Sélectionner une page

2019 aura été une année agitée en matière de cybersécurité. D’après les projections des analystes informatiques et économiques comme Forrester et Gartner, on n’en attend pas moins de 2020, principalement par la confirmation et l’approfondissement des tendances déjà observées l’an passé. Le déploiement progressif de nouvelles technologies, souvent non maîtrisées, et l’émergence de produits grands public lancés dans la précipitation ont entraîné une négligence générale des règles de cybersécurité les plus basiques. Failles dans lesquelles les « forces obscures » se sont bien entendu engouffrées ! Des erreurs de configuration lourdes de conséquences aux IA pirates sur fond de politisation, à quoi peut-on s’attendre pour 2020 en matière de sécurité informatique ? Faut-il repenser entièrement les protocoles pour s’adapter aux nouvelles menaces ? Quelles solutions nous proposent les géants du marché de la cybersécurité ?

Des failles déjà connues

En dehors des failles « zero day » utilisées par des individus malveillants, l’année sera surtout marquée par l’exploitation de vulnérabilités déjà bien connues, et pour cause. L’engouement général pour les nouvelles technologies, en particulier le Cloud computing et les Smart Objects n’a pas été sans conséquences. Faute de temps, précipitation face à l’avancée des concurrents, contraintes budgétaires, méconnaissances ? Les raisons sont multiples, mais le mal est fait et les hackers s’engouffrent massivement dans des failles de sécurité parfois béantes laissées ouvertes par les entreprises elles-mêmes.

Cloud : une bascule pas toujours sécurisée

Le Cloud a été sur toutes les lèvres en 2019, et pas toujours pour de bonnes raisons : scandales de leaking, de vols de données privées, de photos intimes de stars diffusées, etc. ont été régulièrement médiatisés à grande échelle. Et pourtant, cela n’a pas ralenti la course à la tendance Cloud entamée dans le monde entrepreneurial depuis quelques années, bien au contraire. La dématérialisation massive est en marche et rien ne semble pouvoir l’arrêter. Si les intérêts  du Cloud computing ne sont plus à démontrer, en revanche, de nombreuses vulnérabilités souvent dues à des erreurs de configuration ont laissé grandes ouvertes les portes face aux actes de malveillance et surtout, au vol de données par les cybercriminels.

En effet, les entreprises qui ont migré leurs données et leurs applications vers le Cloud ne l’ont pas toujours fait en prenant le temps de bien préparer le terrain. Entre la facilité de gestion et la sécurisation, le compromis est difficile : favoriser l’un se fait forcément au détriment de l’autre. Budget trop faible pour embaucher un expert en migration de données ? Méconnaissance de ce nouveau terrain ? Balance bénéfices-risques mal évaluée ? Résultat, une fuite massive de données privées peu ou pas protégées, dont les entreprises continuent de nier la responsabilité parce qu’elles ont refusé d’envisager les conséquences, ou ont choisi de courir le risque.

Le Cloud est un support fantastique qui offre un énorme potentiel de développement, pas seulement parce qu’il est tendance : c’est un levier de croissance pour les entreprises et une avancée technologique indéniable. Cependant, toute migration de données et d’infrastructure doit être soigneusement préparée pour ne pas négliger la sécurité : ne confondons pas avantage et précipitation !

Mobiles et applications

On dit souvent que la grande majorité des failles provient de l’interface entre le clavier et la chaise, c’est-à-dire, du côté des utilisateurs. S’il est vrai que le phishing continue de faire des ravages chez les internautes peu ou mal informés (encore que l’essor des outils de Deepfake et la personnalisation des emails-piège peut être considérée comme une circonstance atténuante, nous en reparlerons plus avant), du côté des mobinautes, c’est le SMS piégé qui caracole en tête des invitations à faire entrer le loup dans la bergerie. L’instantanéité du mobile garantit presque toujours l’ouverture immédiate du SMS par l’usager, et la méconnaissance globale des utilisateurs joue en leur défaveur lorsqu’il s’agit de distinguer un e-mail frauduleux porteur d’un ver d’une simple erreur ou plaisanterie sans conséquence.

