Bien qu’elles s’apparentent souvent à un catalogue de malheurs qui vont s’abattre sur les entreprises, les prédictions en cybersécurité ont au moins le mérite de mettre en garde contre les nouvelles tendances pour se préparer et garder un temps d’avance sur les attaquants.
L’année 2020 a été particulièrement féconde en attaques, dont la dernière, sur le logiciel Orion de SolarWinds, est d’une telle ampleur qu’on n’a toujours pas délimité son étendue. Elle a permis d’accéder à des données sensibles appartenant à plusieurs agences gouvernementales américaines et étrangères, des entreprises, des universités et un hôpital au moins. L’année 2020 aura aussi été celle de l’ouverture de la première enquête de l’histoire pour homicide suite à une cyberattaque, après la mort d’un patient dans un hôpital de Düsseldorf. Si l’enquête conduit à des poursuites, ce serait le premier cas confirmé de décès résultant directement d’une cyberattaque.
Dans un précédent article, nous avions abordé le marronnier des prédictions et le fait que celles-ci, même si elles peuvent tomber d’accord pour mettre en avant certaines thématiques, reflètent avant tout la vision métier de l’oracle qui les émets. Le domaine de la cybersécurité n’échappe pas à cette règle, avec toutefois une petite différence : les prédictions en cybersécurité sont toujours empreintes d’une certaine paranoïa. Volontaire ou pas, celle-ci s’avère être consubstantielle au fait de décrire des menaces. Les prédictions en cybersécurité ne doivent pas être systématiquement interprétées comme des incitations à l’anxiété, mais comme des mises en garde et des appels à l’action. Étant les sentinelles et les premiers secours en cas de désastre, les entreprises de cybersécurité assistent en première ligne aux massacres numériques.
C’est dans les vieux pots qu’on fait les meilleures soupes
Elles ne font que traduire la cruauté de la cyberguerre et ses manœuvres impitoyables, empruntées à l’art multimillénaire de la guerre et augmentées d’artifices numériques. Les oracles sur le devenir de la cybersécurité ne sont donc pas des prophéties de malheur. Ils sont plutôt à considérer comme des alertes. Selon leur culture, certains énumèrent leurs prédictions comme on passe en revue les dix plaies d’Égypte, d’autre prennent des précautions d’usage comme William Culbert, directeur EMEA Sud de Beyond Trust, qui affirme que ses prédictions « sont des possibilités envisageables au regard des évolutions technologiques, des pratiques criminelles et du contexte culturel ».
Les nuisances dont il envisage le développement en 2021 ont de quoi faire frémir d’horreur les plus vaillants cybercombattants. Elles ont toutefois l’avantage de préciser des tendances déjà observées, comme la sophistication des attaques et la recherche perpétuelle par les cybercriminels de la meilleure manière de surprendre les défenses des entreprises, soit en cherchant de nouvelles failles, soit en explorant des voies détournées d’attaques non encore usitées.
Cependant, selon l’adage maintes fois vérifié,« c’est dans les vieux pots qu’on fait les meilleures soupes ». William Culbert nous rappelle en conclusion de ses prédictions que « les attaques les plus concluantes procéderont de vecteurs d’attaques bien connus et largement évitables ». Voici les onze prédictions en cybersécurité formulées par William Culbert de Beyond Trust pour 2021.
1Le piratage des serveurs de temps
Les Network Time Protocol (NTP) et des serveurs de temps Windows vont devenir la cible des hackers. Ces protocoles aident à contrôler la temporisation de tout ce qui repose sur une transaction dans une entreprise. En l’absence de temporisation, tout peut planter, depuis les serveurs de licence jusqu’aux transactions par lots, avec à la clé des attaques de déni de service au niveau de l’infrastructure principale sur Internet et au sein des processus de backend de l’organisation.
2Empoisonnement des données alimentant le Machine Learning
Maintenant que le machine learning se généralise dans les entreprises pour automatiser la prise de décisions, les agresseurs y voient un nouveau vecteur d’attaque. Après qu’un criminel aura volé les données d’origine, il pourra manipuler les modèles générés en injectant des données empoisonnées si bien que le système aura appris quelque chose qu’il n’aurait pas dû. Cette manipulation aura un effet multiplicateur du fait du traitement automatique par les applications en aval, ce qui détruira l’intégrité des données légitimement traitées.
