Les experts de NTT Com Security reviennent sur les tendances et les prévisions 2016 dans le domaine de la cybersécurité. Stuart Reed, directeur senior du marketing des produits à l’échelle mondiale, propose cinq bonnes résolutions pour la nouvelle année. Chris Camejo, directeur d’analyse des menaces et des vulnérabilités, offre trois conseils complémentaires. Enfin, Garry Sidaway, vice-président senior de la stratégie de sécurité nous sensibilise à l’apprentissage automatique et aux vêtements connectés.
1 Adopter une posture moins réactive
En 2015, les affaires de piratage informatique ont encore fait parler d’elles sans toutefois que l’on observe un réel consensus autour des actions de remédiation et de restauration de la confiance des consommateurs. De toute évidence, une démarche proactive s’impose. Cela passe par la mise en place de bonnes pratiques qui, elles-mêmes, sous-tendront un plan cohérent d’intervention sur incidents. Lorsque les choses tournent mal, les dirigeants, DSI et PDG en tête, sont de plus en plus souvent pointés du doigt. C’est pourquoi l’adoption d’une posture proactive devra s’inscrire parmi les priorités essentielles des comités de direction en 2016.
2 Réviser les fondamentaux
En cas d’attaque, les entreprises continuent de réagir au coup par coup. Mais pour que leur intervention soit réellement efficace, elle doit être soigneusement préparée. Les processus, les procédures et la sensibilisation jouent un rôle crucial dans l’atténuation des risques, de même que les technologies de prévention et de détection de toute activité malveillante. Dans le rapport NTT Com Security 2015 sur l’état des menaces dans le monde, nous préconisions déjà un retour aux fondamentaux dans les entreprises. En effet, d’après cette étude, 76 % des vulnérabilités identifiées étaient connues depuis au moins deux ans et 10 % depuis plus de 10 ans. Maîtriser les fondamentaux, c’est savoir contextualiser le risque pour créer l’ossature d’un plan d’intervention cohérent et complet.
3 Mener une cyberveille au cœur des enjeux
Force est de constater que les technologies traditionnelles ne sont capables ni d’assurer le suivi des incidents de sécurité et des comportements, ni d’analyser les énormes flux de données qui transitent sur les réseaux. La cyber veille est donc appelée à occuper le centre de l’échiquier de la sécurité. Face à la volonté des entreprises d’intervenir sur des incidents rapidement et sur la base d’informations claires et exploitables, nous assisterons à une adoption massive des outils de surveillance en temps réel et d’analytique avancée.
4 Surveiller la recrudescence du phishing
En 2016, l’accent sera mis sur la vigilance autour des e-mails de phishing, notamment le spear-phishing (attaques ciblées). Le phishing n’est certes pas une nouveauté mais les cybercriminels ne manquent pas de sauter sur toutes les occasions qui se présentent. Exemple : lorsqu’une affaire de piratage éclate au grand jour, les consommateurs s’attendent légitimement à recevoir un e-mail de l’entreprise victime les informant des mesures à prendre, notamment pour le changement de mot de passe. Les phishers le savent et tenteront de se faire passer pour cette entreprise aux yeux d’internautes moins méfiants. Rappelons qu’il est préférable de se rendre directement sur le site de l’entreprise car toutes les informations importantes (et légitimes) y seront publiées.
5 Instaurer la visibilité des objets connectés
Historiquement, l’Internet des objets (IoT) a souvent été associé au grand public. Toutefois, l’efficacité de ces appareils connectés séduit de plus en plus les entreprises et les milieux industriels. Sur le plan de la protection, leur utilisation doit se conformer à la politique de sécurité globale de l’entreprise. La solution : instaurer la « visibilité des objets », à savoir une surveillance des appareils eux-mêmes, de leur usage et de leurs utilisateurs. Le rapport NTT Com Security sur l’état des menaces dans le monde a observé un glissement du périmètre de sécurité. En effet, 7 des 10 principales vulnérabilités identifiées se situent au niveau de l’utilisateur final. De fait, si l’IoT peut apporter un avantage métier indéniable, ses avantages doivent aussi être pondérés à l’aune du facteur risque.
6 Se préparer aux sabotages et piratages d’Etats
De nouveaux types de piratage d’État ne sont pas à exclure pour l’année à venir.
En lieu et place d’un espionnage à couvert dans des secteurs stratégiques, on peut craindre l’émergence de tentatives de sabotage sur toutes les cibles occidentales potentielles. Si un État peut commanditer ces attaques, on craint aussi des actions « patriotiques » menées par des usurpateurs d’identité russes qui disposent déjà des compétences et des outils nécessaires pour mettre ce type d’attaque à exécution.
