Tout au long de l’année 2023, les marchés des infrastructures à clé publique (PKI) et de la cybersécurité ont été marqués par plusieurs événements, qui ont poussé les organisations à réévaluer et revoir leur stratégie de sécurité. De nouvelles réglementations ont ainsi vu le jour et évolué, les modifications des périodes de validité des certificats ont alimenté les débats, tout comme le rôle de l’IA dans l’évolution de la menace cyber. La survenue d’incidents de sécurité a également illustré concrètement l’impact dévastateur sur les équipes informatiques et les organisations dans le monde numérique d’aujourd’hui.
Lila Kee, Chief Product Officer chez GlobalSign, revient sur les transformations qui se sont opérées sur ces marchés et les façons dont les entreprises peuvent se préparer aux prochaines évolutions : « Les secteurs de la PKI et de la cybersécurité ont connu un changement majeur, qui a recentré les priorités sur la sécurité des données et de l’identité numérique. C’est ce que montrent les évolutions proposées par des acteurs clés, tels que le Forum CA/B (Certificate Authority/Browser) et les navigateurs Internet. Ces changements influeront sur la manière dont les organisations opèrent à chaque niveau, et sur les solutions à utiliser pour y faire face. »
Cet article explore la façon dont les récents événements dessinent les tendances et les enjeux auxquels nous pourrions être confrontés en 2024.
1. Évolution de l’IA
2. Nouvelles réglementations et évolution vers un cadre réglementaire mondial
3. Pérenniser la confiance numérique avec l’informatique post-quantique
4. Une fusion entre la blockchain et la PKI se profile-t-elle à l’horizon ?
5. Nouvelle possible réduction de la durée de vie des certificats et adoption en hausse des certificats numériques
6. La sécurité doit être l’affaire de chacun
7. Pénurie croissante de compétences dans les domaines de la PKI et de la cybersécurité
1. Évolution de l’IA
Nous ne pouvions pas aborder les tendances à venir sans revenir sur l’avancée technologique de l’année : l’intelligence artificielle (IA).
L’IA n’est pas née du jour au lendemain. Elle a fait discrètement son chemin, emmagasinant des connaissances et se perfectionnant au fil du temps. Mais son utilisation a explosé au début de 2023, avec l’arrivée de la plateforme ChatGPT qui a accaparé tous les sujets de discussion en ligne. En prenant le monde d’assaut, l’IA a été accueillie avec enthousiasme ou réserve dans les organisations, au fur et à mesure que se dévoilaient ses avantages et ses inconvénients.
L’IA n’est plus un rêve lointain. En s’implantant rapidement dans l’offre technologique actuelle, elle redéfinit le champ des possibles et recèle un potentiel de gains d’efficacité et de productivité pour les organisations. Les avis sont néanmoins partagés sur son impact et son rôle dans les domaines de la cybersécurité et des PKI. D’un côté, on a bien vu que l’IA avait été utilisée pour renforcer le potentiel de nuisance des cyberattaques, avec des compromissions de la messagerie d’entreprise et des campagnes de phishing plus difficiles à repérer et à contrer. De l’autre, des études ont démontré son incidence positive sur la réduction du temps nécessaire pour répondre à une violation ou appliquer des correctifs.
Avec une augmentation moyenne de 15 % du coût d’une violation de données (depuis 2020), le rôle que l’IA jouera demain dans les domaines de la PKI et de la cybersécurité reste à définir. Surveillons toutefois attentivement ces évolutions alors que l’IA continue d’apprendre et de s’améliorer.
2. Nouvelles réglementations et évolution vers un cadre réglementaire mondial
L’introduction et l’amélioration de normes, de réglementations et de protocoles ces dernières décennies ont permis d’améliorer la protection et d’offrir plus de transparence en ligne, notamment pour la protection des données et les transactions en ligne. Le règlement eIDAS avait déjà ouvert la voie ces dernières années, suivi par l’introduction de l’eIDAS 2.0 et des portefeuilles d’identité numérique européens (EUDI, European Digital Identity Wallets). Ces réglementations offrent de formidables possibilités, non seulement sur le marché européen, mais aussi à l’échelle mondiale. D’autres pays considèrent en effet le règlement et l’utilisation de la vérification de l’identité numérique comme un cadre à adopter ou adapter à leur propre usage.
Au début de l’année 2023, la Maison-Blanche a dévoilé sa stratégie nationale de cybersécurité. D’autres pays devraient suivre son exemple, s’ils ne l’ont pas déjà fait. La cybersécurité occupe aujourd’hui une place centrale dans les débats politiques et les organisations doivent aussi s’emparer du sujet, non seulement dans leur région d’activité, mais aussi à l’échelle internationale, pour pouvoir se conformer aux réglementations en vigueur dans leurs zones d’opération.
