Cyberattaques basées sur l’identité, PKI, IA, IoT, post-quantique où en sont les entreprises françaises ?

0
130

Le rapport 2024 « PKI & Digital Trust » de Keyfactor dresse l’état des lieux de la PKI et de la confiance numérique, tout en mettant en évidence leur impact sur les entreprises françaises et les mesures à prendre.

Face à l’expansion rapide des services en ligne, de l’Internet des objets (IoT) et de l’infrastructure cloud, il est essentiel d’établir un cadre de confiance numérique. Le rôle des entreprises, dans ce contexte, est indispensable. Il repose avant tout sur la gestion des identités.

Ce rapport dresse l’état des lieux de la PKI et de la confiance numérique, tout en mettant en évidence l’impact sur les entreprises et les mesures à prendre en vue de la cryptographie post-quantique. Répondre aux enjeux de la confiance numérique et aux demandes croissantes, c’est garantir la confiance, l’efficacité et la pertinence de la PKI dans un paysage numérique en pleine mutation.

POINTS A RETENIR

  • 100% des répondants français déclarent que leur entreprise dispose d’une stratégie de gestion des identités machines, et ils sont plus de la moitié (52 %) à considérer cette stratégie comme mature.
    • o Malgré tout, 87% des entreprises rencontrent des difficultés pour mettre en place cette stratégie, et 69 % d’entre elles s’accordent à dire que la gestion des identités machines pose un problème au sein de leur structure.
  • À l’horizon 2024 et au-delà, les entreprises ont désigné les principales tendances qui justifient le déploiement des PKI, clés et certificats. Il s’agit des appareils mobiles (56 %), de l’usage croissant de l’IA/IA générative (52 %) et de l’Internet des objets (44 %).
  • Toujours selon les entreprises françaises, la gestion des identités machines s’articule autour de deux priorités : composer avec l’utilisation des systèmes alimentés par l’IA et du contenu généré par IA (48 %) et investir dans des solutions d’automatisation de la PKI et des certificats (47 %).
  • Ainsi, 90 % des sondés dans ce pays classent la PKI parmi les solutions essentielles pour se protéger des menaces que représente l’IA
  • Ils sont tout autant (90 %) à affirmer que leur entreprise déploie davantage de clés cryptographiques et certificats numériques
  • Les entreprises ont parfaitement conscience des avancées de l’informatique quantique et de la menace qui pèse sur la cryptographie. Parmi les répondants, 21 % planifient déjà le passage à la cryptographie post-quantique, tandis que 42 % attendent la mise en place des premières normes (2024)
    • Les principaux obstacles à la préparation post-quantique sont les faibles budgets et ressources à disposition pour son implémentation (47 %), ainsi que la conformité réglementaire (41 %)
  • Encore mal préparée à la transition vers la cryptographie post-quantique, la France est à la traîne, et le délai est estimé à 4,3 ans par les sondés, contre 3,8 ans aux États-Unis et au Canada, 3,7 ans en région DA-CH et 3,4 ans au Royaume-Uni

ÉTAT DES LIEUX DE LA PKI ET DE LA CONFIANCE NUMERIQUE

Les entreprises débordées par le manque de personnel et de ressources

Indispensable aux entreprises, la PKI est garante de la confiance numérique dans les environnements informatiques modernes.

La PKI et les certificats numériques sont notamment utilisés par les entreprises pour la sécurité des produits (41 %), les systèmes d’IA et la génération de contenu par IA (37 %), ainsi que les serveurs web (37 %). La prolifération des appareils et technologies s’accompagne nécessairement d’une augmentation du nombre de certificats visant à assurer la sécurité des entreprises, le risque pour ces dernières étant de se retrouver débordées si leurs systèmes de gestion n’évoluent pas en parallèle.

Toutes les entreprises françaises interrogées ont déjà mis en place une stratégie de gestion de la PKI et des identités machines, et 52 % affirment qu’elles sont arrivées pleinement à maturité et qu’elles sont opérationnelles pour tous les cas d’utilisation. Pourtant confiantes dans leur maturité, les entreprises françaises rencontrent un certain nombre de difficultés : le manque de personnel qualifié (34 %) et des ressources (temps/argent) insuffisantes (32 %) sont les deux grands freins à la mise en place d’une stratégie de gestion de la PKI et des identités machines à l’échelle de l’entreprise. Ces facteurs pourraient considérablement impacter la capacité des entreprises françaises à intégrer des solutions d’IA, puisqu’elles ne possèdent pas encore les compétences nécessaires à l’évolutivité et/ou l’innovation de ces stratégies. De fait, 73 % des sondés français déclarent avoir besoin de plus de ressources (matériel, logiciels, infrastructure, etc.), tandis que 70 % ont besoin de personnel qualifié pour gérer et maintenir efficacement leur PKI. À l’évidence, le processus actuel ne fonctionne pas et occasionne une perte de temps et de ressources.

