RechercheAssistanceEssai Gratuit
Contact
Sectigo Blog

Pourquoi les entreprises devraient commencer dès maintenant à établir une nomenclature de cryptographie (CBOM)

Une nomenclature de cryptographie (CBOM) fournit aux entreprises un inventaire structuré et contextuel des actifs cryptographiques tels que les clés, les algorithmes et les certificats numériques. Plus qu'une simple liste, un CBOM améliore la visibilité, la gouvernance et la gestion des risques en montrant comment la cryptographie soutient les opérations commerciales et où se trouvent les vulnérabilités. Alors que l'informatique quantique, la dépréciation des algorithmes et les pressions de conformité augmentent, les CBOM aident les organisations à développer leur agilité cryptographique, à accélérer la réponse aux incidents et à se préparer à la sécurité post-quantique lorsqu'ils sont associés à l'automatisation.

28 janvier 202611 min de lecture

La cryptographie protège les identités, sécurise les données et instaure la confiance, ce qui en fait un outil essentiel pour la sécurité des entreprises modernes. Malgré son utilisation répandue, la cryptographie n'atteint souvent pas son plein potentiel, entravée par une mise en œuvre inégale ou désorganisée qui laisse des lacunes dans la couverture.

La visibilité limitée exacerbe ces défis, car il est difficile de discerner quelles solutions cryptographiques sont utilisées et si elles s'avèrent efficaces. Bien que des solutions telles que la gestion du cycle de vie des certificats (CLM) améliorent la visibilité d'éléments cryptographiques spécifiques, un contrôle ou une supervision supplémentaire est souvent nécessaire.

Une nomenclature cryptographique (CBOM) permet de résoudre ces problèmes en structurant et en supervisant les stratégies de chiffrement globales. Cette ressource permet de savoir s'il existe des actifs et où ils se trouvent, tout en détaillant les lacunes ou les vulnérabilités. Plus qu'une liste, la nomenclature offre un contexte qui favorise une gouvernance cohérente et une prise de décision éclairée au sein de l'entreprise.

Qu'est-ce qu'un CBOM ?

Une nomenclature cryptographique fournit un inventaire complet détaillant tous les éléments cryptographiques utilisés dans les logiciels ou les systèmes. Destinée à aider les organisations à identifier et à traiter les risques cryptographiques, un CBOM révèle où se trouvent les actifs cryptographiques (tels que les clés cryptographiques, les algorithmes et les certificats numériques) et comment ils sont utilisés. Il ne s'agit pas d'un inventaire statique ; cette ressource offre un contexte qui révèle l'objectif de chaque élément cryptographique, ainsi que les dépendances associées.

Tim Callan, de Sectigo, explique qu'un CBOM aide les organisations à répondre à des questions essentielles en matière de cryptographie : "Quelle est la cryptographie que nous utilisons [et] comment l'utilisons-nous ?"

Il ne faut pas confondre la CBOM avec la nomenclature logicielle (SBOM), que l'Agence pour la cybersécurité et la sécurité des infrastructures décrit comme un "élément clé de la sécurité des logiciels et de la gestion des risques de la chaîne d'approvisionnement en logiciels", offrant un "inventaire imbriqué" qui détaille toute une série de composants logiciels. Le National Institute of Standards and Technology (NIST) compare cela aux "étiquettes des ingrédients alimentaires sur les emballages".

Le CBOM remplit une fonction similaire, mais se concentre sur les composants cryptographiques responsables de la sécurisation des solutions logicielles. Cet inventaire ciblé est nécessaire car les pratiques de sécurité actuelles comportent encore des zones d'ombre, de nombreux responsables informatiques ayant du mal à comprendre (ou à se tenir au courant) des actifs cryptographiques.

Pourquoi un CBOM est plus qu'une simple liste

La valeur d'un CBOM ne réside pas seulement dans ce qu'il contient, mais plutôt dans la façon dont il décrit ces éléments et dont les actifs cryptographiques détaillés s'intègrent dans le tableau général de la résilience cryptographique. Il doit décrire les solutions actuelles ainsi que les risques ou opportunités futurs, en contextualisant les actifs cryptographiques sur la base des objectifs d'agilité cryptographique et de l'état de préparation quantique.

Tim Callan, de Sectigo, explique que le CBOM idéal clarifiera la question suivante : l'environnement cryptographique actuel est-il adapté à l'objectif visé et, si ce n'est pas le cas, que faudra-t-il faire pour qu'il le soit ? Cette ressource devrait adopter une approche globale, allant au-delà des actifs inclus pour montrer comment ces solutions cryptographiques traitent les risques ou les vulnérabilités (comme le potentiel d'algorithmes obsolètes), comment elles favorisent la préparation (comme les rotations de clés en réponse aux changements réglementaires), et comment elles ont un impact sur l'activité de l'entreprise.

