées, les cybercriminels peuvent accéder aux ressources du réseau. L’identité de la machine semble légitime et digne de confiance, ce qui réduit les chances de détection. Une identité d’utilisateur individuel permet à un attaquant d’accéder aux données de cette personne. Avec une identité machine, un attaquant peut accéder à des systèmes critiques et à de grandes quantités de données sensibles.
De l’importance de la gestion de l’identité des machines
La gestion des identités des machines est un élément essentiel de tout programme de cybersécurité. Malheureusement, la gestion du cycle de vie des identités des machines est difficile. C’est notamment dû à l’augmentation exponentielle du nombre et de la variété de ces entités, avec des clés et des certificats différents requis selon la machine, le protocole de communication et la demande. La durée de validité des certificats numériques a également connu des changements au cours de la dernière décennie. Elle est passée de huit ans à une fourchette de trois à cinq ans en 2011. Puis, en 2020, après un vote du Certification Authority Browser Forum, la durée de vie des certificats TLS est tombée à 398 jours.
Les organisations ont besoin d’un programme de gestion des identités des machines qui applique les meilleures pratiques tout au long du cycle de vie de chaque clé : inscription, provisionnement, renouvellement et révocation. Les entreprises doivent également former leur personnel aux processus impliqués dans le cycle de vie de l’identité d’une machine.
Un tel programme doit établir et maintenir une visibilité sur l’ensemble de l’infrastructure informatique de l’entreprise. Avec des systèmes informatiques modernes complexes et dynamiques, la gestion manuelle du cycle de vie des certificats n’est pas envisageable.
Tenir un inventaire des certificats et des clés numériques
Pour cela, il convient d’utiliser un outil d’analyse automatisé pour trouver l’emplacement et l’activité de chaque clé. L’outil d’analyse doit être capable de trouver les identités des appareils en dehors du périmètre du réseau, comme dans les environnements IoT et le cloud.
Il n’est malheureusement pas rare de trouver, dans les environnements cloud, des services SSH mal configurés. L’analyse réduit les problèmes de certificats en fournissant des détails sur chaque certificat, tels que son emplacement, son autorité de certification et sa date d’expiration.
Il peut s’avérer pertinent de regrouper les certificats en fonction de leur type, de leur date d’expiration, de leur criticité et d’autres critères jugés pertinents. Cette étape facilite la mise en œuvre de politiques de groupe centralisées sur les appareils, les traitements et les environnements.
Divers éditeurs proposent des logiciels de gestion du cycle de vie des clés qui inventorient les clés, les analysent et montrent les relations de confiance activées par chaque clé :
- SSH Communications Security
- Userify
- Venafi
- Sectigo
- Centrify
- Keyfactor
Il est également possible d’utiliser des projets Open Source, tels que CloudSploit et Scout Suite, qui détectent les mauvaises configurations et les risques de sécurité potentiels.
Analyser régulièrement les jetons de sécurité
Les audits des jetons de sécurité permettent d’identifier les vulnérabilités telles que les mots de passe faibles, les clés expirées ou inutilisées, et les certificats véreux. En maintenant un inventaire à jour, le service informatique peut faire tourner les clés et éviter des problèmes tels que l’accès d’anciens employés ou de sous-traitants à des clés actives, ou à des clés ne répondant plus aux exigences de la politique de sécurité. Toutes les clés doivent être stockées dans un endroit centralisé et sécurisé, tel qu’un module de sécurité matériel (KMS), et leur accès doit être limité par des mots de passe forts et un contrôle d’accès basé sur les rôles.
Permettre aux métiers de déployer eux-mêmes des certificats
La gestion centralisée des identités des machines peut ralentir le développement et le déploiement des machines, des applications et des services. Pour éviter cela, autorisez certains départements à fournir, renouveler et révoquer des certificats en libre-service.
Cependant, l’informatique doit toujours imposer des limites, comme l’interdiction des certificats autosignés. Les règles de politique doivent exiger que les microservices et les conteneurs disposent d’un certificat pour l’identification, l’authentification et le chiffrement. Cette étape sécurise les communications avec les autres conteneurs, les microservices, le cloud et l’internet.
Créer un plan de réponse aux incidents
Enfin, l’équipe informatique doit concevoir et mettre en œuvre un plan de réponse aux incidents – et le tester. L’équipe de sécurité doit savoir comment réagir à des événements tels qu’un certificat ou une autorité de certification compromis. Un outil de gestion des clés automatisé peut apporter des modifications en masse à tous les certificats et clés concernés sur plusieurs machines.
Un programme de gestion de l’identité des machines est essentiel pour garantir que les interactions toujours plus nombreuses entre les machines ne menacent pas la sécurité des données et la continuité des activités. Les entreprises ont la responsabilité envers elles-mêmes et envers les autres organisations de gérer les identités des machines, en raison de l’interconnexion de tant de services et de notre dépendance à leur disponibilité ininterrompue.