Défis liés à la mise en place d’une stratégie d’une gestion de la PKI et des identités machines à l’échelle de l’entreprise :

Quels sont les principaux défis liés à la mise en place d’une stratégie de gestion de la PKI et des identités machines à l’échelle de votre entreprise ? Question posée entreprises ayant mis en place une gestion des identités machines. [300] Liste des réponses non exhaustive.

En France, la priorité en matière de gestion des identités machines concerne la maîtrise et l’exploitation des systèmes d’intelligence artificielle (IA) et de génération de contenu (48 %). Cette approche augmentera sans aucun doute la disponibilité des ressources, qui semble tout particulièrement préoccuper les entreprises françaises. Il faut cependant tenir compte d’un autre besoin croissant : celui de la prise en charge des applications alimentées par l’IA, qui engendrera une augmentation du nombre de machines et services, et donc de la demande en identités des machines. De plus, les résultats toujours plus spectaculaires des systèmes alimentés par l’IA laissent présager de nouvelles vagues de cyberattaques : un aspect à ne pas négliger, puisque la protection contre de telles menaces mobilise en moyenne 44 % du budget informatique total en France. Si la stratégie actuelle n’évolue pas, l’usage accrue de l’IA pourrait bien absorber une plus grande part de ce budget et par là même restreindre les ressources disponibles. Il est à noter que les investissements dans les solutions d’automatisation de la PKI et des certificats est la 2è priorité en France (47 %) et contribueront à améliorer les processus PKI et à faciliter la prise en main des systèmes alimentés par l’IA. De fait, la majorité des sondés (90 %) voient la PKI comme la solution la plus importante pour se protéger des menaces basées sur l’IA. Elle s’impose donc comme la réponse face aux dangers futurs.

Quelles sont les priorités stratégiques de votre entreprise en matière de gestion des identités machines ? [300] Liste des réponses non exhaustive.

GESTION DU CYCLE DE VIE DES CERTIFICATS

Les entreprises sont noyées sous le volume actuel des certificats

Dans un contexte où les certificats se multiplient au fur et à mesure des années, la gestion du cycle de vie des certificats s’avère de plus en plus difficile. En France, le développement de la PKI, des clés et certificats est dicté par l’usage intensif des appareils mobiles (56 %) et des capacités d’IA/IA générative (52 %), ce qui représente une tâche de grande ampleur pour les entreprises, et elles sont nombreuses à s’interroger sur la meilleure façon de procéder.

La plupart des sondés français (90%) déclarent que leur entreprise déploie davantage de clés cryptographiques et certificats numériques. Pour autant, près de la moitié (48 %) de ces entreprises affirment que la gestion et le suivi des certificats se font au moyen de solutions développées en interne ou de feuilles de calcul. Cette configuration engendre plus de tâches de gestion qu’un système unifié, puisque chaque équipe/application suit des processus différents et dispose de sa propre configuration. Sans compter qu’en cas d’échec du système, il n’existe aucun interlocuteur externe vers qui se tourner. C’est particulièrement vrai en France, où ces méthodes sont bien plus employées par les entreprises que sur les autres marchés (37 % en région DA-CH, 33 % aux États-Unis et 32 % au Royaume-Uni, par exemple). Les solutions développées en interne, incluant des outils open source, des bases de données et des scripts, entravent l’innovation technologique en raison du faible nombre de certificats qu’elles sont en mesure de prendre en charge. Ce n’est pas le cas des logiciels d’automatisation de la gestion du cycle de vie des certificats, qui ont largement fait leurs preuves et remplacent idéalement les feuilles de calcul et solutions « artisanales », avec pour avantage d’alléger la charge de travail et d’éviter les contraintes de la gestion manuelle.

En moyenne, les entreprises françaises disposent de 84 916 certificats de confiance (délivrés par une autorité de certification interne) et gèrent 1 081 certificats SSL/TLS publics. Comme ce volume augmente au rythme des évolutions technologiques, le recours à une solution développée en interne ou à un système décentralisé n’aura pour effet que d’alourdir la charge de travail. De ce fait, le manque de visibilité unifiée sur les processus aura forcément un impact sur le degré de sécurité de l’entreprise. Sans cette visibilité précieuse, l’entreprise s’expose à des vulnérabilités passées inaperçues ou à des interruptions de service.

D’après vous, combien de certificats de confiance, délivrés par des autorités de certification internes, possède votre
entreprise ? [300] Nombre moyen de certificats utilisés. Figure 3. D’après vous, combien de certificats publics SSL/TLS votre entreprise possède-t-elle ? (Certificats délivrés par des fournisseurs SSL/TLS tels que GoDaddy, DigiCert, Entrust, Let’s Encrypt, etc.) [300]. Nombre moyen de certificats gérés

Les entreprises françaises sont déjà confrontées à cette réalité. Au cours des 24 derniers mois, elles ont essuyé en moyenne 3 incidents au cours desquels l’expiration d’un certificat était la cause de l’interruption de service. De même, elles ont subi 3 incidents dus à un défaut des politiques de gestion des certificats ayant engendré l’échec d’un audit ou une situation de non-conformité, ainsi que 3 incidents de sécurité liés à des certificats perdus ou volés. Ces mêmes entreprises estiment à environ 3 heures le délai d’identification des interruptions, auquel s’ajoutent 3 heures supplémentaires pour y remédier.

