{"id":285274,"date":"2022-07-29T18:39:24","date_gmt":"2022-07-29T20:39:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/comment-lutter-contre-les-plus-grands-risques-de-securite-poses-par-les-identites-des-machines-2\/"},"modified":"2022-07-29T18:39:25","modified_gmt":"2022-07-29T20:39:25","slug":"comment-lutter-contre-les-plus-grands-risques-de-securite-poses-par-les-identites-des-machines-2","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/comment-lutter-contre-les-plus-grands-risques-de-securite-poses-par-les-identites-des-machines-2\/","title":{"rendered":"Comment lutter contre les plus grands risques de s\u00e9curit\u00e9 pos\u00e9s par les identit\u00e9s des machines"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>La mont\u00e9e en puissance de la culture DevOps dans les entreprises a acc\u00e9l\u00e9r\u00e9 les d\u00e9lais de livraison des produits.  L&#8217;automatisation a sans aucun doute ses avantages.  Cependant, la conteneurisation et l&#8217;essor du d\u00e9veloppement de logiciels dans le cloud exposent les organisations \u00e0 une nouvelle surface d&#8217;attaque tentaculaire.<\/p>\n<p>Les identit\u00e9s des machines sont largement plus nombreuses que les identit\u00e9s humaines dans les entreprises de nos jours.  En effet, l&#8217;essor des identit\u00e9s machine cr\u00e9e une dette de cybers\u00e9curit\u00e9 et augmente les risques de s\u00e9curit\u00e9. <\/p>\n<p>Examinons trois des principaux risques de s\u00e9curit\u00e9 cr\u00e9\u00e9s par les identit\u00e9s des machines et comment vous pouvez les combattre.<\/p>\n<h2>Probl\u00e8mes de renouvellement de certificat<\/h2>\n<p>Les identit\u00e9s des machines sont s\u00e9curis\u00e9es diff\u00e9remment des identit\u00e9s humaines.  Alors que les ID humains peuvent \u00eatre v\u00e9rifi\u00e9s avec des identifiants de connexion et de mot de passe, les ID de machine utilisent des certificats et des cl\u00e9s.  Un \u00e9norme probl\u00e8me avec ces types d&#8217;informations d&#8217;identification est qu&#8217;ils ont des dates d&#8217;expiration. <\/p>\n<p>G\u00e9n\u00e9ralement, les certificats restent valables deux ans, mais le rythme rapide des am\u00e9liorations technologiques a r\u00e9duit certaines dur\u00e9es de vie \u00e0 13 mois.  \u00c9tant donn\u00e9 qu&#8217;il existe souvent des milliers d&#8217;identit\u00e9s de machine pr\u00e9sentes dans un cycle DevOps donn\u00e9, toutes avec des dates d&#8217;expiration de certificat diff\u00e9rentes, le renouvellement manuel et les processus d&#8217;audit sont presque impossibles.<\/p>\n<p>Les \u00e9quipes qui s&#8217;appuient sur des processus manuels pour v\u00e9rifier les certificats seront probablement confront\u00e9es \u00e0 des pannes impr\u00e9vues, ce que les pipelines DevOps ne peuvent pas se permettre.  Les entreprises proposant des services destin\u00e9s au public subiront probablement un impact n\u00e9gatif sur leur marque suite \u00e0 de telles pannes.  Un bon exemple de panne li\u00e9e \u00e0 un certificat s&#8217;est produit en f\u00e9vrier 2021, lorsque des certificats TLS expir\u00e9s ont plant\u00e9 Google Voice, <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/google\/recent-google-voice-outage-caused-by-expired-certificates\/\" target=\"_blank\">le laissant inutilisable pendant 24 heures<\/a>.<\/p>\n<p>La gestion automatis\u00e9e des certificats est la meilleure solution \u00e0 ce probl\u00e8me. <a rel=\"nofollow noopener\" href=\"https:\/\/www.akeyless.io\/\" target=\"_blank\">Akeyless&#8217;s<\/a> peut auditer et renouveler automatiquement les certificats arrivant \u00e0 expiration.  En plus de s&#8217;inscrire dans le th\u00e8me plus large de l&#8217;automatisation DevOps, des outils comme Akeyless simplifient \u00e9galement la gestion des secrets.  Par exemple, l&#8217;outil permet aux entreprises d&#8217;utiliser un acc\u00e8s juste \u00e0 temps en cr\u00e9ant des certificats \u00e0 usage unique et de courte dur\u00e9e lorsqu&#8217;une machine acc\u00e8de \u00e0 des informations sensibles.  