Les prestataires doivent s’adapter aux changements réglementaires
Un certain nombre de réglementations existent déjà et des changements sont prévus à l’échelle mondiale. Les organisations ont donc tout intérêt à choisir un fournisseur capable de les soutenir et de les accompagner dans leur démarche de conformité. En tant que fournisseur de services de confiance qualifié, GlobalSign propose des services spécialement conçus pour aider les entreprises à respecter la directive eIDAS et la directive sur les services de paiement (DSP2).
Contactez notre équipe dès aujourd’hui pour discuter de vos obligations réglementaires
3. Pérenniser la confiance numérique avec l’informatique post-quantique
Les recherches dans le domaine de l’informatique quantique se poursuivent, même si les progrès se déroulent – pour la plupart – à l’écart des projecteurs. Bien qu’aucune avancée majeure ne soit attendue pour cette année, une véritable prise de conscience s’opère dans les entreprises devant la menace que représente l’informatique quantique. La question de la sécurité des certificats numériques face au quantique a été soulevée et, pour être honnête, il est sans doute encore trop tôt pour se prononcer. Comme nous l’évoquions sur notre blog au début de l’année 2023, la réponse passera par l’informatique post-quantique, c’est-à-dire le développement d’algorithmes cryptographiques capables de résister aux attaques permises par l’informatique quantique.
Quel que soit votre point de vue, l’informatique quantique arrive, et s’accompagnera de nouvelles menaces inconnues et de nouveaux défis. L’absence de nouvelles normes de cryptographie à clé publique laisserait le champ libre à des pirates équipés d’ordinateurs quantiques qui pourraient alors écouter et interférer avec des systèmes basés sur la confiance. L’informatique quantique devrait continuer à faire un peu plus parler d’elle en 2024. En choisissant une autorité de certification proactive dans la recherche de méthodes cryptographiques, comme GlobalSign, vous avez l’assurance que vos certificats resteront sécurisés dans un contexte hautement changeant.
Pérennisez votre confiance numérique avec GlobalSign
4. Une fusion entre la blockchain et la PKI se profile-t-elle à l’horizon ?
La blockchain, technologie fondamentale du Bitcoin, est un grand livre distribué ou une base de données décentralisée. Elle se compose de blocs de données formant une chaîne grâce à des hachages cryptographiques, permettant un partage sécurisé des informations au sein d’un réseau. Avec le temps, diverses théories ont été élaborées pour démontrer comment la blockchain pourrait être utilisée pour sécuriser les communications numériques via l’identité en PKI (Infrastructure à clé publique), tout en offrant une transparence intégrée pour les certificats.
Jusqu’à encore récemment, la blockchain et la PKI évoluaient de façon parallèle. Mais, le temps passant, la blockchain pourrait-elle, à terme, fusionner avec la PKI ?
5. Nouvelle réduction possible des durées de vie des certificats et adoption en hausse des certificats numériques
La durée de validité des certificats a été réduite ces dix dernières années, passant de cinq ans à un an (397 jours). Sur la base des tendances passées, les périodes de validité des certificats devraient continuer à raccourcir.
En début d’année, une proposition visant à réduire la durée de vie des certificats SSL/TLS a suscité de vifs débats parmi les acteurs de la PKI et de la cybersécurité. Cette proposition vise à limiter les vulnérabilités des sites web liées aux certificats et à réduire le risque de violations. Or, bien qu’elle permette d’atteindre ces objectifs, cette proposition entraîne aussi une augmentation de la charge de travail pour les équipes IT. En cause : un volume plus important de certificats à gérer, les certificats SSL/TLS n’étant pas les seuls concernés.
Outil cryptographiques polyvalents, les certificats numériques peuvent être employés dans n’importe quelle structure pour sécuriser les utilisateurs, les appareils ou les points de terminaison. Sur les infrastructures de sécurité, plusieurs utilisations sont envisageables pour empêcher des inconnus d’accéder aux systèmes et aux réseaux de l’entreprise. De l’Internet des Objets (IoT) au code de développement, les possibilités et les cas d’usage des certificats numériques sont vastes et de plus en plus nombreux. Mais attention, car cela s’accompagne d’une augmentation de la charge de travail et de la pression pour les équipes informatiques, qui doivent jongler avec des exigences multiples au sein de leur organisation.