Les conséquences d’une mauvaise gestion des certificats peuvent affecter tous les services d’une entreprise : systèmes inaccessibles pour les collaborateurs comme pour les clients, réputation écornée de la marque, baisse du chiffre d’affaires, de la satisfaction et de la productivité. Il s’agit donc d’une priorité pour les entreprises si elles entendent se prémunir de tels dégâts.

Gestion des certificats : scénarios et conséquences

Pour chacun des scénarios présentés, veuillez identifier les facteurs qui affecteraient en priorité votre entreprise. [300] Liste des réponses non exhaustive.

La prolifération des certificats et clés que doivent gérer les entreprises cause une multitude de problèmes entre interruptions de service, audits ratés et incidents de sécurité. Ces conséquences ne doivent pas être prises à la légère, et l’amélioration des systèmes de gestion des identités machines est véritablement une question de survie.

POST-QUANTIQUE

La cryptographie post-quantique est l’avenir et les entreprises doivent s’y préparer

Le paysage des menaces est sans cesse modelé par les considérables progrès de l’informatique quantique, qui représente un danger de taille pour la cryptographie traditionnelle. Bien conscientes de la situation, les entreprises françaises sont 21 % à déclarer avoir déjà entamé leur transition vers la cryptographie post-quantique. En outre, 42 % d’entre elles attendent la mise en place des premières normes en 2024 pour commencer, la moyenne mondiale s’élevant à 36 %. Néanmoins, 91% des sondés français déclarent déjà rencontrer des difficultés dans la préparation de leur transition vers la cryptographie post-quantique. Le manque de budget et de ressources (47 %) ainsi que la conformité réglementaire (41 %) figurent parmi les principaux obstacles, ce qui est plus élevé que la tendance mondiale à respectivement 45 % et 38% . En France, la pénurie de ressources est bien réelle, de sorte que peu d’entreprises disposent du budget et des compétences nécessaires pour migrer vers la cryptographie post-quantique, en conformité avec la réglementation.

Les deux principaux obstacles évoqués en France concernant la cryptographie post-quantique

La France commence à se préparer à la cryptographie post-quantique, comme le prouvent les actions mises en place déclarées : l’inventaire des actifs de cryptographie arrive en première place (50 %), suivi par l’élaboration d’une stratégie d’implémentation de la PKI (48 %). Toutes ces mesures garantissent une transition réussie au moment venu, à condition que les entreprises aient les ressources et compétences nécessaires pour poursuivre sur leur lancée et créer une infrastructure sécurisée à l’ère quantique.

Le processus sera long, et les entreprises françaises en sont conscientes. En effet, ce sont elles qui prévoient le temps de transition le plus long sur tout le marché, et les estimations fournies sont de 4,3 ans en moyenne (contre 3,8 ans dans le reste du monde). De fait, ce délai s’explique sûrement par le manque de ressources que connait actuellement par les entreprises françaises.

Sans compter que les autres marchés sous-estiment sans doute le temps que prendra cette transition en raison d’une méconnaissance de la cryptographie post-quantique. Toutefois, si les délais estimés en France semblent les plus réalistes, puisque des prévisions plus précises exigent une compréhension exhaustive de la situation, il y a fort à parier que le temps de préparation réel soit encore plus long qu’annoncé.

La cryptographie post-quantique doit être la priorité des entreprises : la transition est imminente et les risques de sécurité toujours plus nombreux. En prenant les choses en main le plus tôt possible, elles adoptent une posture proactive face aux dangers de l’informatique quantique.

 

Méthodologie :

Keyfactor a commandé cette enquête sur la gestion des identités des machines au cabinet d’études de marché indépendant Vanson Bourne. L’enquête mondiale, réalisée en janvier 2024, portait sur 1 200 professionnels de l’informatique. Ce rapport reprend les réponses des 300 sondés en France. Les entreprises concernées provenaient des secteurs publics et privés, employaient 1 000 salariés ou plus et étaient équipées d’une infrastructure PKI. Les sondés devaient connaître l’infrastructure PKI de leur entreprise pour participer à l’enquête, et se composaient de profils à l’ancienneté variable (membres du conseil d’administration, dirigeants, cadres débutants à seniors et spécialistes techniques). Tous les entretiens ont été menés dans le cadre d’un processus de sélection rigoureux visant à garantir le recrutement des candidats répondant le mieux aux exigences de l’enquête.