Dans le domaine de la sécurité informatique, l’année 2018 n’a été ni banale, ni ennuyeuse. Des géants comme British Airways, Macy’s et Facebook ont été victimes de violations, des scandales relatifs à la confidentialité des données ont éclaboussé Google et Facebook (à nouveau). Il y a eu le bouleversement du RGPD, parmi bien d’autres événements.
Mais penchons-nous sur l’année en cours : que nous réserve 2019 ? Avec l’équipe d’analystes de sécurité de Netwrix, nous avons cerné les tendances de sécurité informatique qui influenceront probablement les entreprises en 2019. Assurez vos arrières !
1. Les règles de conformité vont devenir plus strictes et plus étendues.
Nous prévoyons deux tendances majeures en matière de conformité.
Premièrement, l’attention portée à la protection des informations personnelles identifiables (IPI) continuera d’augmenter en 2019, et nous assisterons donc à un renforcement des lois sur la sécurité des données et la vie privée. Dans la foulée de l’UE avec le RGPD, les États américains de New York, du Colorado et de la Californie ont déjà adopté des lois locales sur la protection des données, qui touchent les entreprises stockant les données personnelles des résidents de ces États. Tout comme le RGPD, ces lois exigent des entreprises qu’elles maintiennent des procédures de sécurité concernant les IPI, qu’elles mettent en œuvre des politiques de suppression et qu’elles se conforment aux exigences de notification accélérée des violations.
Au cours des cinq prochaines années, nous devrions assister à l’adoption d’une norme nationale sur la protection des données personnelles aux États-Unis. Elle fera écho au scénario du RGPD, diverses lois locales ayant été réunies dans un même règlement européen. Pour cette raison, les entreprises doivent s’assurer qu’elles seront prêtes à se mettre en conformité en adoptant les bonnes pratiques de sécurité telles que l’évaluation continue des risques informatiques, des audits réguliers, et en assurant une visibilité approfondie sur les dépôts de données et les activités des utilisateurs.
Deuxièmement, avec la recrudescence des atteintes à la protection des données en 2018, nous prévoyons une application plus stricte des normes de conformité existantes. Vraisemblablement, les règles de notification des violations de données seront les premières concernées, en raison de l’augmentation du nombre de cas dans lesquels les entreprises dissimulent ces violations. Par exemple, il a fallu sept mois à Cathay Pacific pour informer les autorités de l’exposition de 9,4 millions de dossiers passagers, et il a fallu six mois à Google pour divulguer la fuite de données qui concernait 500 000 utilisateurs de Google+.
En fait, une application plus stricte est déjà en cours. En Australie, le Bureau du Commissaire à l’information a instauré l’obligation de signaler les violations de données dans les 30 jours. De même, la loi Gramm Leach Bliley Act (GLBA) est sur le point de promulguer l’obligation d’aviser les consommateurs de toute violation de données dans les six mois. Nous sommes convaincus que de plus en plus de normes deviendront plus strictes en 2019, et le durcissement des règles de notification des violations n’est qu’un début.
2. La sécurité sera davantage centrée sur les données.
Dans un environnement Cloud et BYOD, le concept de périmètre réseau devient flou. L’absence de frontières et le volume d’informations beaucoup plus important forcent les professionnels de l’informatique à passer de la défense périmétrique à la sécurité centrée sur les données. Même si votre entreprise ne stocke pas de recettes de Nutella super-secrètes ni de plans de défense nationale, elle conserve certainement des données personnelles – sur ses employés, ses clients ou les deux – qui doivent être protégées en raison du renforcement des réglementations de conformité et de l’attention accrue du public envers la sécurité des IPI.
Pour réussir en 2019, les entreprises doivent se concentrer sur la protection des données. Le principal défi consiste à savoir quel type de données vous stockez, où elles se trouvent, qui y a accès et comment elles sont gérées. De ce fait, la sécurité centrée sur les données entraînera un besoin accru de solutions de découverte des données. En 2019, la découverte continue des données sera incontournable.
3. L’adoption du Cloud va s’accélérer.
La popularité des services et solutions Cloud ne cessera de croître. Selon l’étude de LogicMonitor, d’ici 2020, 83 % de la charge de travail des entreprises sera traitée dans le Cloud. Il est certain que le problème de sécurisation des données stockées dans le Cloud va s’aggraver.