7 Vérifier l’évolution des relations internationales
L’onde de choc des révélations d’Edward Snowden commence à fissurer les relations entre les États-Unis et l’Europe. Nous assistons certainement à la fin du principe de sphère de sécurité (Safe Harbour) qui autorise les entreprises privées à transférer des données personnelles entre les États-Unis et l’Union Européenne. Le projet de loi « Snooper’s Charter » au Royaume-Uni pourrait déclencher un exode d’entreprises vers des pays comme la Suisse et l’Islande qui se sont ouvertement prononcés en faveur d’un renforcement de la protection de la vie privée.
Alors que des petits pays, dont certains régimes répressifs, tentent coûte que coûte de rivaliser avec l’arsenal cybernétique dont disposent des pays comme les États-Unis, la Chine et d’autres grandes puissances, des lois et des traités font leur apparition pour prévenir la prolifération des outils et des connaissances indispensables au piratage et à l’espionnage en ligne. Dans la lignée des préoccupations soulevées par les lois sur le piratage des voitures connectées, la réglementation sur la communication de données suscite une certaine inquiétude quant aux obstacles qu’elle représente pour la recherche sur la sécurité et l’élimination des vulnérabilités. Les grands perdants sont souvent les entreprises privées et les consommateurs. Confrontés à un Internet de plus en plus hostile, ils sont sous la menace de cybercriminels et de puissances étrangères qui tentent de perturber leurs activités.
8 Innover en tenant compte des cybermenaces
La sécurité de l’information est un domaine en mutation perpétuelle. Chaque nouvelle technologie apporte avec elle son lot de risques, tandis que les chercheurs continuent de trouver des failles dans des technologies que nous utilisons déjà depuis des années. Difficile, dans ces conditions, de garder le contrôle de la situation.
D’autant plus que nous prévoyons une prolifération du risque des infrastructures traditionnelles (serveurs, postes de travail et communications) vers un champ plus vaste intégrant appliances, véhicules, usines, services d’utilité publique, appareillages médicaux et une myriade d’autres appareils connectés à Internet dans les prochaines années.
Vols de données ultra-médiatisés, démonstrations de piratage (comme celui du Jeep Cherokee) et révélations d’Edward Snowden… tous ces développements ont plus que jamais contribué à ancrer la question de la sécurité dans les mentalités. Conscients de la valeur de leurs données personnelles, les cyberconsommateurs cherchent à présent à protéger leur vie privée. Dans ce contexte, les entreprises seront amenées à intégrer le facteur sécurité en natif dans leurs produits. Nous observons déjà ce phénomène avec les nouveaux contrôles de sécurité qu’Apple a intégrés à son iPhone et la résistance de la firme aux armes de dissuasion juridique du gouvernement fédéral américain.
9 Oser l’apprentissage automatique
Nous assisterons à l’émergence de domaines comme l’apprentissage automatique (ou Machine Learning), une sous-composante de l’intelligence artificielle qui permet aux ordinateurs d’apprendre par eux-mêmes, sans aucune programmation explicite. Sur le plan de la gestion du risque et de la sécurité de l’information, les cybercriminels auront de plus en plus de difficultés à passer à travers les mailles des nouveaux moteurs d’analyse à apprentissage automatique. Les utilisateurs seront ainsi capables de neutraliser en amont les menaces de sécurité émergentes et complexes. Seront à l’honneur les outils analytiques avancés – ou comment trouver une aiguille dans une botte de foin – sur fond de prise de conscience accrue des entreprises sur l’urgence d’une simplification et d’une meilleure visibilité sur l’ensemble de leurs ressources.
10 Protéger les vêtements connectés
La plupart des entreprises ont instauré des contrôles et des processus pour gérer le BYOD (Bring Your Own Device), à savoir l’utilisation professionnelle d’appareils mobiles personnels de type smartphone ou tablette. Mais qu’en est-il des « wearables » (WYOD) et des appareils connectés ? Pour l’instant, rares sont les entreprises qui les intègrent à leur stratégie de gestion du risque. Le nombre croissant d’appareils connectés multiplie les enjeux de sécurité.
Une attention particulière devra être prêtée à la gestion de la croissance du volume de connexions. En effet, si la plupart de ces périphériques ne seront pas considérés comme un risque de sécurité potentiel, ils peuvent être (et seront) exploités comme n’importe quel autre appareil connecté. Téléviseurs avec micro et appareils de monitoring personnel sont autant de points d’entrée potentiels dans l’infrastructure d’une entreprise. Dans le prolongement de leurs dispositifs BYOD, les entreprises devront veiller à mettre en place une politique WYOD plutôt que de renoncer à ces technologies et à leur potentiel d’innovation et d’efficacité individuelle.
Auteur : Olivier Bouzereau