L’automatisation s’adapte à vos besoins
Face à cette augmentation, les entreprises se tournent vers des outils d’automatisation des opérations PKI, notamment pour l’émission, le renouvellement et la révocation des certificats. Ces solutions d’automatisation s’adaptent à leurs besoins et garantissent, au fur et à mesure que le nombre de certificats augmente, une conformité constante aux politiques de sécurité internes et aux réglementations sectorielles.
En réduisant les tâches manuelles et les erreurs humaines, ces outils offrent une visibilité en temps réel sur le cycle de vie des certificats. Cela permet aux équipes IT d’être plus proactives dans la surveillance des certificats et de réagir rapidement aux problèmes grâce à l’automatisation. L’utilisation de solutions automatisées pour la PKI est devenue non seulement un avantage, mais une nécessité.
6. La sécurité doit être l’affaire de chacun
Derrière les nombreuses attaques perfectionnées et dopées à l’IA qui ont fait la une des journaux l’an dernier, un chiffre reste constant : l’erreur humaine est toujours à l’origine de plus de 80 % des incidents liés à des violations de données. Bien qu’il varie d’année en année, ce chiffre reste pertinent, et 2023 n’a pas fait exception. À l’aube de 2024, il est clair que la sécurité doit être une responsabilité partagée. Le pourcentage indiqué plus haut souligne l’importance pour les organisations de renforcer leurs actions en interne pour réduire les risques et protéger leurs données et leurs informations contre les cyberattaques.
Pour apporter plus vite de la valeur à leurs clients et gagner en agilité, les organisations sont de plus en plus nombreuses à adopter les pratiques DevOps. La sécurité est cependant bien souvent reléguée au second plan. Mais avec les changements dans le secteur, cela commence à bouger. Selon Gartner®, les pratiques DevSecOps devraient être intégrées dans 85 % des équipes de développement de produits d’ici 2027.
Selon le dernier rapport d’IBM sur le coût d’une violation de données, l’adoption du DevSecOps se classe parmi les mesures les plus efficaces pour réduire les coûts. C’est également une mesure essentielle pour intégrer la sécurité à tous les outils ou plateformes utilisés par une organisation. Au début de l’année 2023, une attaque de type « zero-day » contre la société MOVEit a bouleversé le monde de la cybersécurité, avec de graves conséquences que nous n’avons pas fini d’analyser aujourd’hui. Partout dans le monde, des entreprises corrigent les vulnérabilités et cherchent à se protéger contre de futures attaques similaires. Intégrer la sécurité à chaque stade du cycle de vie DevOps est un moyen proactif de réduire les risques de façon continue.
Découvrez comment le DevOps redéfinit les priorités de sécurité
7. Pénurie croissante de compétences en PKI et cybersécurité
Fin 2023, la pénurie de compétences et connaissances en cybersécurité et en infrastructure à clé publique (PKI) dans les entreprises était de plus en plus manifeste. Au Royaume-Uni, par exemple, la moitié des entreprises britanniques souffraient d’un manque de compétences de base en cybersécurité, et un tiers affichaient un déficit de compétences avancées dans ce domaine.
Les cybermenaces évoluant constamment, la mise en place d’une sécurité robuste permet d’établir la confiance et de protéger l’accès et l’intégrité des données. Dans un contexte où les pays développent des stratégies et des réglementations pour renforcer leurs cyberécosystèmes, le besoin de compétences spécialisées en cybersécurité et en PKI devient de plus en plus crucial pour les organisations.
Réduire l’écart et rechercher la confiance et l’expertise de votre fournisseur de solutions PKI
L’utilisation d’intégrations et d’API pour la gestion des certificats s’est aussi intensifiée. Les organisations cherchent en effet des solutions pour atténuer les effets de la pénurie de compétences afin de gérer, de maintenir et d’auditer leurs certificats. Ce début d’année est le moment idéal pour revoir vos objectifs stratégiques de sécurité et examiner comment une infrastructure à clé publique peut vous y aider. Chiffrement, authentification et contrôle d’accès, gestion du cycle de vie des certificats, conformité, réglementations… tous ces aspects peuvent, à tout moment, devenir des points cruciaux à traiter sous l’angle de la sécurité.
Chez GlobalSign, nous offrons une gamme de solutions conçues pour répondre aux besoins spécifiques de votre entreprise, et vous aider à réduire les risques et sécuriser vos utilisateurs, vos appareils et vos points de terminaison. N’hésitez pas à discuter de vos besoins en PKI avec nos experts qui vous aideront à trouver la solution la plus adaptée à vos besoins.