Les bonnes pratiques générales en matière de sécurité resteront les mêmes : Chiffrez vos données, accordez les accès en fonction du besoin de savoir, mettez en œuvre des processus de récupération des données, méfiez-vous des API ouvertes ou non protégées et rationalisez la surveillance de votre infrastructure Cloud. Pour automatiser l’exécution de certaines opérations de sécurité et minimiser le risque d’erreur humaine, vous devrez également envisager l’intelligence artificielle et les technologies d’apprentissage automatique (pour en savoir plus à ce sujet, voir le point 4).
Les solutions Cloud seront particulièrement appréciées des grandes entreprises, qui engagent souvent leurs propres équipes DevOps pour mettre au point en interne des logiciels permettant d’affiner ou d’automatiser certains processus. Pour des raisons de prix et de simplicité, ces logiciels personnalisés sont développés principalement dans le Cloud. Les entreprises doivent intégrer la sécurité au sein de ces solutions lors des phases de développement et de test, et par conséquent, les équipes DevOps doivent évoluer en équipes SecDevOps, afin que la sécurité ne soit pas un élément secondaire mais une partie intégrante du processus.
4. L’intelligence artificielle et les outils d’analyse avancés seront plus prisés.
La complexité croissante des infrastructures informatiques, l’augmentation phénoménale du volume de données, les réglementations strictes en matière de conformité et la popularité grandissante des technologies Cloud sont depuis longtemps des casse-tête pour les entreprises. Dans un contexte de grave pénurie de compétences et d’employés InfoSec, les entreprises continueront de chercher des moyens d’automatiser les processus de sécurité informatique, ce qui stimulera la demande pour des solutions intégrant des technologies d’analyse avancée, d’intelligence artificielle (IA) et d’apprentissage automatique.
Nous prévoyons une demande accrue pour des solutions sophistiquées comportant des éléments d’intelligence artificielle, et les fournisseurs réagiront en inventant des moyens de plus en plus complets d’automatiser les processus de sécurité pour faciliter la prise de décision. Au cours des prochaines années, nous nous attendons à ce que cette fonctionnalité s’applique à tous les aspects du secteur de la sécurité. Par ailleurs, les solutions traditionnellement complexes et coûteuses devront s’adapter à la demande croissante du marché pour des alternatives plus légères. Nous pouvons nous attendre à des solutions plus faciles à déployer, moins chères et peut-être moins sophistiquées – mais toujours basées sur l’apprentissage automatique.
Cependant, avant de se laisser contaminer par le buzz que suscite l’IA, les entreprises doivent s’assurer d’avoir en place les contrôles et processus de sécurité essentiels, comme l’analyse régulière des risques, la surveillance de l’environnement informatique, la gestion des configurations, etc. Ce n’est qu’une fois leur posture de sécurité suffisamment mature que les entreprises peuvent adopter des technologies plus complexes comme l’apprentissage automatique ou l’UEBA.
5. La blockchain, ou chaîne de blocs, sera utilisée pour la sécurité informatique.
Les technologies de chaîne de blocs seront de plus en plus appliquées à la sécurité des données. En tant que registre numérique des transactions de données réparties sur un réseau d’ordinateurs dénué de centre de contrôle central, la chaîne de blocs élimine le problème du point de défaillance unique et rend difficile pour les malfaiteurs de compromettre de grands volumes de données. De plus, ces solutions permettent de vérifier les transactions de données et d’apporter plus de transparence dans les opérations de l’entreprise.
Il existe déjà des exemples de réussite. Aux États-Unis, la Food and Drug Administration (FDA) a mis au point une plateforme de partage de données médicales basée sur une chaîne de blocs qui facilite l’échange en temps réel des données des patients entre l’agence et les hôpitaux partenaires. De son côté, Ernst & Young a lancé son quatrième projet de chaîne de blocs. En collaboration avec Microsoft, l’entreprise a développé une solution de chaîne de blocs conçue pour accroître la transparence du processus de gestion des droits et des redevances et la confiance en celui-ci.
La sécurité des données basée sur la chaîne de blocs ne sera pas largement adoptée en 2019, mais elle pénétrera régulièrement le marché. Nous conseillons aux responsables de la sécurité des données de se familiariser avec cette technologie et d’envisager son adoption future.