Jason Soroko, de Sectigo, suggère de reformuler ce concept en tant que "CBOM contextuel". Au minimum, cela devrait inclure une justification des actifs cryptographiques actuels, révélant pourquoi ils sont nécessaires tout en reconnaissant les risques qu'ils comportent et comment, si nécessaire, ils peuvent être mis à jour ou remplacés. En outre, les CBOM doivent tenir compte des éléments suivants

  • les dépendances opérationnelles. Un CBOM doit montrer comment les biens cryptographiques sont liés aux différents processus et systèmes de l'entreprise. Cela permet de savoir quels dispositifs, services ou API dépendent de clés, de certificats ou d'algorithmes spécifiques. Ce contexte nous rappelle que les biens cryptographiques ne fonctionnent pas de manière isolée.
  • Criticité du système. La criticité fait référence à l'importance de chaque solution cryptographique pour le dispositif de sécurité global de l'entreprise. Un CBOM peut aider les équipes à déterminer quels éléments cryptographiques soutiennent les systèmes critiques, améliorant ainsi la sécurité et la continuité opérationnelle.
  • Exposition au risque en cas de défaillance de la cryptographie. Un CBOM approfondi ne se contentera pas d'aborder les scénarios les plus favorables ; il révélera ce qui pourrait se produire en cas de situation défavorable et où les entreprises pourraient se révéler les plus vulnérables. Il peut s'agir de détailler le potentiel de pannes de certificats à grande échelle, de violations de la conformité ou de ruptures de confiance en réponse à des solutions cryptographiques défaillantes.
  • Préparation à la mise à niveau ou à la migration. Certains actifs cryptographiques sont plus adaptables que d'autres et, dans un contexte de changements numériques rapides, il est important de savoir ce qu'il faut faire pour mettre à jour ou remplacer les solutions sans perturber les opérations ou les flux de travail existants. La nomenclature doit mettre en évidence les obstacles susceptibles d'entraver ou de retarder les mises à niveau, en particulier en cas d'avancées quantiques ou d'obsolescence des algorithmes.

Comment il soutient la cybersécurité et la préparation à l'avenir

Un CBOM peut apporter des améliorations immédiates aux stratégies cryptographiques de l'entreprise, ainsi qu'un large soutien à des solutions de sécurité globales et même à la préparation de l'avenir, afin d'aider les organisations à se préparer aux défis de demain en matière de sécurité.

Les avantages sont les suivants

  • Amélioration de la visibilité. Un CBOM améliore la visibilité cryptographique en consolidant les actifs découverts dans un inventaire structuré, en fournissant une vue d'ensemble claire de l'endroit et de la manière dont les actifs cryptographiques sont utilisés et en réduisant les angles morts dans l'environnement. Il est important de noter que cela permet également de relier les ressources cryptographiques aux applications, services et processus pertinents, ce qui donne une vue d'ensemble de la protection cryptographique par rapport à la posture de sécurité globale.
  • Renforcement de la gouvernance. Il fournit l'inventaire structuré nécessaire pour appliquer des politiques de sécurité strictes au sein des équipes, des départements et des environnements numériques. Elle améliore la préparation à l'audit en garantissant que les pratiques cryptographiques sont non seulement conformes, mais aussi entièrement documentées.
  • Amélioration des réponses aux incidents et des mesures correctives. En cas d'incident (comme l'expiration d'un certificat ou la compromission d'une clé), un CBOM permet de réagir plus rapidement en veillant à ce que les systèmes concernés soient rapidement identifiés et traités.
  • Préparation aux changements post-quantiques. Une nomenclature cryptographique favorise la préparation au changement quantique en attirant l'attention sur les algorithmes et les clés cryptographiques susceptibles d'être vulnérables aux attaques quantiques à l'avenir. Ces informations peuvent aider les entreprises à renforcer leur agilité cryptographique, en guidant les préparatifs en vue de l'adoption éventuelle d'algorithmes résistants aux attaques quantiques. L'informatique quantique à grande échelle devant émerger dans les années à venir, le moment est venu d'adopter des mesures qui favoriseront une transition sans heurts vers une cryptographie à sécurité quantique.

Comment construire un CBOM ?

L'élaboration d'un CBOM commence par la détermination de la personne responsable de l'inventaire et de la gestion des divers actifs cryptographiques. Sélectionnez des équipes ou des professionnels qui possèdent non seulement une expertise cryptographique, mais aussi une compréhension approfondie des politiques de sécurité spécifiques à l'entreprise.

À partir de là, le développement et la mise en œuvre du CBOM dépendront des actifs et des ressources spécifiques en jeu. En général, cependant, ce processus suit quelques étapes clés :

