Tryfonov - stock.adobe.com

Comment utiliser la PKI pour sécuriser les accès distants

Les infrastructures à clé publique constituent une option encore plus sûre que l’authentification à base de mots de passe ou même à facteurs multiples. Et ses bénéfices peuvent être appliqués aux accès distants au système d’information.

La plupart des organisations ont modifié leurs modes de travail et leurs opérations pour faire face à la pandémie de COVID-19. Invariablement, ce processus a impliqué une intensification du retour au travail à distance, voire le déploiement de nouveaux systèmes afin de prendre en charge ce modèle pour la première fois. Permettre aux travailleurs d’accéder aux réseaux à distance en toute sécurité est un défi de taille, d’autant plus que les cybercriminels sont capables de déjouer les outils traditionnels d’authentification par mot de passe, ou multifactorielle (MFA).

L’infrastructure à clé publique (PKI, Public Key Infrastructure) constitue une alternative plus sûre pour prendre en charge la main-d’œuvre mobile et distante et contrôler l’accès au réseau. Voyons de quoi il s’agit, comment la mettre en œuvre et comment elle garantit un accès à distance sécurisé.

Pourquoi la PKI ?

L’infrastructure à clé publique est une technologie basée sur des normes qui fournit une authentification et une protection par certificat afin de garantir la sécurité et l’intégrité des connexions et des communications à distance.

Un certificat numérique de PKI ne peut pas être deviné – une faiblesse majeure des mots de passe, utilisée dans le cadre des attaques en force brute – et peut prouver de manière cryptographique l’identité d’un utilisateur ou d’un appareil. Ces capacités garantissent que les informations d’une entité sont à la fois correctes et lui appartiennent.

Les certificats de PKI sont plus faciles à gérer que les mots de passe, car ils ont une date d’expiration et peuvent être révoqués à tout moment. Ce qui supprime instantanément la capacité d’un utilisateur ou d’un appareil à accéder aux ressources de l’entreprise.

La PKI est connue pour sa capacité à sécuriser les interactions des utilisateurs avec les sites web, mais elle peut également être utilisée pour sécuriser les réseaux, les terminaux mobiles, les objets connectés (IoT), les e-mails et les documents. Les communications d’utilisateur à utilisateur, d’utilisateur à machine et de machine à machine peuvent toutes être sécurisées avec la PKI.

La PKI s’appuie sur des paires de clés asymétriques, qui permettent de valider les identités tout aussi facilement que de chiffrer les données. Ces capacités sont utilisées pour un grand nombre d’activités et de services quotidiens essentiels, telles que la fourniture de connexions sécurisées entre les clients et les serveurs LDAP (Lightweight Directory Access Protocol), les connexions VPN, le chiffrement et le déchiffrement des messages électroniques et la sécurisation des accès à distance avec SSH.

Comment mettre en œuvre une plateforme PKI

La mise en œuvre et la gestion des infrastructures à clé publique n’ont pas toujours été des tâches faciles. Heureusement, les produits actuels ne nécessitent pas d’expertise spécialisée et offrent la possibilité d’émettre et de gérer des certificats de chiffrement et d’authentification sur une variété de systèmes et de terminaux. Ils offrent également des contrôles d’accès transparents aux utilisateurs, qui remplacent l’authentification multifactorielle (MFA) classique par une authentification sans contact.

Les organisations peuvent créer et émettre leurs propres certificats numériques. Cela peut être approprié pour l’émission de certificats à usage interne. Cependant, les PKI créées en interne sont difficiles à faire évoluer et sont généralement gourmandes en ressources. De plus, les certificats autosignés ne sont pas reconnus par les navigateurs ou les systèmes d’exploitation.

Une meilleure option consiste à déployer une plateforme PKI administrée et centralisée. Plusieurs options flexibles, évolutives et fiables sont disponibles, notamment les solutions cloud, sur site, et hybrides. Elles permettent aux équipes de sécurité ou aux administrateurs d’émettre, de révoquer et de remplacer les certificats rapidement, facilement et de manière fiable depuis une console centrale. Ces plateformes automatisent également de nombreuses tâches de gestion du cycle de vie des clés. Les équipes de sécurité ont ainsi plus de temps pour contrôler l’identité des utilisateurs et des appareils connectés au réseau, et la gestion des clés est simplifiée.

Toutefois, avant d’intégrer une PKI, les entreprises doivent s’assurer qu’elle répond à leurs besoins spécifiques, à ceux des utilisateurs et à leurs exigences de la sécurité – en conformité avec les réglementations locales et les standards sectoriaux.

La gestion des clés est essentielle

La gestion des clés peut être un casse-tête en matière de sécurité. Le risque d’accès non autorisé est accru par des clés faibles, des clés de développement, des clés non autorisées et des relations de confiance non suivies entre les systèmes et les comptes. La PKI doit être utilisée parallèlement à de solides pratiques de gestion des clés et à des politiques et procédures d’audit complètes – la gestion par tableur ne fonctionne pas.

Divers fournisseurs proposent des logiciels de gestion du cycle de vie des clés qui inventorient les clés de PKI et analysent les relations activées par chaque clé. Des audits doivent être menés régulièrement pour identifier les clés expirées ou inutilisées et les certificats frauduleux.

Le maintien d’un inventaire des clés à jour permet aux équipes de sécurité de procéder à leur rotation régulière afin d’éviter des problèmes tels que des clés ne répondant plus aux exigences de la politique de sécurité ou celles d’anciens employés ou sous-traitants. Toutes les clés doivent être stockées dans un emplacement centralisé et sécurisé, tel qu’un module matériel de sécurité (HSM), et leur accès doit être limité aux utilisateurs privilégiés au moyen de mots de passe forts et de contrôles d’accès basés sur les rôles.

Mettre en œuvre une PKI pour les travailleurs à distance

Avant de déployer une PKI pour faciliter le travail à distance, les employés doivent suivre une formation de sensibilisation à la sécurité afin de s’assurer qu’ils comprennent les politiques pertinentes et savent comment suivre les meilleures pratiques en matière de cybersécurité.

Les employeurs doivent exiger que tous les appareils se connectant au réseau soient équipés d’un module de plateforme de confiance (TPM). Les TPM, désormais standard sur les appareils modernes, fournissent des fonctions de sécurité liées au matériel, notamment le contrôle d’accès et l’authentification. La clé privée du certificat de chaque utilisateur est stockée dans le TPM de son appareil, ce qui permet aux utilisateurs de s’authentifier en toute sécurité et d’accéder aux applications et aux ressources, sans qu’aucune autre action de leur part ne soit nécessaire. Même avec une efficacité accrue, cette forme de MFA est bien plus robuste que les mots de passe courants associés à la MFA sur le téléphone.

Les PKI offrent la forme la plus robuste d’authentification, mais elles deviennent un problème de sécurité lorsqu’elles sont mal gérées. N’oubliez pas de prendre le temps de déployer des outils de gestion et d’organiser des formations complètes lors du déploiement ou de la mise à niveau de vos services de PKI.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)