Des experts de GlobalSign ont fait part de leurs nombreuses prévisions en matière de cybersécurité pour 2021. Solutions Numérique met en avant ici celles qui touchent à l’identité numérique.
Infrastructures à clés publiques et autorités centrales d’identité en première ligne
Selon Arvid Vermote, RSSI chez GlobalSign, les deepfakes vont continuer à déstabiliser le paysage des identités en ligne. « En 2021, les deepfakes – ces vidéos truquées à l’IA – et d’autres formes sophistiquées d’usurpation et de fraudes à l’identité continueront sur leur lancée. Ces nouvelles techniques rendent la supercherie quasiment impossible à repérer dans les vidéos et les enregistrements vocaux trafiqués. Les humains vont donc devoir se former en profondeur pour être en mesure de distinguer le vrai du faux. Il nous faut innover pour créer des outils de prévention et de détection à la hauteur de ces techniques d’attaque actuelles. Les dispositifs de vérification et d’authentification de l’identité, comme les infrastructures à clés publiques et les autorités centrales d’identité (à savoir les autorités de certification), seront en première ligne pour contrôler que les identités numériques fortes ne sont délivrées qu’aux détenteurs légitimes de ces identités.«
Pour Arvid Vermote, le Zero Trust gardera le rythme. « Dans le domaine de la cybersécurité, le principe du « Zero Trust » consiste à ne faire confiance à rien ni personne. L’accent est mis sur la légitimité de l’utilisateur, que l’on établit grâce à l’authentification multifacteur, plutôt que la catégorie à laquelle il appartient. Dans une démarche Zero Trust, on ne cherche pas à savoir si l’utilisateur est un client en ligne ou un employé qui utilise le matériel de l’entreprise, ou le sien pour effectuer son travail. Il importe peu de connaître sa localisation et de savoir s’il se trouve au bureau ou chez lui. »
E-signatures et certificats
Pour Laurence Pauling, vice-président des opérations monde, signature numérique et certificats sur les e-mails et les appareils vont jouer un rôle majeur. « Alors que petites et grandes entreprises continuent à s’adapter à la culture du « télétravail par défaut », les équipes IT et cybersécurité vont devoir élaborer des outils entièrement nouveaux pour gérer et surveiller la sécurité. Le choc ressemblera au séisme du BYOD (Bring Your Own Device) il y a dix ans… mais en sens inverse : il s’agira ici de matériel contrôlé par l’entreprise et utilisé dans un environnement physiquement et logiquement dangereux. Par conséquent, une refonte totale du paradigme de sécurité s’impose.
Ce nouveau monde s’apprête à accueillir en bonne place les signatures numériques de toutes formes en remplacement des signatures manuscrites sur les documents papier. Quant aux certificats sur les e-mails et les appareils, ils joueront également un rôle majeur, prouvant l’identité lorsque l’emplacement physique ne garantit plus la provenance.«
IoT : des identités uniques et sûres
Diane Vautier, responsable du marketing produit IoT en Amérique du Nord, prédit, quant à elle, que les opérateurs de réseaux d’IoT s’adresseront aux fabricants d’équipements IoT pour la fourniture d’identités uniques et sûres. « Le nombre et le niveau de sophistication des attaques malveillantes contre les systèmes IoT sont en hausse. Les pirates sont intelligents et possèdent les compétences nécessaires pour exécuter des attaques complexes qui atteignent leurs objectifs et leur permettent d’accéder à des données lucratives, voire de prendre le contrôle des appareils. En 2021, les opérateurs de réseaux et de systèmes IoT chercheront à protéger leurs écosystèmes contre ces attaques. Ce sera plus particulièrement le cas des réseaux et des systèmes à forte valeur ajoutée ou à infrastructures critiques. Ces opérateurs se concentreront sur la sécurisation de leurs équipements – principal point d’attaque – à l’aide d’identités d’appareils pouvant être sécurisées par une authentification PKI basée sur des certificats. Ils s’adresseront alors aux fabricants d’équipements IoT pour la fourniture d’identités uniques et sûres dans le cadre du build du produit. Ils pourront même demander aux fabricants de puces d’inclure des identités attestables au niveau des puces/TPM (Trusted Platform Module) qui s’intègrent à la PKI afin de protéger le composant auquel elles sont intégrées, ou bien l’appareil entier, tout au long de son cycle de vie. »
