Accueil Sécurité Menaces à la sécurité de l'information : les certificats numériques peuvent changer...

Menaces à la sécurité de l'information : les certificats numériques peuvent changer la donne, selon GlobalSign

GlobalSign, Autorités de Certification et fournisseur de services d'identité pour les sites d'e-commerce, les communications, les contenus d'e-mails et de documents et les communautés, a organisé le 2 octobre, dans le cadre de sa 1ère participation aux Assises de la Sécurité, un atelier sur les certificats numériques. Que faut-il en retenir?

Le protocole SSL a longtemps été considéré comme une pièce maîtresse de sécurité, mais il est toutefois vital de s’assurer de sa bonne configuration afin de garantir un niveau de sécurité maximal souligne GlobalSign. Dans cette optique, il est d’ailleurs fortement recommandé d’activer le support des protocoles TLS 1.0, 1.1 & 1.2 et de désactiver les protocoles SSL. GlobalSign a réalisé une analyse des sites web français les plus visités selon le cabinet Alexa – sites qui figurent dans leur top 1 million. Parmi ces sites étudiés, il est apparu que seul un très faible nombre était sécurisé par un certificat. L’analyse a par ailleurs mis en évidence que les deux protocoles les plus sécurisés – TLS 1.1 et 1.2 – sont en réalité les moins utilisés.
Cette étude fait également ressortir que l’activation de la politique de sécurité HSTS est quasiment nulle, tout comme celle de l’estampillage OCSP. Or, HSTS – protocole créé pour forcer un utilisateur à se connecter à un site web uniquement en HTTPS, permet aussi de bloquer les attaques de « l’homme du milieu » qui interceptent les communications entre deux parties.
 
A quelles problématiques de sécurité les certificats répondent-ils ? 
Dans le contexte actuel, assurer la protection des données confidentielles est primordial, mais se révèle aussi être un véritable challenge pour la plupart des entreprises. Avant d’entamer une telle démarche et réussir à la mettre en œuvre, il est primordial pour l’entreprise de considérer deux angles, indique GlobalSign. D’abord, l’amélioration de la sécurité des connections et du serveur pour assurer la protection des données de ses clients avec un chiffrement élevé. Ensuite, le renforcement de la sécurité de son infrastructure et le remplacement des moyens d’accès traditionnels faibles par une authentification à plusieurs facteurs.

Comment protéger au mieux les données ?

Dans le cas des connexions SSL, l’outil de contrôle de configuration présenté par GlobalSign à l’occasion de cet atelier permet d’identifier quels protocoles sont activés, de vérifier les préférences de chiffrement, de déterminer si HSTS est activé, mais aussi de corriger les vulnérabilités et erreurs de configuration.
Quant à l’infrastructure de l’entreprise, tout le monde s’accorde sur la nécessité d’ajouter un niveau de sécurité supplémentaire aux mots de passe, mais en comprendre les raisons est la 1ère étape essentielle de ce changement.
 
Tout d’abord, « il est évident que les mots de passe sont trop souvent faibles et facilement déchiffrables, indique la société. Mais il ne faut pas négliger non plus le fait que le comportement des utilisateurs a une mauvaise influence sur la sécurité des mots de passe en général. » Leur faire confiance est donc à éviter : leurs mots de passe personnels deviennent professionnels, sont notés et même partagés… Il est aussi devenu monnaie courante pour les employés d’utiliser leur ordinateur ou téléphone portable personnel au travail, le risque d’injection de malwares dans le réseau de l’entreprise s’en trouvant alors accru. Et finalement, une authentification faible coûte cher à l’entreprise à cause des frais judiciaires ou de consultation qui s’ensuivent et de l’impact sur la réputation de l’entreprise.
« L’authentification à l’aide de certificats est donc la solution optimale puisqu’elle balaye l’ensemble des problèmes listés précédemment ». Cette solution est facile à mettre en place, ne nécessitant aucun équipement supplémentaire. Elle peut être utilisée pour authentifier les machines, les utilisateurs et les appareils mobiles, et elle est reconnue automatiquement par la plupart des applications et des réseaux des entreprises. Enfin, elle est facile à gérer, « notamment grâce à l’intégration Active Directory et le portail AEG », précise la société.