6. Les objets connectés (Internet des objets) continueront de présenter des risques.
Les objets connectés capables de transmettre des données font déjà partie de notre vie quotidienne. Les entreprises et les consommateurs en utilisent une variété : Alexa et les autres appareils domestiques à commande vocale, les serrures intelligentes, les pompes à insuline, les stimulateurs cardiaques, la climatisation intelligente et ainsi de suite.
Les objets connectés sont actuellement trop vulnérables au piratage informatique. Parmi les exemples frappants, mentionnons les dispositifs cardiaques St. Jude, auxquels un pirate informatique peut accéder et épuiser la batterie ou administrer une stimulation et des chocs incorrects, et la prise de contrôle des systèmes numériques d’une voiture Jeep par un journaliste de Wired. En outre, les chercheurs de l’Université Ben-Gourion ont découvert que des pirates informatiques pouvaient facilement accéder aux babyphones, aux caméras de sécurité et à d’autres dispositifs domestiques en utilisant les mots de passe par défaut courants de nombreuses marques. L’une des raisons de cette situation est que les objets connectés sont encore considérés comme « cools » et qu’ils attirent donc des start-ups et des entrepreneurs qui ne considèrent pas toujours la sécurité comme un élément essentiel. Au contraire, leur priorité est d’avoir une bonne idée, d’élaborer un produit minimum viable et de l’expédier dès que possible. Dans de trop nombreux cas, la sécurité ne fait malheureusement pas partie de ce produit minimum viable.
Nous prévoyons qu’en 2019, les pirates informatiques passeront du stade de l’expérimentation à celui du lancement de nouveaux types d’attaques visant l’Internet des objets. Pour leur sécurité, les consommateurs doivent au minimum s’assurer d’avoir un mot de passe unique et fort pour chaque appareil et ne jamais se fier au mot de passe par défaut. Nous espérons également que les fabricants s’efforceront davantage de sécuriser correctement leurs produits plutôt que d’être les premiers à les commercialiser à un prix attractif. Heureusement, la Californie a déjà adopté une loi sur la cybersécurité de l’Internet des objets, et ces technologies pourraient être réglementées par d’autres États et pays avant que quelque chose ne tourne vraiment mal.
7. Les violations de données personnelles vont se poursuivre.
Des centaines de violations de données ont eu lieu au cours des dernières années, mais surtout, le volume d’informations personnelles volées augmente de façon exponentielle. Les chances que ces données soient utilisées à des fins d’extorsion ou à d’autres fins malveillantes sont extrêmement élevées, et il suffit à d’autres acteurs malintentionnés de prétendre avoir dérobé des données personnelles pour faire chanter les gens. L’exemple le plus récent est une escroquerie de sextorsion toujours en cours : des racketteurs contactent des adresses électroniques piratées divulguées dans des listes et font ensuite du chantage en prétendant que les personnes ont été prises en train de regarder des vidéos pornographiques (alors que leurs ordinateurs n’ont même pas été piratés).
Un scénario similaire peut être utilisé pour faire chanter les employés d’une entreprise, mais au lieu de demander de l’argent, les malfaiteurs exigent l’IP de l’entreprise ou d’autres données précieuses. Ce risque que des victimes de chantage deviennent des utilisateurs internes malveillants constitue une raison supplémentaire pour les entreprises de surveiller de près les autorisations et les activités de leurs employés.
Il existe de nombreuses autres façons dont les malfaiteurs peuvent tirer profit du vol de données personnelles. Ils peuvent par exemple les utiliser pour des attaques ciblées d’hameçonnage, pour accéder aux systèmes de l’entreprise (bancaires et autres) sous le nom d’une victime et pour d’autres types d’usurpation d’identité.
Conclusion
On pourrait presque se croire dans un épisode de la série Black Mirror, dans un monde où votre stimulateur cardiaque peut vous tuer, où un employé victime de chantage peut échanger la propriété intellectuelle de votre entreprise contre le silence à propos de ses goûts pour les vidéos pornographiques. Mais rien ne sert de paniquer. Un homme averti en vaut deux. Pour être en sécurité en 2019, utilisez des contrôles de sécurité élémentaires, comprenez et respectez toutes les réglementations auxquelles vous pourriez être soumis, et assurez-vous d’avoir une visibilité sur votre infrastructure et vos données informatiques. Pour d’autres trucs et astuces, n’hésitez pas à consulter le blog Netwrix. Nous vous souhaitons une année 2019 prospère et sûre !
