Sébastien Viou, directeur Cybersécurité Produit chez Stormshield, filiale d’Airbus, s’interroge : comme dans le monde sportif, verra-t-on apparaître un marché des transferts des cybercriminels ? Le spécialiste liste aussi d’autres tendances à suivre en 2022 dans le domaine de la cybersécurité.
Vers un marché des transferts des cybercriminels ?
En 2021, les groupes de cybercriminels ont franchi un cap dans leur structuration. En parallèle de l’explosion des cas et des montants, l’écosystème des groupes cybercriminels se consolide en une véritable économie parallèle, avec un objectif avoué d’une amélioration de la rentabilité des attaques. L’écosystème des ransomwares repose par exemple sur une pluralité d’acteurs, des développeurs aux revendeurs d’accès ou de données. De véritables plateformes se sont constituées, faisant également appel à des affiliés pour exécuter leurs basses œuvres.
Pour 2022, il est presque déjà acté qu’un ou plusieurs nouveaux groupes de cybercriminels émergeront dans l’année qui vient. Mais avec cette multiplication chronique des groupes ainsi qu’avec la structuration de ceux-ci, va se poser la même question que pour les professionnels de cybersécurité : celle du recrutement des talents.
Dans le domaine cyber où les talents de hackers sont rares, la concurrence pourrait bien conduire à des politiques de recrutement plus agressives de la part des groupes de cybercriminels. À l’instar de l’économie du sport, des agents pourraient apparaître, plaçant leurs poulains auprès des groupes les plus offrants.
Des agents qui n’hésiteraient pas à adopter de nouvelles méthodes, comme des primes à la signature ou des « prêts » entre groupes.
Ces agents n’hésiteraient pas à adopter de nouvelles méthodes, comme des primes à la signature ou des « prêts » entre groupes.
Vers une explosion de failles Zero Day cachées dans des bibliothèques open source ?
Côté menaces, les attaques de ransomwares ont largement occupé le champ médiatique en 2021. Mais d’autres procédés se sont également développés comme l’attaque de chaînes logistiques, le fracassant « Projet Pegasus » ou encore la vulnérabilité Zero Day Log4Shell.
Pour 2022, la puissance de l’attaque Log4Shell pourrait inspirer plus d’un groupe de cybercriminels. En effet, le fonctionnement même du système des logiciels libres implique que des pans entiers du Web soient maintenus par une poignée de bénévoles. Si demain, les grandes entreprises n’investissent pas dans les projets open source qu’elles utilisent, les patchs correctifs ne sauraient suivre la vitesse de découverte des failles critiques. Et les cybercriminels pourraient alors s’attaquer aisément à des infrastructures, réseaux ou données particulièrement sensibles. Par exemple, en France, à celles contenues dans l’application TousAntiCovid. En identifiant une faille dans les éléments de code publiés, une des applications la plus téléchargée en 2021 pourrait ainsi se voir ouverte aux quatre vents numériques, laissant aux cybercriminels la possibilité d’accéder à une quantité énorme de données de santé et de passes sanitaires. L’impact d’une telle cyberattaque n’est pas à négliger.
Vers la fin d’un effet de loupe médiatique ?
Colonial Pipeline, JBS Foods, Log4Shell : toutes ces cyberattaques ont fait la Une des journaux en 2021. Vous ne voyez pas le lien entre celles-ci ? Ne cherchez pas du côté de la cyber, leur seul point commun étant l’emballement médiatique qu’elles ont suscité. Un phénomène de loupe médiatique qui peut conduire à un faux sentiment de sécurité pour les TPE et PME. Pourtant, d’après une étude récente, la part de TPE/PME de moins de 250 salariés touchés par les cyberattaques s’élève à 33 %. La focale médiatique est donc sélective : qui a entendu parler de cyberattaques contre le cabinet d’avocat, l’expert comptable ou encore le plombier du coin ? Et la taille n’importe que peu, tant des entreprises plus importantes passent également sous le radar médiatique.
Popularité, focus médiatique et montants conséquents, ces mondes virtuels pourraient bien devenir le nouveau terrain de jeu privilégié des cybercriminels pour 2022. Et leur motivation première resterait évidemment l’argent. Du rançonnage d’artefacts numériques achetés pour des sommes exorbitantes au vol de NFT, les possibilités délictuelles sont multiples. Les éditeurs de mondes virtuels ou de jeux en ligne pourraient rapidement se voir dépasser par les vagues de cyberattaques nuisant au développement de leurs produits. Une police du métavers, fondée sur des outils d’investigation propres, deviendrait alors nécessaire. Elle rassemblerait des experts du monde entier dont l’objectif serait de traquer les cybercriminels dans les recoins les plus reculés des métavers. Une gageure, tant les transactions au sein de ces espaces vont massivement s’accroître au cours de l’année.
Vers un cyberscore individuel pour les collaborateurs ?
En 2021, l’humain reste la principale porte d’entrée dans le réseau d’une entreprise. Et avec un quart des salariés français en télétravail au moins un jour par semaine en 2021, la question de l’accessibilité des solutions de cybersécurité apparaît encore plus essentielle : les collaborateurs utilisent en effet leurs appareils professionnels à des fins personnelles, multipliant ainsi les portes d’entrées potentielles. Et la sensibilisation à l’hygiène numérique et à la cybersécurité est encore un long chemin de croix. D’après le rapport 2021 de la société américaine KnowBe4, un quart des employés pensent que cliquer sur des liens ou des pièces jointes suspectes comporte peu ou pas de risque…
Pour 2022, certaines entreprises pourraient décider de mettre en place des systèmes de cyberscore personnel
Pour 2022, certaines entreprises pourraient décider de mettre en place des systèmes de cyberscore personnel qui permettent à leurs salariés de mieux comprendre que la cybersécurité est l’affaire de toutes et tous. Chacun disposerait d’un crédit de départ, qui baisserait en cas de manquements ou augmenterait après des sessions de formation ou quand de bonnes pratiques sont mises en place. Ainsi, Paul, manager d’une équipe de commerciaux, verrait son cyberscore grimper après avoir fait installer une solution endpoint sur les ordinateurs portables de ses collaborateurs nomades. Et gare au cadre dirigeant qui suivrait les matchs de football de son équipe favorite sur des sites illégaux de streaming…
