Laissons aux médias l'évolution prévisible des menaces pour nous intéresser aux tendances stratégiques de la cybersécurité.
S'il est un domaine sur lequel nous ne manquons pas d'informations et de prévisions sur ce qui nous attend en 2016, c'est bien celui de la cybersécurité. Tous les éditeurs y vont de leur laïus, sans trop de difficulté direz-vous puisqu'il suffit le suivre et prolonger les courbes des attaques et de jouer la surenchère prospective, sur le modèle «
ils feront pire l'an prochain ! ».
Nous laisserons donc, fidèles à notre ligne éditoriale, aux médias IT et à la presse généraliste - qui y trouveront le moyen de se faire un peu plus de lecteurs à bon compte - le soin d'abreuver la paranoïa ambiante pour adopter une approche plus stratégique de la cybersécurité au travers de ces 10 prédictions.
-
Le board s'empare du sujet
C'est généralement après une attaque et/ou une violation de données de l'entreprise que le Conseil d'administration prend conscience des menaces qui pèsent sur le business. Mais entre la médiatisation de récentes violations, la multiplication des actes terroristes jusqu'à nos portes, et le travail de fond mené par le DSI et le RSSI, la prise de conscience du
board s'accélère. Et quoi qu'il arrive, la nécessité allant vers l'augmentation des budgets de sécurité, les membres du conseil vont bien finir par se poser des questions, à la DSI de se préparer à y répondre avec pertinence.
-
Consommer les budgets différemment
C'est un paradoxe, les experts et acteurs du marché anticipent une augmentation des budgets de sécurité, qui profitent d'une insécurité persistante, mais dans le même temps dans l'entreprise la pression sur les coûts demeure. Face à une direction et un
board sous pression sécuritaire, DSI et RSSI vont se trouver contraints de mener des actions à plus faible coût mais fort ROI pour satisfaire leur hiérarchie, tout en grignotant sur leurs budgets afin de mener des actions plus efficaces. Il leur est conseillé par exemple de s'essayer à un cocktail de sensibilisation, formation et simulation d'attaques par phishing…
Ce fut la grosse nouveauté de 2015, la révélation des fraudes aux Présidents, qui ont touché toutes les organisations, quelque soit leur taille. Et pointé une nouvelle fois les rouages humains qui inconsciemment ont cédé à un chantage déguisé. Compte tenu de son succès, qui va faire des émules, cette fraude sera l'un des fléaux de 2016.
Des attaques, peu nombreuses mais particulièrement sophistiquées, ont réussi depuis plusieurs années à pénétrer les défenses de l'industrie, généralement menées par des organismes dont on se demande s'ils sont mafieux ou étatiques… Par la concentration des attaques qui visent des données sensibles et par leur furtivité, elles se révèlent dévastatrices. Et le seront de plus en plus, s'attaquant aux transactions (pour rediriger des paiements par exemple) ou aux communications. Et l'ameçonnage (
spear phishing) en sera le principal vecteur. Encore une fois l'humain sera la maillon faible de la chaine sécuritaire !
-
La disparition des mots de passe et les menaces politiques sur l'infrastructure Internet
L'association de ces deux items peut sembler hasardeuse, et pourtant... Reconnaissance biométrique, authentification à double facteur, les techniques d'authentification vont commencer à évoluer sensiblement, entrainant 'enfin' la disparition du mot de passe. Une démarche d'autant plus nécessaire que les récents et dramatiques évènements liés au terrorisme et au cyber-terrorisme tombent à propos pour justifier de la part des nations, même les plus démocratiques, un plus grand contrôle des backbones et des composants réseaux qui supportent l'infrastructure Internet. Pour éviter les dérives que cela risque d'entrainer, les entreprises doivent renforcer leurs outils sécuritaires, et réfléchir à de nouvelles approches de la protection des systèmes et des données, comme les containers (virtualisation).
Les objets connectés vont se compter en milliards, et seront partout. L'IoT va également, avec la multiplication des formats, normes et standards à venir, mais également par la priorité donnée au '
time to market' plutôt qu'à la sécurité, représenter un sacré challenge pour les organisations.
-
Le commerce mafieux devient social
Il fallait s'y attendre, à force d'annoncer la transformation des réseaux sociaux en plateformes d'e-commerce, via un simple bouton pour passer ses commandes, les réseaux sociaux pourraient bien devenir «
le paradis des cybercriminels ». Et cela dès 2016.
Les logiciels malveillants sur mobile sont en passe de devenir la première menace dans certains secteurs, comme la banque qui elle même devient 'mobile'. Les pirates mafieux sont conscients de cette manne qui les attend, surtout qu'à force de détournements, de chantage ou de simples vols de données, ils accumulent un trésor de cyber-guerre qui leur offre de nombreuses opportunités de continuer à développer ou à acquérir des outils pour nous menacer.
Les attaques ransomware vont continuer de se multiplier, doublant d'une année sur l'autre, jusqu'à dépasser les 50 % des menaces dans certains pays. Couplée à d'autres types d'attaques, la menace d'une rançon – favorisée par l'émergence des monnaies virtuelles - devient 'monnaie' courante. Au point que jusqu'au FBI certains experts conseillent de payer ! Nous l'avons déjà évoqué ici. Ajouter au ransomware la complexité et la furtivité de certaines attaques couplées, et vous obtenez une menace sérieuse et particulièrement dangereuse, avec des montants de rançons encore réduits mais qui ne peuvent qu'augmenter.
Quelle est la plus grande menace sécuritaire qui pèse sur les organisations ? Les RSSI comme les experts en sécurité sont unanimes : les gens ! Ce phénomène bien connu place l'humain en tête des risques. Mais avec l'explosion et la frénésie des médias sociaux, les cyber-criminels ont trouvé un nouveau terrain de jeu pour entrer en contact et séduire les inconscients...
Source : Stu Sjouwerman, fondateur et CEO de KnowBe4, auteur de « Cyberheist: The Biggest Financial Threat Facing American Businesses »