  • Découvrir les actifs cryptographiques. Les ressources cryptographiques ne peuvent pas être correctement comprises ou gérées tant qu'elles ne sont pas connues. Cela se produit au cours du processus de découverte, qui doit couvrir tous les systèmes, applications et dispositifs pertinents de l'entreprise. Une visibilité totale ne peut être obtenue que si chaque algorithme, clé et certificat est identifié.
  • Cataloguer tous les composants. Au fur et à mesure que les composants sont découverts, ils doivent être ajoutés à une ressource organisée et centralisée qui constitue une source unique de vérité. Outre la liste des algorithmes, des clés et des certificats numériques, ce catalogue doit mettre en évidence des détails essentiels tels que la longueur des clés, les dates d'expiration et la fonction.
  • Expliquer le contexte. N'oubliez pas qu'un CBOM est plus qu'une simple liste. Apportez des nuances à cette ressource avec des informations complémentaires, en soulignant les dépendances, la criticité et l'impact potentiel d'une défaillance de l'actif.
  • Évaluer les risques futurs. Examinez les domaines dans lesquels les ressources cryptographiques actuelles pourraient être insuffisantes ou les défis susceptibles d'émerger dans un avenir proche. Par exemple, la meilleure façon de répondre à la menace quantique est de mettre à jour les certificats numériques hybrides ou à sécurité quantique et d'utiliser un système automatisé de gestion du cycle de vie des certificats.
  • Maintenir le CBOM. Il ne s'agit pas d'une ressource statique ; elle doit s'adapter aux ressources cryptographiques et aux menaces ou défis qu'elles cherchent à relever. La maintenance comprend l'ajout de nouveaux composants au fur et à mesure qu'ils sont déployés, les modifications apportées aux clés ou aux certificats étant détaillées, et les actifs étant supprimés lorsqu'ils ne sont plus utilisés.

Comment Sectigo aide à rendre le CBOM opérationnel

Un CBOM offre un aperçu indispensable du paysage cryptographique d'une organisation, mais il offre la plus grande valeur lorsqu'il est associé à une automatisation qui maintient les inventaires exacts, à jour et exploitables. Pour la plupart des entreprises, cela commence par les actifs cryptographiques qui sous-tendent la majorité des relations de confiance numériques : les certificats numériques.

Sectigo Certificate Manager (SCM) permet aux entreprises de passer d'un inventaire passif à une résilience cryptographique active en fournissant une plateforme unique pour découvrir, surveiller et automatiser le cycle de vie complet de tous les certificats numériques de l'entreprise. Grâce à une visibilité centralisée et à des flux de travail standardisés, SCM transforme les connaissances CBOM en une force opérationnelle permanente, garantissant que les actifs cryptographiques restent fiables, conformes et alignés sur les besoins de l'entreprise.

Mais l'opérationnalisation d'un CBOM ne représente que la moitié du défi. Lorsque les entreprises découvrent des clés faibles, des algorithmes obsolètes, des configurations erronées ou des certificats compromis au sein de leur CBOM, elles doivent également remédier rapidement aux faiblesses cryptographiques avant qu'elles ne perturbent la continuité de l'activité. SCM accélère cette remédiation en

  • Identifiant les actifs cryptographiques faibles ou non conformes, notamment les algorithmes vulnérables, les longueurs de clés insuffisantes ou les certificats émis par des autorités de certification non fiables.
  • Automatisant la rotation des clés et des certificats pour remplacer les actifs à risque sans interruption de service
  • Remplacement instantané des certificats compromis ou suspects, rétablissement de la confiance dans les systèmes dépendants grâce à des flux de travail transparents.
  • Migration des actifs vers des normes plus solides, telles que les certificats hybrides ou à sécurité quantique, pour une crypto-agilité à long terme.
  • Mise en œuvre de la gouvernance et de la conformité aux politiques, garantissant que tous les actifs mis à jour respectent les exigences de sécurité de l'organisation.

Cette capacité de remédiation automatisée s'aligne directement sur la stratégie QUANT de Sectigo, un cadre holistique pour guider les organisations dans l'ère post-quantique par le biais d'une évaluation proactive, d'une planification de la migration et de l'adoption de technologies sûres sur le plan quantique. QUANT est conçu pour aider les entreprises à faire face aux principaux risques émergents, notamment la menace Harvest Now, Decrypt Later et les vulnérabilités des signatures numériques à longue durée de vie qui pourraient s'étendre à la frontière quantique.

Associée aux connaissances CBOM, la stratégie QUANT de Sectigo permet aux entreprises de.. :

  • Identifier les actifs cryptographiques vulnérables aux futures attaques quantiques
  • Prioriser la remédiation des clés et signatures à longue durée de vie qui doivent rester sécurisées bien au-delà des délais cryptographiques actuels.
  • Valider les stratégies de certificats hybrides et post-quantiques grâce à Sectigo PQC Labs, un environnement dédié pour tester les actifs sécurisés au niveau quantique.
  • Construire des processus opérationnels crypto-agiles avant les échéances de dépréciation et de remplacement prévues par le NIST pour 2030-2035.

Ensemble, SCM, CBOM et la stratégie QUANT forment un écosystème complet et prospectif pour la résilience cryptographique, aidant les organisations non seulement à comprendre leur posture cryptographique actuelle, mais aussi à la renforcer continuellement à mesure que les menaces évoluent et que l'ère quantique approche. En savoir plus sur SCM ou planifier une démonstration dès aujourd'hui.

Envie d'en savoir plus ? Contactez nous pour réserver une démonstration de Sectigo Certificate Manager !

Articles associés :

Combler le fossé : Les risques d'une visibilité partielle dans la gestion du cycle de vie des certificats

Meilleures pratiques en matière de gestion du cycle de vie des certificats (CLM)

Les attaques "Harvest now, decrypt later" (récolter maintenant, déchiffrer plus tard) et la menace quantique