Massivement envoyés par des robots, ces campagnes de phishing à grande échelle sont bien loin de ces mails bourrés de fautes essayant maladroitement d’imiter votre banque pour vous extorquer votre numéro de carte bleue ! Si la formation et l’information des utilisateurs sont bien un gage de sécurisation, il n’empêche que l’absence de sécurités supplémentaires sur les appareils mobiles constitue une vulnérabilité que les individus malveillants s’empressent d’exploiter. Le marché de la donnée volée étant plus que profitable (par rapport à celui du pétrole notamment) et les smartphones extrêmement répandus, le calcul de rentabilité est vite fait.

En ce qui concerne les applications par contre, la faute n’est pas toujours à rejeter sur les utilisateurs. En tête de liste, les développeurs qui continuent d’utiliser des versions obsolètes dans leur travail, des logiciels comportant des failles bien connues, souvent non mis à jour (que ce soit par paresse, par habitude ou par restriction budgétaire), ce qui entraîne naturellement le non-comblage de failles de sécurité que les hackeurs connaissent bien. Rien de nouveau dans le Cloud donc, mais une nouvelle mauvaise habitude : au lieu de s’attaquer directement aux infrastructures, les cybercriminels s’introduisent dans ces applications dématérialisées peu sécurisées pour nuire. Si Apple a bien tenté de son côté de faire la chasse aux apps frauduleuses qui infestaient son Store avec la App Defense Alliance, reste que celles utilisées ou déployées par les entreprises ne sont pas toujours rendues « safe » avant d’atterrir sur le marché. Une piste d’amélioration à développer pour 2020 ?

IOT et big data

Le problème majeur de la cybersécurité en entreprise reste l’argument de la rentabilité. Pour une entreprise, il n’est en effet pas toujours évident de voir sur le long terme le coût réel que peut entraîner la décision de négliger la sécurité au profit de la vitesse et du développement. Souvent, la perte n’est comprise que lorsqu’il est trop tard : l’entreprise n’agit alors qu’en réaction, ce qui n’a jamais été un gage d’efficacité.

On le voit particulièrement avec le développement de l’internet des objets en 2019 et qui se poursuivra cette année : capteurs de température, drones, fours intelligents, caméras équipées de la technologie machine to machine, smart building et autres assistants vocaux tendance étaient sur toutes les lèvres et sur tous les canaux du web. Les entreprises, les collectivités et les particuliers sont fascinés par ces nouvelles opportunités et s’empressent de vouloir les exploiter. Mais en informatique, la précipitation n’entraîne rien de bon, et l’argument du profit a souvent surpassé celui de la sécurité. Ces équipements autonomes sont en effet peu, voire pas du tout sécurisés, et pourtant la quantité de données qu’ils captent et recèlent représente une valeur énorme, tant au niveau financier qu’au niveau industriel ! Le risque des entreprises qui investissent dans ces outils tendance sans envisager de les protéger convenablement contre les cybercriminels, c’est de se rendre compte au moment de la récolte que les données ont déjà fuité ou sont inutilisables : la perte financière peut alors être très élevée.

Le problème majeur en matière de sécurisation du big data réside dans la technologie utilisée : en 2020 comme en 2019, les caméras intelligentes, les capteurs équipés de cartes M2M et autres internet des objets utilisent un protocole extrêmement simple pour s’échanger les informations entre eux : au plus on s’approche de la machine, au plus la discussion est directe. Or, les flux n’étant pas protégés, il est aisé pour des pirates de s’y connecter et de récupérer les données… une solution serait d’envisager la création de nouvelles infrastructures plus sécurisées (liens physiques, tunnels, pare-feux, cryptage, etc…), mais le coût de déploiement sans retour sur investissement pourrait rebuter les grands comptes.