3Weaponized AI, nouvelle arme des agresseurs
En 2021, les criminels utiliseront le machine learning (ML) pour accélérer leurs attaques des réseaux et des systèmes. Les moteurs ML seront entraînés à partir des données d’attaques réussies. Ainsi, la technologie ML pourra identifier des modèles dans les lignes de défense pour détecter rapidement les vulnérabilités déjà constatées dans des systèmes ou environnements similaires.
4Omniprésence des deepfake
Une nouvelle vague de deepfakes pourrait nous amener à douter : l’entité de l’autre côté d’une fenêtre de chat interactif ou à l’autre bout d’un appel en visio est-elle humaine ou non ? On pourrait, par exemple, avoir des sessions interactives avec d’anciens présidents ou même des proches décédés. À notre insu, nous nous retrouverons dans des situations où c’est avec une technologie deepfake et non une véritable personne que nous communiquerons.
5Les cybercriminels se positionnent en périphérie de réseau
En 2021, de nouveaux vecteurs d’attaque vont viser les télétravailleurs et les chemins d’accès à distance. Les cybercriminels vont continuer à perpétrer des attaques d’ingénierie sociale et chercher à exploiter les appareils couramment présents à domicile et utilisables pour compromettre un individu et progresser latéralement sur le réseau d’une entreprise. Les attaques d’ingénierie sociale impliqueront différentes formes d’hameçonnage, y compris par courriel, communication vocale, texte, messagerie instantanée, et même via des applications de tiers.
6Implosion des réglementations de confidentialité des données
En 2020, le système de justice de l’Union européenne (UT) a aboli l’accord de gouvernance Privacy Shield.Tout au long de l’année 2021, les entreprises s’efforceront de s’adapter à cette expansion des réglementations de confidentialité des données et à la potentielle implosion des règles établies au regard des différents systèmes de justice.
Les entreprises internationales devront s’adapter rapidement pour revoir la façon dont elles traitent les données des clients. Les entreprises qui opèrent dans plusieurs états doivent examiner leur façon de gérer les données par état, de les traiter dans un lieu centralisé et codifier la façon dont elles développent des procédures de suppression des données et de notification de compromission.
7Les vecteurs d’attaque des réseaux sociaux se multiplient à l’ère de la distanciation sociale
En 2021, il est probable que les agressions viseront les entreprises en plus des particuliers. Si les pratiques d’authentification et de vérification sont insuffisantes, les attaques perpétrées sur les réseaux sociaux risquent bien d’aboutir. Des QR codes malveillants ou des URL abrégées pourraient également servir à masquer les sites web malveillants. Ces attaques pourraient avoir lieu sur la page officielle de l’entreprise ou via de faux comptes utilisant des noms comparables.
8Les cybercriminels jouent au marionnettiste avec les identités humaines compromises
Pour réduire le coût d’une attaque et augmenter sa rentabilité, les cybercriminels vont cibler des individus directement pour s’introduire dans l’environnement via d’autres formes de contraintes que cyber (vol, extorsion, etc.). Ces attaques viseront surtout des personnalités publiques (politiciens, comédiens, activistes, dirigeants, etc.). Comme les données personnelles sensibles de chaque cible humaine seront surtout volées au format numérique, les individus seront contraints d’effectuer des actes illégaux sous peine de voir leurs données et leur confidentialité exposées publiquement.
9Les polices de cyber assurance deviennent obligatoires, les cybercriminels s’en réjouissent
Face à l’intensification du nombre des compromissions et de leur coût, les entreprises qui traitent des données pour le compte de leurs clients seront forcées de contracter des polices de cyber assurance pour limiter leurs risques contractuels. Les cybercriminels cibleront les grandes marques avec des polices d’assurance qui paieront pour récupérer leurs données volées plutôt que de faire valoir leur assurance pour couvrir les actions correctives.
10Qui va là ? Ami véritable ou non ? Nécessité de centrer la sécurité sur l’identité
Plus les systèmes et services vont sortir du périmètre traditionnel des réseaux et datacenters, plus la sécurité dépendra de la capacité à prouver l’identité. Une identité vérifiée pourrait alors être la seule « clé » nécessaire pour tous les accès.Les attaques des mécanismes qui maintiennent et sécurisent les identités vérifiées vont s’intensifier tout du long de l’année 2021.
11Les attaques les plus concluantes procéderont de vecteurs d’attaques bien connus et largement évitables
Malheureusement, cette prédiction se vérifie d’année en année. Faute de mieux, augmentez les couches de sécurité de sorte que les criminels n’aient pas accès aux privilèges quand ils infiltrent votre réseau. Une vulnérabilité exploitable pose problème, mais toujours moins quand elle ne mène pas à un accès privilégié.