Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2023 ?

Pierre Codis : Keyfactor (Stand C17) propose aux entreprises d’aujourd’hui des solutions cryptographiques de protection des identités numériques des machines, des personnes et de l’IoT. En simplifiant la PKI, en automatisant la gestion du cycle de vie des certificats et en sécurisant chaque appareil, Keyfactor aide les entreprises à établir rapidement la confiance numérique à grande échelle, et à la maintenir.
Durant le FIC, nous allons nous focaliser sur les dernières avancées concernant nos solutions (EJBCA® Enterprise et SignServer Enterprise), dans le cadre des algorithmes Post Quantique.
Prêt pour le post-quantique, Keyfactor a d’ores et déjà intégré dans ses solutions l’utilisation d’un mode hybride et est capable d’accompagner ses clients et prospects dès maintenant, tout en s’adaptant au fur et à mesures aux différentes mises à jour de normes et standards imposées par l’IETF (Internet Engineering Task Force) et le NIST (National Institute of Standards and Technology, agence du département du Commerce des Etats-Unis). Cette approche hybride, recommandée par l’IETF et l’ANSSI, consiste à créer des certificats numériques composites, combinant une clé générée par des algorithmes classiques et une autre générée par des algorithmes résistants au post-quantique.

Par ailleurs, le 6 avril 2023 à 13h45, Keyfactor animera une session intitulée « État de la gestion de l’identité des machines 2023 : Tendances clés, enseignements et meilleures pratiques ». Durant cet atelier, Keyfactor dévoilera les conclusions du rapport State of Machine Identity Management 2023 réalisé avec Ponemon Institute et abordera, entre autres, les thèmes suivants : principales tendances en matière de PKI, de signature et de gestion des certificats, comment élaborer une stratégie efficace de gestion des identités machine, et comment atténuer les risques de pannes, de résultats d’audit et d’incidents de sécurité causés par des identités machine mal gérées ?

Global Security Mag : Quels les points forts des solutions que vous allez présenter à cette occasion ?

Pierre Codis : Les différentes recommandations de l’ENISA (Agence de l’Union Européenne pour la cybersécurité) ou de la GSMA IoT (GSM Association), les nouveaux standards comme Matter, NIS 2 ou la norme IEC 62443 dans le secteur industriel, les diverses réglementations telle que la loi européenne sur la cyber-résilience (Cyber-resilience Act), etc… engagent les entreprises, du secteur industriel ou autre, à protéger leurs identités machine et à adopter la signature numérique et la cryptographie pour garantir l’intégrité et l’authenticité de l’ensemble de leurs équipements actifs et logiciels. En conformité avec l’ensemble des normes existantes, les technologies de KeyFactor permettent d’accompagner les entreprises dans leurs transformations numériques, au niveau sécurité, cryptographique, signature de codes et PKI.
Notre deuxième point fort est l’évolutivité de notre solution. Keyfactor a, en effet, la capacité d’apporter une gouvernance cryptographique centralisée malgré des systèmes, des machines, et des équipements complètement décentralisés.
Enfin, alors que la période est propice à un environnement hybride mixant cloud et on-premise, Keyfactor apporte flexibilité, souplesse et agilité pour couvrir tous les modes de déploiement PKI aujourd’hui nécessaires. Les entreprises déploient leur PKI comme elles l’entendent et Keyfactor s’adaptent à leurs besoins.
Enfin Keyfactor est l’un des acteurs du secteur les plus en avance sur le sujet du post-quantique, notamment grâce à la bibliothèque Bouncy Castle open-source certifiées FIPS, qui est déjà intégrée.

Global Security Mag : Cette année le FIC aura pour thème le Cloud Computing, quelles sont les principales cyber-menaces qui pèsent sur le Cloud ?

Pierre Codis : Fuite des données, gestion non sécurisées des identités et des accès, mauvaises configurations… je ne vais pas parler ici des principales vulnérabilités liées au cloud mais d’une autre problématique qui pèse également sur les entreprises au moment de leur migration : le manque de solutions PKI dédiées. En effet, les entreprises qui migrent vers le cloud ont besoin d’avoir aussi leur solution PKI et de gestion cryptographique. Malheureusement, il est très difficile aujourd’hui de trouver une telle solution. Nous sommes à même d’accompagner les entreprises quelles que soient les plateformes pour lesquelles elles ont optées : Azure, Amazon, Secnumcloud, en saas ou en VPC (virtual private cloud).

Global Security Mag : Quels sont les avantages qu’autorise le Cloud Computing ?

Pierre Codis : D’un point de vue PKI et cryptographique, l’utilisation du cloud computing permet aux RSSI de gagner un temps précieux et ainsi de se concentrer sur les projets à plus forte valeur ajoutée. Aujourd’hui, le rôle du RSSI réside dans le pilotage et la mise en œuvre d’une politique de sécurité, pas dans la gestion manuelle quotidienne de l’infrastructure.
Gérer les ressources dotées de l’expertise nécessaire, respecter les normes du secteur, mais aussi les dépenses permanentes liées au matériel et aux logiciels est chronophage et complexe. Avec une PKI dans le cloud, les entreprises peuvent bénéficier d’un service géré hautement sécurisé et évolutif.

Global Security Mag : Comment les technologies doivent-elles évoluer pour contrer ces menaces ?

Pierre Codis : Keyfactor ne prône pas la dépendance des clients à l’égard d’un seul fournisseur, affranchi du « vendor lock-in » nous considérons qu’une PKI doit être nécessairement interopérable. Les entreprises doivent pouvoir changer de solution PKI, même en ayant migré vers le cloud, et tout en restant propriétaire de leurs clés privées.
Contrairement aux idées reçues, aujourd’hui la cybersécurité n’est pas plus facile à contrôler et mettre en place, ni moins couteuse sur de l’on-premise. Au contraire, la rentabilité et les retours sur investissement réalisés sur les grands environnements cloud sont en général beaucoup plus pertinents.

Global Security Mag : Selon-vous, quelle place l’humain peut-il avoir pour renforcer la stratégie de défense à déployer ?

Pierre Codis : Aujourd’hui, il est important de mettre en place des « task force » qui regroupent les équipes IT et métiers, afin d’avoir un vrai partage de connaissance et de best practices et ainsi prendre les meilleures décisions collectives possibles sur la stratégie cryptographique à mener.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Pierre Codis : L’arrivée de l’informatique post-quantique (PQC) est imminente Nous sommes aujourd’hui dans une phase de transition mais les entreprises doivent anticiper et travailler avec des fournisseurs PKI capables de les accompagner pour s’adapter et supporter les futurs algorithmes PQC. On peut prédire sans risque que l’adoption d’algorithmes et de protocoles post-quantiques sera probablement la tendance la plus disruptive du PKI depuis son apparition.
N’attendez pas que le NIST ait finalisé sa liste d’algorithmes Post-quantique pour vous préparer ! Chaque responsable sécurité doit mener, dès à présent, des réflexions sur le sujet. Ils doivent se faire assister et conseiller dans la mise en place d’une architecture adaptée et crypto-agile pour assurer la protection de leur entreprise face aux attaques PQC. L’objectif est d’avoir les process, les ressources et la stratégie en place quand tout sera finalisé par l’IETF.