Un autre problème entrevu à l’horizon 2020, c’est la multiplication des supports, chacun fonctionnant avec son propre protocole et sans vision globale. Les risques résideraient alors dans la non-compatibilité des éléments « intelligents » les uns avec les autres au fur et à mesure de leur déploiement, ce qui contredirait leur usage premier. D’un autre côté, la création d’un système unique et standard qui chapeauterait l’ensemble de ces smart objects peut rappeler à certains les pires dérives hégémoniques  abondamment mises en scène dans la science-fiction !

Non-conformité des entreprises

Même si le constat semble alarmiste, les organismes de protection comme la CNIL ne restent pas les bras croisés, comme on a pu le voir en 2019 avec la mise en application du RGPD. La mise en conformité des entreprises et des collectivités suit son cours, avec des cahots toutefois : on entrevoit en 2020 une hausse de 300% des plaintes pour non-respect de la sécurisation des données privées… et ce n’est pas prêt de s’arrêter ! Cette mise aux normes a un coût élevé pour les TPE et PME obligées d’agir rétroactivement, c’est pourquoi l’anticipation de la sécurisation des données sera primordiale dans le cadre de la création et du développement des activités cette année. Se posera notamment la question des données tiers, des données issues des capteurs « smart object » et domotique, ainsi que des sources des régies publicitaires hyper-ciblées telles que Facebook Ads.

Nouvelles technologies, nouvelles contraintes

En 2020, plus que de constater, il convient surtout d’agir : la tendance en matière de cybersécurité confirme la direction prise en 2019. En parallèle, le développement de nouvelles technologies amène de nouvelles questions de sécurisation et met en lumière la nécessité de s’adapter sans cesse dans un secteur en mutation permanente.

Problématiques des containers et hyperscalers

S’il est parfois possible de protéger une infrastructure informatique en déployant un logiciel, ce n’est pas forcément le cas lorsque celle-ci est fragmentée en containers autonomes, ou sous la forme d’un hyperscaler. Celui-ci ne cesse en effet de mettre à jour ses propres composantes et de se réorganiser, ce qui rend l’application des systèmes de sécurisation informatique habituels caduques.

Ces technologies commencent pourtant à se répandre, avant même que des stratégies de protection efficaces ne soient rendues effectives, dans une précipitation qui ressemble un peu à l’engouement qui nous a portés vers le Cloud. Il n’est pas toujours facile de patienter, mais cela est nécessaire afin de s’assurer de ne pas commettre à nouveau l’erreur de ne pas prioriser la sécurité de l’environnement. Or, devoir corriger rétro-activement pourrait coûter beaucoup plus cher que d’attendre la sortie d’une nouvelle version, plus sécurisée ! La tâche semble alors si colossale qu’elle n’est souvent même pas lancée : on espère simplement passer entre les gouttes.

Le Deepfake

Reflet du poids de la communication dans nos sociétés actuelles, les outils de Deepfake ont commencé à faire parler d’eux en 2019 et s’inscrivent dans la tendance. Il s’agit d’algorithmes et de logiciels qui permettent de fabriquer des contenus multimédias en se basant sur des données, utilisés pour créer de fausses preuves particulièrement crédibles. Cela produit des vidéos criantes de vérité, où les dialogues et les images provenant de sources multiples peuvent être complètement recomposés au gré du souhait de l’utilisateur.

Si leur utilisation dans des actes diffamatoires et politiques est avérée, ces outils sont aussi utilisés de manière plus sournoise pour adapter une cyber-attaque, particulièrement le phishing et le chantage (ransomwares), en la personnalisant à l’aide de données privées volées. Adapter les attaques au profil de la cible, c’est un système très efficace déjà théorisé et utilisé par l’inbound marketing.

La détection de ces manipulations est très difficile et longue, or, avec la vitesse de propagation des informations virales sur le web, la question du temps est cruciale.

Le Zero Trust, nouvel eldorado financier ?

