BLOG

Adoption de TLS 1.3 dans l'entreprise

Miniature F5
F5
Publié le 21 mai 2019

Avec la nouvelle spécification Transport Layer Security (TLS) 1.3 publiée par l' IETF en août dernier, de nombreuses organisations envisagent des plans d'adoption de la nouvelle norme. F5 a commandé un projet de recherche à Enterprise Management Associates pour mieux comprendre comment les entreprises s'adaptent à l'utilisation croissante du cryptage en général. Bien que certains groupes industriels aient exprimé de sérieuses réserves quant à la capacité de décrypter et d'inspecter le trafic pour le dépannage et la détection d'éventuels logiciels malveillants à l'aide de TLS 1.3, la bonne nouvelle est qu'un pourcentage important de répondants à l'enquête sont déjà en train d'activer TLS 1.3 ou prévoient de l'activer bientôt. Un autre bon signe est qu’une nette majorité des répondants à l’enquête ont indiqué être familiarisés avec TLS 1.3 sur le plan technique.

Plusieurs facteurs ont motivé l’adoption rapide de la nouvelle norme. Le fait que les principaux fournisseurs de serveurs Web et de navigateurs aient déjà implémenté TLS 1.3 dans leurs produits en est un. Un autre avantage est celui perçu comme une amélioration de la confidentialité et de la sécurité des données de bout en bout qui accompagne les améliorations de TLS 1.3. Les protocoles cryptographiques comme TLS existent pour empêcher les adversaires d’écouter et de falsifier les données. Toutefois, les inquiétudes concernant la surveillance de la sécurité des application incitent à la prudence.

L’utilisation du cryptage sur Internet a considérablement augmenté au cours des dernières années. Le rapport de télémétrie TLS 2017 de F5 Labs indique que 81 % des pages Web se chargent désormais via HTTPS. Alors que l’utilisation du cryptage pour les centres de données et les réseaux d’entreprise a connu la plus forte augmentation au cours des 18 derniers mois, les entreprises porteront leur attention sur les applications et les services Web développés en interne au cours des 18 prochains mois.

Compte tenu des implications de la spécification TLS 1.3, une nette majorité des répondants ont exprimé des inquiétudes opérationnelles et de sécurité concernant la mise en œuvre de TLS 1.3 au sein de leurs organisations. L'enquête a révélé que 56 % des personnes interrogées ont exprimé des inquiétudes opérationnelles, certaines ou importantes, tandis que 61 % ont exprimé des inquiétudes en matière de sécurité, certaines ou importantes.

Figure 1 : Niveau de préoccupations opérationnelles et de sécurité pour la mise en œuvre de TLS 1.3

La principale préoccupation en matière de sécurité était la visibilité sur la sécurité des application et du centre de données, 57 % des répondants ayant indiqué que l'incapacité à surveiller la sécurité des application était leur principale préoccupation.   

Figure 2 : La perte de visibilité sur la sécurité des application est la principale préoccupation

De quoi ont-ils peur ?

Comportement malveillant manquant caché dans le trafic légitime. Seuls 6 % n’étaient pas du tout préoccupés.

Figure 3 : À mesure que le trafic réseau est de plus en plus crypté, dans quelle mesure votre organisation craint-elle que vos pratiques/techniques de surveillance de sécurité existantes ne détectent des logiciels malveillants cachés dans des fichiers cryptés ?

Malgré ces inquiétudes, il n’y a pas de retour en arrière. D’un point de vue politique, les entreprises imposent clairement l’utilisation du cryptage de transport pour protéger les données, et TLS est le protocole de choix.

Pour comprendre comment les organisations vont gérer les déploiements TLS 1.3 ainsi que les stratégies, les politiques, les pratiques et les préoccupations, accédez au rapport complet sur l'adoption de TLS 1.3 dans l'entreprise ici.