TOOLinux

Le journal du Libre

Risques et nouvelles technologies : risques accrus en 2020 selon des experts

jeudi 23 janvier 2020

Une étude publiée à quelques mois du salon Infosecurity Europe 2020 met en garde : les cyber-risques liés aux nouvelles technologies deviendront monnaie courante cette année, selon la communauté des RSSI.

La plupart des RSSI ont mis en exergue les risques posés par les technologies émergentes qui seront adoptées de façon plus large en 2020. Partenaire de Deloitte pour les cyber-risques, Peter Gooch explique :

« Le déploiement des outils d’automatisation de la sécurité va augmenter en 2020. Lorsque cela se déroule correctement, les organisations pourront s’adapter rapidement aux changements de tactiques d’attaque. Sinon, ces dernières seront plus difficiles à dévoiler.

La transparence sera un facteur majeur lors de la passation de contrats de services cloud, car les fournisseurs devront mettre davantage de données et d’évènements à la disposition des outils SIEM, et démontrer que leurs pratiques et systèmes de sécurité sont proches du temps réel. Les pirates ont tendance à cibler les données non structurées pour s’introduire dans les systèmes et lancer des attaques, et il est donc essentiel de mettre en place une gouvernance solide.

Plus de 100 entreprises de différents pays testeront la 5G privée d’ici la fin de 2020, ce qui risque d’élargir la surface d’attaque, de rendre les flux de données plus difficiles à suivre et de compliquer la tâche des professionnels de la sécurité. »

IA, IoT : les vulnérabilités

Mark D. Nicholls, directeur de la sécurité des informations et de la gouvernance pour Peabody, une association de logement, pointe les vulnérabilités de l’intelligence artificielle et de l’IoT.

« Le Machine Learning est devenu une pratique courante en 2019, et nous devrions évoluer vers une véritable intelligence artificielle en 2020, mais il ne faut jamais perdre de vue que la technologie est neutre et peut tout aussi bien être détournée par des criminels. Imaginez une attaque par déni de service appuyée par une véritable intelligence artificielle. », prévient-il.

« Alors que les clients recherchent un univers toujours plus intelligent et connecté, le nombre d’attaques ciblant les appareils connectés à d’autres fins ne peut qu’augmenter. Cela n’a rien de nouveau, mais la surface d’attaque va s’élargir. Nous devons poursuivre l’effort de sensibilisation, afin de nous assurer que les humains restent notre meilleure ligne de défense. »

Les vecteurs d’attaque les plus à même de prendre l’ascendant en 2020 ont également fait l’objet de discussions. Becky Pinkard, RSSI, d’Aldermore, une banque primée, s’attend à davantage d’attaques en relation avec la dette technique.

« Portées par la demande des consommateurs et le potentiel technologique, les entreprises tendent plus à alourdir leur dette technique qu’à la rembourser. Je pense qu’il faut s’attendre à davantage d’attaques spectaculaires en relation avec cette dette croissante et les “risques furtifs" qu’elle génère. L’intégration à marche forcée de l’open banking dans les services financiers, l’incorporation des API, de la technologie de registre distribué (DLT) et de l’intelligence artificielle en succession rapide, et surtout la priorité donnée à la capture de l’attention des clients, signifient trop souvent que la sécurité est négligée au nom de la production. »

« Le credential stuffing est une véritable épidémie, et je me demande si le pire est vraiment derrière nous compte tenu du nombre de paires de mots de passe et de noms d’utilisateur en circulation » avance Troy Hunt, directeur régional chez Microsoft fondateur de Have I Been Pwned et membre 2019 du Hall of Fame européen d’Infosecurity. « Il est également possible que nous ayons atteint un point de non-retour, où les organisations doivent bloquer certaines tentatives de connexion qui comportent le bon nom d’utilisateur et le bon mot de passe, mais ne proviennent pas de la bonne personne. Aux États-Unis, des actions en justice sont instruites contre des entreprises pourtant victimes du credential stuffing. La situation va empirer ou les organisations vont s’adapter. »

Les approches sécuritaires

Concernant les approches de sécurité qui permettront d’atténuer les risques dominants en 2020, David Boda, directeur de la sécurité des informations, Camelot Group pense qu’il faut revenir aux fondamentaux.

« En faisant porter l’effort principalement sur des procédures d’accès robustes et réactives, ainsi que les correctifs, nous devrions pouvoir gérer les risques pour la majorité des organisations quel que soit leur domaine. Il est important que les fournisseurs, les consultants et les organisations des utilisateurs finaux discutent sérieusement de ces deux points. »

Killian Faughnan, RSSI divisionnaire de William Hill pense lui aussi que le contrôle d’accès sera important, surtout dans l’espace de travail de nouvelle génération.

« Il est difficile d’établir un équilibre entre restrictions et laxisme pour le contrôle d’accès. Sachant qu’en 2020, 35 % de nos effectifs seront nés après 2000, il est important de trouver un compromis acceptable pour les employés. »

Dans la même ligne, Peter Gooch pense que la convergence sera une tendance clé :

« Un plus grand nombre de fusions/acquisitions de haut niveau devrait se produire en 2020, ainsi qu’une expansion et une formalisation des éditeurs dans le cadre d’un univers plus convergent. Cela devrait ressembler à la révolution ERP qui a transformé le mode de fonctionnement de nombreuses équipes financières et opérationnelles, et pourrait déboucher sur un modèle opérationnel plus efficace pour tous les intervenants du cyber-espace. »

Les tendances lourdes

Nicole Mills, directrice senior d’exposition chez Infosecurity Group explique :

« Une partie des tendances lourdes, des défis et des risques de sécurité subsistera en 2020. Différentes technologies en vue depuis déjà quelque temps se répandront et nous devons nous tenir prêts à les implémenter, les utiliser et les protéger de façon adéquate.

« La pénurie de compétences et le RGPD ne font plus partie des préoccupations immédiates des RSSI pour l’année à venir, mais il est important de se rappeler qu’elles n’ont pas disparu pour autant. Les « écarts de compétences » continuent à se creuser et il est important de mutualiser nos efforts pour trouver des solutions. Et si le RGPD n’est plus d’une actualité brûlante comme l’année dernière, les organisations ne doivent pas se reposer sur leurs lauriers. La tâche reste considérable pour assurer la conformité. Ce n’est pas simplement une question de paiement d’amendes, la marque et la réputation peuvent prendre des années à se redresser. »

« Les menaces et les piratages ont conditionné l’évolution de la cybersécurité au cours des 25 dernières années, et cela n’est pas prêt de s’arrêter. La principale préoccupation concernant le futur porte sur la perte des données. Les données sont capitales et devraient rester la cible principale des cyber-attaques. Nous devons tenter d’anticiper les prochaines attaques majeures et de mettre en place des contre-mesures. En tant que professionnels, nous avons le devoir de conserver une longueur d’avance sur les attaquants. »

Infosecurity Europe 2020

Nous vous en parlions dans notre édition du 10 janvier. La 25e édition d’Infosecurity Europe aura lieu à l’Olympia, Hammersmith, Londres, du 2 au 4 juin 2020. Ce salon attire 19 500 professionnels de la sécurité des informations issus de toutes les branches de ce secteur, ainsi que plus de 400 exposants. Plus de 200 intervenants prendront part à la conférence, aux séminaires et aux ateliers gratuits.