Ces certificats suppriment le besoin de cl\u00e9s et de certificats statiques, r\u00e9duisant ainsi la surface d&#8217;attaque potentielle au sein d&#8217;une entreprise.<\/p>\n<p>La v\u00e9rification de l&#8217;ID de la machine d\u00e9pend \u00e9galement des cl\u00e9s priv\u00e9es.  \u00c0 mesure que l&#8217;utilisation des outils dans les entreprises augmente, le shadow IT est devenu une pr\u00e9occupation majeure.  M\u00eame lorsque les employ\u00e9s exp\u00e9rimentent des versions d&#8217;essai de logiciels SaaS, puis cessent d&#8217;utiliser ces produits, le certificat de s\u00e9curit\u00e9 du logiciel reste souvent sur le r\u00e9seau, ce qui entra\u00eene une vuln\u00e9rabilit\u00e9 qu&#8217;un attaquant peut exploiter.<\/p>\n<p>Les outils de gestion des secrets s&#8217;int\u00e8grent \u00e0 tous les aspects de votre r\u00e9seau et surveillent les certificats et les cl\u00e9s fant\u00f4mes.  En cons\u00e9quence, la suppression des cl\u00e9s en exc\u00e8s et la s\u00e9curisation des cl\u00e9s valides deviennent simples.<\/p>\n<h2>R\u00e9ponse aux incidents en retard<\/h2>\n<p>L&#8217;un des probl\u00e8mes auxquels les \u00e9quipes de s\u00e9curit\u00e9 sont confront\u00e9es \u00e0 cause d&#8217;une identit\u00e9 de machine compromise ou expir\u00e9e est les probl\u00e8mes en cascade qu&#8217;elle provoque.  Par exemple, si un seul ID de machine est compromis, les \u00e9quipes de s\u00e9curit\u00e9 doivent remplacer rapidement sa cl\u00e9 et son certificat.  Ne pas le faire, et la gamme d&#8217;outils CI\/CD automatis\u00e9s tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.jenkins.io\/\" target=\"_blank\">Jenkins<\/a> lancera des erreurs compromettant les calendriers de publication.<\/p>\n<p>Des outils comme Jenkins connectent chaque partie du pipeline DevOps et cr\u00e9eront \u00e9galement des probl\u00e8mes en aval.  Ensuite, il y a la question de l&#8217;int\u00e9gration d&#8217;outils tiers.  Que se passe-t-il si un conteneur cloud d\u00e9cide de r\u00e9voquer tous vos ID de machine parce qu&#8217;il d\u00e9tecte un compromis dans un seul ID\u00a0?<\/p>\n<p>Tous ces probl\u00e8mes toucheront votre \u00e9quipe de s\u00e9curit\u00e9 en m\u00eame temps, provoquant un d\u00e9luge de probl\u00e8mes qui peuvent rendre l&#8217;attribution de tout cela \u00e0 une seule cause extr\u00eamement difficile.  La bonne nouvelle est que l&#8217;automatisation et la gestion \u00e9lectronique des cl\u00e9s simplifient ce processus.  Gr\u00e2ce \u00e0 ces outils, votre \u00e9quipe de s\u00e9curit\u00e9 aura une visibilit\u00e9 totale sur les emplacements des cl\u00e9s num\u00e9riques et des certificats, ainsi que sur les \u00e9tapes n\u00e9cessaires pour renouveler ou en \u00e9mettre de nouveaux.<\/p>\n<p>\u00c9tonnamment, la plupart des organisations manquent de visibilit\u00e9 sur les emplacements cl\u00e9s en raison de l&#8217;approche conteneuris\u00e9e de DevOps.  La plupart des \u00e9quipes produit travaillent en silos et se r\u00e9unissent avant la production pour int\u00e9grer leurs diff\u00e9rents morceaux de code.  Le r\u00e9sultat est un manque de transparence de la s\u00e9curit\u00e9 dans les diff\u00e9rentes pi\u00e8ces mobiles.<\/p>\n<p>La s\u00e9curit\u00e9 ne peut pas rester statique ou centralis\u00e9e dans un monde domin\u00e9 par l&#8217;ID machine.  Vous devez cr\u00e9er des postures de s\u00e9curit\u00e9 agiles pour correspondre \u00e0 un environnement de d\u00e9veloppement agile.  Cette posture vous aidera \u00e0 r\u00e9agir rapidement aux probl\u00e8mes en cascade et \u00e0 identifier les causes profondes.<\/p>\n<h2>Manque d&#8217;informations sur les audits<\/h2>\n<p>L&#8217;essor des ID de machine n&#8217;est pas pass\u00e9 inaper\u00e7u.  De plus en plus, les gouvernements imposent des exigences de cl\u00e9s cryptographiques pour surveiller les identit\u00e9s num\u00e9riques, en particulier lorsqu&#8217;il s&#8217;agit de r\u00e9glementer les secteurs commerciaux sensibles.  