Une nouvelle étude du CSC révèle que près de 60 % des entreprises utilisent au moins trois fournisseurs SSL, ce qui complique la gestion du cycle de vie des certificats numériques et augmente les risques
Les changements à venir concernant le cycle de vie des certificats SSL/TLS devraient bouleverser la stratégie de renouvellement des certificats
WILMINGTON, Del.--(BUSINESS WIRE)--CSC, fournisseur de sécurité de domaine de classe entreprise et leader mondial dans la gestion de domaine, le DNS, la gestion des certificats numériques, la protection des marques et les solutions anti-fraude, a publié aujourd'hui son premier rapport. « The SSL Landscape » révèle qu'environ 60 % des entreprises utilisent trois fournisseurs SSL (Secure Sockets Layer) ou plus et suggère un manque de processus centralisés pour la gestion SSL. Ceci, ainsi que d'autres éléments, suggère que les organisations ignorent ou retardent la mise en œuvre d'une réponse stratégique au raccourcissement imminent des cycles de vie des certificats SSL et des périodes de réutilisation de la validation du contrôle de domaine (DCV), s'exposant ainsi à de multiples risques.
Le rapport « The SSL Landscape » de CSC fournit une analyse approfondie des tendances et des modèles d'utilisation de plus de 802 000 certificats numériques liés à 2,4 millions de domaines, dont la manière dont les organisations supervisent les certificats SSL et l'impact sur l'assurance de l'intégrité de leurs domaines. Cette étude arrive à un moment clé, alors que la durée de vie des certificats SSL/TLS (Transport Layer Security) devrait passer de 367 jours à 200 à partir de 2026, puis à seulement 47 d'ici 2029, et que les périodes de réutilisation des DCV devraient passer de 367 jours à seulement 10 d'ici 2028, conformément aux recommandations du CA/Browser Forum. Par conséquent, les organisations doivent mettre à jour leurs stratégies de renouvellement des certificats près de huit fois par an au lieu d'environ une fois par an.
« Les certificats SSL jouent un rôle essentiel dans l’authentification de la légitimité et de la sécurité d’une marque en ligne, notamment en validant les identifiants et en chiffrant la connexion entre le serveur d’un site Web et le navigateur d’un utilisateur », explique Mark Flegg, directeur principal de la technologie, produits et services de sécurité CSC. « Au fur et à mesure que l’industrie se dirige vers des cycles de renouvellement des certificats SSL plus courts, les organisations ne peuvent plus se permettre de retarder leur transition vers l’automatisation des certificats ni de compromettre leur sécurité avec une gestion fragmentée des SSL. Il est préoccupant de constater que 72 % des répondants que nous avons sondés ignoraient complètement ou ne connaissaient pas les détails des prochains changements dans l’industrie – et qu’un nombre tout aussi important ne savent pas ou ne sont pas prêts à adopter l’automatisation. Des renouvellements manqués pourraient entraîner la mise hors ligne de domaines entiers et d’applications qui constituent la colonne vertébrale des activités de l’entreprise – comme les passerelles de paiement, le courrier électronique, les VPN et les outils de collaboration pour le clavardage, les appels vidéo et le partage de documents. »
Selon les recherches de CSC, les certificats de validation de domaine (DV) représentent les trois quarts (73,5 %) des certificats, tandis que les certificats de validation d’organisation (OV) comptent pour près d’un quart (24,6 %), et que les certificats de validation étendue (EV) représentent moins de deux pour cent (1,9 %). Comme les certificats DV, peu coûteux et faciles à obtenir, dominent le marché au sein des organisations, les cybercriminels tirent parti de cette tendance en se procurant des certificats similaires à bas prix pour usurper l’identité de marques – donnant ainsi à des sites frauduleux une apparence authentique grâce à la mention « https sécurisé » – et incitant les clients à cliquer sur des liens malveillants qui compromettent leurs données. Ces recherches soulèvent des inquiétudes quant à la clarté de la stratégie des services informatiques et de sécurité concernant le type de certificat à utiliser pour chaque actif Web.
Les conclusions du CSC montrent en outre que les trois principaux fournisseurs de certificats ne sont pas des fournisseurs de classe entreprise, mais qu'ils fournissent néanmoins la majorité des certificats DV (89 %) utilisés par les organisations analysées. La combinaison de certificats faciles à obtenir et de fournisseurs grand public qui n'offrent pas le soutien de classe entreprise nécessaire pour aider les entreprises à se préparer aux changements à venir dans le secteur SSL crée les conditions propices à une perturbation grave des services et de la réputation des organisations.
« Les organisations sont sur le point d'entrer dans la période la plus délicate en matière de sécurité des domaines », poursuit Flegg. « Le manque de compréhension des stratégies appropriées en matière de certificats et l'absence d'urgence à se préparer efficacement aux nouveaux cycles de vie des certificats feront que de nombreuses marques en ligne et identités numériques se retrouveront dans une course sans fin pour rattraper leur retard. Celles qui privilégient l'automatisation, la consolidation de leurs fournisseurs de solutions de certificats et la collaboration avec des partenaires de domaine de classe entreprise garantiront une transition plus fluide et plus sûre, minimisant ainsi le risque de pannes coûteuses liées à l'expiration et d'incidents de sécurité. »
Pour plus d'informations sur les principales tendances en matière de gestion SSL, téléchargez « The SSL Landscape ». Pour en savoir plus sur la suite flexible de solutions de gestion des certificats numériques de CSC, demandez une consultation sur cscdbs.com.
À propos de CSC
CSC est le fournisseur de confiance en matière de sécurité et de renseignements sur les menaces pour les entreprises du classement Forbes Global 2000 et les 100 meilleures marques mondiales (Interbrand®) avec pour domaines d'intervention principaux la sécurité et la gestion des noms de domaine, ainsi que la protection des marques numériques et la lutte contre la fraude. Alors que les multinationales investissent massivement dans leur sécurité, notre plateforme DomainSecSM peut les assister dans l'identification des lacunes existantes en matière de cybersécurité et les aider à sécuriser leurs actifs numériques et leurs marques en ligne. En recourant à la technologie exclusive de CSC, les entreprises peuvent renforcer leur posture de sécurité afin de se protéger contre les vecteurs de cybermenaces qui ciblent leurs actifs en ligne et la réputation de leur marque, ce qui leur permet d'éviter des pertes de revenus catastrophiques. CSC assure également la protection des marques en ligne, qui combine la surveillance des marques en ligne et les mesures coercitives, avec une vision multidimensionnelle des différentes menaces extérieures au pare-feu qui ciblent des domaines spécifiques. Des services de protection contre la fraude qui combattent le phishing dès les premières phases de l'attaque complètent nos solutions.
Basée à Wilmington, dans le Delaware (États-Unis), depuis 1899, CSC possède des bureaux partout aux États-Unis, au Canada, en Europe et dans la région Asie-Pacifique. CSC est une multinationale capable d'exercer ses activités partout où se trouvent ses clients, et ce grâce à ses experts dans tous les domaines d'activité qu'elle dessert. Visitez cscdbs.com.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
Pour plus d’informations :
Joyson Cherian
W2 Communications
CSC@w2comm.com
CSC News Room
