BLOG

Une nouvelle étude révèle les facteurs qui motivent et limitent la mise en œuvre de TLS 1.3

Rachael Shah Miniature
Rachel Shah
Publié le 18 novembre 2022

Il y a quatre ans, Meghan Markle épousait le prince Harry. Pendant ce temps, Sears a déposé son bilan et le monde a été honoré d'une rare super lune de sang bleue. Toys “R” Us a également fermé tous ses magasins et Apple est devenue la première société américaine cotée en bourse à atteindre une valeur de 1 000 milliards de dollars.

N'oublions pas que 2018 a également marqué l'approbation de TLS 1.3 par l'Internet Engineering Task Force (IETF).

Depuis lors, les organisations ont eu tout le temps d’évaluer les avantages et les défis liés à l’adoption de TLS 1.3, la dernière version de l’un des protocoles cryptographiques les plus utilisés, qui permet la sécurité et la confidentialité des données sur Internet.

Pour comprendre pourquoi – ou pourquoi pas (encore) – les entreprises ont mis en œuvre TLS 1.3, Enterprise Management Associates (EMA) a préparé le rapport de recherche « Quatrième anniversaire de TLS 1.3 : « Qu’avons-nous appris sur la mise en œuvre et la surveillance du réseau ? »

L'étude de l'EMA sponsorisée par F5 inclut les sentiments des leaders technologiques et commerciaux en Amérique du Nord dans des secteurs tels que les services technologiques, la finance et les soins de santé. Les participants mettent en lumière la manière dont les entreprises accordent la priorité à la sécurité de l’information et à la conformité, sans parler de la manière dont les réglementations en matière de sécurité et de confidentialité des données ont influencé l’orientation des priorités en matière de sécurité.

Voici trois conclusions du rapport :

1.       Les contrôles réglementaires et des fournisseurs, l’amélioration de la sécurité des données et le travail à distance favorisent l’adoption

Les normes de sécurité et de confidentialité des données sont au cœur des préoccupations des chefs d’entreprise et des dirigeants technologiques depuis quelques années. Il n’est donc pas surprenant que les participants à l’étude aient indiqué que l’amélioration de la sécurité et de la confidentialité des données était la principale motivation de la mise en œuvre de TLS 1.3. En fait, 85 % des personnes interrogées ont indiqué que la sécurité des données était le plus grand avantage de leur mise en œuvre de TLS 1.3.

De plus, à mesure que les entreprises s’adaptaient à la pandémie de COVID-19, la tendance vers le travail à distance (et sa pérennité) et la nécessité de gérer en toute sécurité les données sensibles et la propriété intellectuelle de l’entreprise ont joué un rôle dans l’adoption de TLS 1.3. Comme le montre la figure 1, 76 % des répondants utilisent TLS 1.3 pour le trafic professionnel des employés distants.

Figure 1 : Les organisations interrogées qui ont mis en œuvre TLS 1.3 ont répondu si le trafic professionnel des employés travaillant à distance est chiffré à l'aide de TLS 1.3.

2.       Les considérations de visibilité et de surveillance sont les principaux obstacles

Malgré les contrôles des fournisseurs et des réglementations tels que HIPAA et le règlement général sur la protection des données (RGPD) de l’UE, les organisations ont du mal à progresser avec TLS 1.3 en raison de l’impact prévu sur les plans de sécurité et de surveillance au sein de leur environnement, comme le montre la figure 2. De plus, ce n’est un secret pour personne que ce type d’intégration peut être difficile. Ainsi, au lieu de prendre un engagement, de nombreuses organisations gagnent du temps pour élaborer un plan de migration et évaluer des solutions provisoires plus faciles et moins intrusives à mettre en œuvre que TLS 1.3.

La perte de visibilité crée également une pause pour 96 % des participants à l’enquête. Après tout, 44 % des répondants qui ont mis en œuvre TLS 1.3 ont été contraints d’annuler leur implémentation en raison d’une perte de visibilité sur le trafic, et plus d’un quart des répondants pensent qu’ils ont peut-être subi une faille de sécurité en raison d’un manque de visibilité sur le trafic avec le protocole.

Figure 2 : Les organisations interrogées qui n’ont pas implémenté TLS 1.3 ont évalué les problèmes potentiels liés au déploiement de TLS 1.3 en fonction de leur organisation

3.       Les coûts de ressources et de mise en œuvre sont substantiels

Quatre-vingt-sept pour cent des organisations interrogées ayant mis en œuvre TLS 1.3 ont eu besoin d’un certain niveau de changement d’infrastructure pour permettre l’intégration, comme l’illustre la figure 3. La mise à jour d’une topologie de réseau est certainement une pilule difficile à avaler pour beaucoup. Cela prend du temps et coûte cher. Il est difficile de justifier la mobilisation de ressources pour mettre en œuvre un projet d’une telle envergure, compte tenu des ressources humaines limitées d’un personnel de sécurité déjà surchargé et de sa très faible valeur commerciale perçue par rapport aux besoins commerciaux concurrents (81 %).

Figure 3 : Les organisations interrogées qui ont mis en œuvre TLS 1.3 ont évalué si l’activation de TLS 1.3 nécessitait une modification de leur architecture réseau/sécurité.

Bien que plusieurs variables continueront d’influencer l’adoption de TLS 1.3, une chose est sûre : TLS en tant que protocole de confidentialité des données recommandé est là pour rester.

Et avec près de 90 % de tout le trafic Internet désormais crypté, et ce chiffre continuant de croître, ce que vous ne pouvez pas voir peut vous nuire. Les cybercriminels profitent constamment du trafic crypté pour masquer des charges utiles malveillantes, quelle que soit la version TLS. Si vous ne l’inspectez pas, vous laissez votre organisation vulnérable.

Découvrez ce que les leaders technologiques et commerciaux disent de la mise en œuvre de TLS 1.3 dans le rapport EMA complet et comprenez pourquoi la visibilité et l'orchestration du trafic crypté SSL/TLS , en particulier le trafic entrant et sortant crypté avec TLS 1.3, sont si vitales aujourd'hui.