Ajoutez \u00e0 cela le r\u00e9seau de lois sur la confidentialit\u00e9 des donn\u00e9es que les entreprises doivent respecter, et vous obtenez un carburant cauchemardesque pour tout programme de gestion manuelle de l&#8217;identification des machines.<\/p>\n<p>L&#8217;\u00e9chec des audits de s\u00e9curit\u00e9 entra\u00eene des cons\u00e9quences d\u00e9sastreuses de nos jours.  Outre la perte de confiance du public, les organisations d\u00e9signent une cible sur leur dos pour les pirates malveillants, augmentant souvent les risques de failles de s\u00e9curit\u00e9.  L&#8217;entreprise moyenne peut avoir sous sa responsabilit\u00e9 des centaines de milliers d&#8217;identit\u00e9s de machines, chacune avec des configurations et des dates d&#8217;expiration diff\u00e9rentes.<\/p>\n<p>Une \u00e9quipe d&#8217;humains ne peut esp\u00e9rer suivre le rythme de ces identit\u00e9s.  Pourtant, de nombreuses organisations chargent leurs \u00e9quipes de s\u00e9curit\u00e9 de cette mani\u00e8re, les exposant \u00e0 des risques de s\u00e9curit\u00e9 majeurs.  M\u00eame si un processus manuel g\u00e8re le renouvellement des cl\u00e9s, une erreur humaine peut cr\u00e9er des probl\u00e8mes.  De plus, s&#8217;attendre \u00e0 ce que quelques administrateurs comprennent les exigences de confiance de chaque certificat est irr\u00e9aliste.<\/p>\n<p>Une solution automatis\u00e9e telle que Hashicorp r\u00e9sout ces probl\u00e8mes de mani\u00e8re transparente, car elle offre une <a rel=\"nofollow noopener\" href=\"https:\/\/www.hashicorp.com\/solutions\/auditing-and-compliance\" target=\"_blank\">donn\u00e9es d&#8217;audit et de conformit\u00e9<\/a> que vos \u00e9quipes de s\u00e9curit\u00e9 peuvent utiliser.<\/p>\n<h2>L&#8217;automatisation est la cl\u00e9<\/h2>\n<p>DevOps donne la priorit\u00e9 \u00e0 l&#8217;automatisation tout au long du pipeline.  Pour inclure la s\u00e9curit\u00e9, vous devez automatiser et int\u00e9grer ces applications dans toute votre organisation afin de cr\u00e9er une posture de s\u00e9curit\u00e9 agile.  Si vous ne le faites pas, le nombre croissant d&#8217;identit\u00e9s de machines laissera votre \u00e9quipe de s\u00e9curit\u00e9 surcharg\u00e9e et incapable de r\u00e9pondre aux menaces.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/how-to-combat-biggest-security-risks_29.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La mont\u00e9e en puissance de la culture DevOps dans les entreprises a acc\u00e9l\u00e9r\u00e9 les d\u00e9lais de livraison des produits. L&#8217;automatisation a sans aucun doute ses avantages. Cependant, la conteneurisation et l&#8217;essor du d\u00e9veloppement de logiciels dans le cloud exposent les organisations \u00e0 une nouvelle surface d&#8217;attaque tentaculaire. Les identit\u00e9s des machines sont largement plus nombreuses [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":285275,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[767,4168,841,4158,4165,4161,133,2574,17246,4157,4159,4171,4170,65,4167,6940,15487,4160,4163,4162,164,5425,3979,1835,4172,4169,4166,4164],"class_list":["post-285274","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-grands","tag-identites","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-lutter","tag-machines","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-poses","tag-risques","tag-securite","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/285274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=285274"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/285274\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/285275"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=285274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=285274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=285274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}