Une nouvelle étude réalisée par Ponemon Institute fait de l’Internet des objets le plus fort accélérateur de la technologie PKI mais, faute de pratiques optimales de sécurisation, les entreprises continuent à être prises au dépourvu.
 Si l’Internet des objets (IdO) fait actuellement partie des tendances technologiques en plein essor, les entreprises demeurent néanmoins à la merci de dangereuses cyberattaques en négligeant la sécurité de leurs infrastructures à clés publiques (PKI), révèle une nouvelle étude à l’initiative de nCipher Security, société du groupe Entrust Datacard.
L’édition 2019 des tendances mondiales en infrastructures PKI et Internet des objets, réalisée par le cabinet d’études Ponemon Institute pour le compte de nCipher Security, s’appuie sur les renseignements communiqués par plus de 1 800 professionnels de la sécurité informatique dans 14 pays/régions.
Cette étude établit que l’Internet des objets est le plus fort accélérateur contribuant au déploiement d’applications PKI – en progression de 20 % sur les cinq dernières années.
Les participants à cette étude se disent préoccupés par diverses menaces pesant sur la sécurité de l’Internet des objets, notamment l’altération fonctionnelle des appareils connectés par des malwares ou par d’autres attaques (68 %) et le contrôle à distance d’un appareil par un utilisateur non autorisé (54 %). Pour autant, au classement des cinq plus importants outils de sécurisation de l’IdO, ils placent en queue de liste le déploiement de correctifs et de mises à jour sur les appareils connectés, protection pourtant efficace contre cette menace.
L’étude établit également que, dans les deux ans qui viennent, 42 % en moyenne des appareils IdO recourront à des certificats numériques à des fins d’identification et d’authentification. En revanche, dans le domaine de l’Internet des objets, le cryptage appliqué aux appareils d’une part, et aux plates-formes et référentiels de données d’autre part, ne recueille que 28 % et 25 % des suffrages, d’après l’édition 2019 des tendances mondiales en chiffrement de nCipher.
« L’ampleur des vulnérabilités liées à l’Internet des objets est ahurissante. D’après de récentes prévisions d’IDC, il faudra compter avec 41,6 Mrd d’objets connectés d’ici à 2025, produisant 79,4 zéta-octets de données », souligne John Grimm, directeur senior de la stratégie et du développement chez nCipher Security. « Il ne sert à rien de collecter et d’analyser les données générées par l’IdO, et de prendre des décisions en nous fondant sur celles-ci, si nous ne pouvons avoir confiance en la sécurité des appareils ou de leurs données. La confiance se construit en privilégiant les pratiques de sécurité qui font obstacle aux principales menaces cristallisées par l’Internet des objets, et en garantissant authenticité et intégrité d’un bout à l’autre de cet écosystème. » L’infrastructure PKI a beau jouer un rôle stratégique, les entreprises restent vulnérables et continuent à être prises au dépourvu.
Au cœur de l’infrastructure informatique de nombre d’entreprises, la technologie PKI sécurise leurs initiatives digitales décisives, comme le cloud, le déploiement d’appareils mobiles ou l’Internet des objets.
La plupart des participants utilisent énormément la technologie PKI dans leurs établissements, pour les certificats SSL/TLS (79 %), réseaux privés et VPN (69 %) et applications et services en mode cloud public (55 %). Or, plus de la moitié (56 %) la jugent incompatible avec de nouvelles applications. En outre, nombre de participants font état d’obstacles techniques et organisationnels significatifs à l’utilisation d’une infrastructure PKI, notamment l’incapacité à faire évoluer les applications en place (46 %), des compétences insuffisantes (45 %) et le manque de ressources (38 %).
Pratiques optimales de sécurisation des infrastructures PKI : un bilan mitigé dans les entreprises
Près du tiers (30 %) des entreprises – un taux particulièrement choquant compte tenu des implications en jeu – ne font appel à aucune technique de révocation de certificats. Plus des deux tiers (68 %) déplorent le « flou généralisé autour de la propriété » des infrastructures PKI, qu’elles considèrent comme une difficulté majeure.
Mais certaines font preuve de davantage de rigueur dans la sécurisation de leurs infrastructures PKI sur certains aspects. La proportion de celles dont les administrateurs utilisent un « mot de passe uniquement » pour les autorités de certification s’inscrit en recul de 6 % par rapport à 2018 pour ressortir à 24 % cette année. Et 42 % des participants affirment recourir à des modules matériels de sécurité (HSM) pour gérer les clés privées.
Autres principales conclusions tirées de ce rapport :
1/ L’usage de modules matériels de sécurité (HSM) comme « racine de confiance » appliquée à l’IdO a considérablement progressé depuis 2018 (passant de 10 % à 22 %).
2/ Malgré un nombre croissant de formules de déploiement possibles pour la technologie PKI (modes cloud, administré et hébergé), les autorités de certification (AC) internes demeurent les plus répandues ; en progression de 19 % au cours des cinq dernières années, elles représentent 63 % des choix – 80 % des établissements de services financiers la privilégient.
3/ 44 % des participants estiment que les déploiements PKI pour les appareils connectés associeront des implémentations cloud et sur site.
4/ En 2019, les fonctionnalités PKI les plus importantes pour l’Internet des objets sont l’extensibilité à plusieurs millions de certificats (46 %) et la révocation de certificats en ligne (37 %).
« L’utilisation de la technologie PKI évolue alors que les entreprises s’attèlent à leur transformation digitale. Outre l’Internet des objets, plus de 40 % des participants ont également cité les initiatives cloud et mobiles comme autant de moteurs accélérant son déploiement », souligne Larry Ponemon, président-fondateur de Ponemon Institute. « De toute évidence, la croissance rapide de l’Internet des objets exerce une gigantesque influence sur l’emploi d’une infrastructure PKI, les entreprises mesurant l’importance fondamentale de sa technologie d’authentification pour les appareils connectés. Pour tirer pleinement parti de leurs initiatives digitales, les entreprises doivent continuer à gagner en maturité sur la sécurisation de leurs infrastructures PKI. »
|
