L’augmentation stratosphérique du nombre d’attaques mondiales en matière de cybersécurité a mis en lumière la nécessité cruciale de suivre les meilleures pratiques en matière de chiffrement et de sécurité en général. Adopter un état d'esprit inversé est une chose ; la mettre en pratique en est une autre.
Pour vous aider, l'équipe de Cryptomathic a compilé une liste de cinq indicateurs clés pour une meilleure gestion des clés cryptographiques afin d'aider les organisations à démarrer le voyage.
Conseils pour une meilleure gestion des clés cryptographiques
1. Commencez avec de très bonnes clés et une analyse d'inventaire. Sans aucun doute, la chose la plus importante que vous puissiez faire est de vous assurer que votre organisation utilise des clés de haute qualité. Si vous n’utilisez pas de bonnes clés, à quoi ça sert ? Vous construisez un château de cartes.
Créer de bonnes clés nécessite de savoir d'où viennent les clés et comment elles ont été générées. Les avez-vous créés sur votre ordinateur portable ou avec une calculatrice de poche, ou avez-vous utilisé un outil spécialement conçu pour ce travail ? Ont-ils suffisamment d’entropie ? De la génération à l'utilisation, en passant par le stockage, les clés ne doivent jamais quitter les limites sécurisées d'un module matériel de sécurité (HSM) ou d'un périphérique similaire.
Il y a de fortes chances que votre organisation utilise déjà des clés et des certificats : savez-vous où ils résident ? Qui y a accès et pourquoi ? Où sont-ils stockés ? Comment sont-ils gérés ? Créez un inventaire de ce dont vous disposez, puis commencez à prioriser la gestion du cycle de vie du nettoyage et de la centralisation de ces clés, certificats et secrets.
2. Analysez l'ensemble de votre profil de risque dans l'ensemble de votre environnement. Vous pouvez créer la stratégie de cybersécurité la plus brillante, la plus approfondie et la plus complète, mais en fin de compte, elle ne réussira que si tous les membres de votre organisation y adhèrent et s'y conforment. C’est pourquoi il est important d’élaborer une stratégie de gestion des risques avec la contribution de représentants de l’ensemble de l’entreprise. Incluez les personnes chargées de la conformité et des risques dès le début pour que le processus reste honnête. Pour que les processus et protocoles de sécurité soient significatifs, ils doivent inclure toutes les personnes, depuis les informaticiens jusqu'aux unités commerciales, qui présentent des cas d'utilisation et peuvent revenir en arrière et expliquer à leurs pairs pourquoi les mesures de sécurité sont nécessaires.
3. Faire de la conformité un résultat et non l’objectif ultime. Cela peut sembler contre-intuitif, mais écoutez-moi. Même si la conformité est extrêmement importante, il existe un risque inhérent à utiliser la conformité réglementaire comme seul moteur de votre stratégie. Lorsque les systèmes sont conçus pour simplement cocher les cases d’une liste de contrôle réglementaire, les organisations passent à côté d’un point plus vaste et plus important : concevoir et construire pour une meilleure sécurité.
Au lieu de cela, utilisez les réglementations et les normes de sécurité comme lignes directrices pour l'ensemble minimum d'exigences, puis assurez-vous que vos efforts sont réellement répondre à vos besoins en matière de sécurité et d'affaires à l'avenir. Ne laissez pas la conformité vous détourner du véritable objectif.
4. Équilibrez sécurité et convivialité. Comment la sécurité affecte-t-elle la convivialité ? Avez-vous créé un système si sécurisé qu’il est peu pratique pour la plupart des utilisateurs ? Il est impératif de trouver un équilibre entre la sécurité et l’expérience utilisateur, et de s’assurer que les processus de sécurité n’empêchent pas les utilisateurs de faire réellement leur travail. Par exemple, l’authentification multifacteur peut être un excellent moyen de rendre l’accès plus sécurisé, mais si elle n’est pas mise en œuvre correctement, elle peut entraîner une panne des flux de travail et une perte d’efficacité.
5. Soyez un spécialiste… qui sait quand appeler un expert. La gestion des clés est une affaire sérieuse et doit être traitée comme telle. Quelqu'un dans votre organisation devrait devenir vraiment compétent dans la compréhension des outils et de la technologie pour établir de bonnes pratiques de gestion des clés au cœur de tout ce que fait votre organisation.
Dans le même temps, il est tout aussi important de reconnaître quand vous avez besoin de l’assistance d’un expert, par exemple lorsque votre organisation a trop de clés à gérer. Le National Institute for Standards and Technology (NIST) publie un énorme document qui présente des recommandations sur tout ce qui devrait et ne devrait pas être fait pour établir de bonnes pratiques de gestion des clés. Les professionnels de la cryptographie approfondissent ces recommandations pour s'assurer que les outils cryptographiques et les solutions de gestion de clés proposés répondent à ces normes. De cette façon, lorsque votre organisation aura besoin d’un soutien supplémentaire pour le processus de gestion des clés, vous disposerez du cadre nécessaire pour évaluer les options et trouver l’expertise dont vous avez besoin pour sécuriser efficacement vos actifs.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