Devant la multiplication des vols et des fausses preuves, la mode cette année n’est plus à l’ouverture et à la confiance : on parle alors de Zero Trust (aucune confiance). Le dynamisme de la cybersécurité n’est plus à démontrer  comme avec  la technologie de micro-segmentation d’Aporeto basée sur l’identification de la machine, ou encore la plateforme IAM qui a démontré qu’il était possible de créer un accès distant sécurisé sans recourir au VPN. Les acteurs phares du marché se placent sur ce segment porteur, dont on projette une évolution de +19,9% jusqu’en 2024, pour atteindre les 38,6 milliards de dollars.

En 2020, on va donc parler de renforcement du contrôle des accès et des identités, notamment par l’identification faciale, la restriction des accès aux données au moyen de la segmentation des profils d’utilisateurs mais aussi de droits minimums en lecture ou écriture, ce qui n’est pas nouveau. Cependant, le Zero Trust prend aussi en compte le périphérique, le contexte de la requête ainsi que de nombreux autres paramètres qui augmenteront le niveau de fiabilité d’une demande en filtrant les flux du système. Le machine learning viendra aussi renforcer cette sécurité en analysant l’utilisateur et ses habitudes, pour comparer par exemple si une demande s’écarte de ses schémas habituels.

Vers une politisation des cyber-attaques

Dans un contexte géopolitique tendu, la guerre se déporte petit à petit sur le web. Vol de données privées pour manipuler l’opinion, accusations sur fond de preuves fabriquées, attaques par déni de services et actes de malveillance soit-disant signées d’un gouvernement envers un autre… les médias ont beaucoup relayé ces informations en 2019, mais il est compliqué de brosser un tableau factuel d’événements qui se déroulent dans l’ombre. En matière de cybersécurité, il est crucial de se maintenir à jour des tendances, des technologies et techniques employées par les cybercriminels, afin d’élaborer aussi des systèmes de défense en anticipation, en réaction et en restauration.

Quelles applications pour l’intelligence artificielle ?

On a beaucoup parlé d’intelligence artificielle en 2019, et cette année voit la tendance poursuivre sur la lancée. Si les médias tablent sur l’avènement d’IA « malveillantes » qui attaqueraient intelligemment et à la chaîne (une image qui n’est pas sans rappeler Terminator), les experts en systèmes informatiques soulignent que pour être efficace, une IA doit être abondamment nourrie de données, ce qui n’est pas forcément pertinent dans une stratégie d’attaque. Or, cela coûte cher, et la disponibilité de ces données est une clé : l’IA pourrait connaître un avenir au service de la défense grâce au « machine learning ».

Actuellement, l’IA serait surtout employée pour détecter les failles « zero day », que ce soit par des individus malveillants ou par des white hats.

Un marché de la donnée florissant

Mais qu’est-ce qui fera marcher les hackers en 2020 ? La même tendance qu’en 2019 : si la politisation des attaques et la volonté de nuire joue un rôle certain, le profit reste une cause majeure des cyber-actes de malveillance. Aujourd’hui, la ressource qui marche, ce n’est plus le pétrole ni même l’argent directement : ce sont les données, en particulier quand elles proviennent de sources privées.

Le marché noir de la donnée est en effet particulièrement dynamique : on a vu en 2019 une augmentation symptomatique des attaques par ransomware, notamment dans les hôpitaux où Wannacry en particulier a beaucoup fait parler de lui. Échanger des données contre de l’argent (données qui en réalité, ne seront jamais débloquées par-dessus le marché) est devenu si profitable que même le FBI envisage d’assouplir sa politique de négociation. Autant ne pas favoriser les risques de fuite !

L’instrumentalisation de ces données volées peut avoir un impact colossal, comme on a pu le voir avec les affaires de manipulation qui secouent encore le monde suite aux élections américaines de 2016. Il est donc devenu plus que nécessaire d’agir pour protéger les systèmes et ces données à grande échelle.