AVIS D’EXPERT – Alors que la cybercriminalité continue d’évoluer et de s’intensifier, trois experts de chez Eviden identifient pour les lecteurs de Solutions Numériques les menaces les plus critiques auxquelles les organisations doivent se préparer pour l’année 2024. Par Srikanth Raju, Zeina Zakhour, Vasco Gomes et Vinod Vasudevan.
1 Perturbation quantique de la sécurité
Selon le rapport sur la menace quantique du Global Risk Institute (2023), les ordinateurs quantiques atteindront leur maturité d’ici à 2037. Presque tous les aspects des systèmes d’information, tels que les périphériques réseau, les serveurs et les terminaux, les appareils intelligents, les systèmes d’exploitation, les applications, les objets connectés, l’IoT et l’OT devront être migrés vers le chiffrement post-quantique. Ce délai semble très court pour que les organisations puissent préparer, hiérarchiser et exécuter la migration complète de leur environnement numérique et de leurs processus opérationnels digitalisés.
De plus, les acteurs malveillants exploitent dès à présent le plan d’attaque « Collecter aujourd’hui maintenant, déchiffrez plus tard » (« Harvest now, decrypt later » en anglais). En effet, des acteurs hostiles et motivés collectent déjà des volumes importants de données. Leur objectif n’est pas de savoir ce qu’ils récoltent, mais plutôt de parier sur le fait qu’au moins une donnée précieuse/critique se trouve dans le lot, et qu’ils pourront bientôt la déchiffrer facilement avec des ordinateurs quantiques.
Dans ce contexte, les entreprises devront adopter des algorithmes et des protocoles de chiffrement résistants au quantique, tels que la cryptographie reposant sur les réseaux euclidiens et la cryptographie basée sur le hachage. Elles devront également surveiller le paysage de l’informatique quantique et veiller aux derniers développements et meilleures pratiques.
Par ailleurs, au cours du premier semestre 2024, le National Institute of Standards and Technology (NIST) publiera ses normes finales de cryptographie post-quantique (PQC) que les organisations devront adopter. Par conséquent, les organisations doivent imminemment se demander dans quelle mesure sont-elles prêtes à les mettre en œuvre ? Et l’audit interne nécessaire ne s’arrête pas ici.
Les RSSI devront obtenir le financement de leur projet de migration vers la cryptographie post-quantique auprès du conseil d’administration ou du directeur financier. Ensuite, il leur faudra évaluer la facilité de la mise en œuvre du plan de transformation, avant de créer et de gérer leur inventaire cryptographique. Enfin, les organisations devront analyser leurs processus métier les plus critiques, afin de savoir par où commencer par ordre de priorité. La migration PQC sera un projet de transformation conséquent, ce qui signifie que des choix et des décisions critiques doivent être pris quant à la migration de données hautement sensibles, ou à la prise de risque qu’elles soient collectées dès à présent et déchiffrées ultérieurement par des pirates. Les organisations qui ne commenceront donc pas à agir sur leur migration PQC en 2024 arriveront beaucoup trop tard pour avoir une sécurité à l’épreuve du quantique lorsque les ordinateurs quantiques atteindront leur maturité.
2 Les attaques alimentées par l’IA
L’IA peut fortement contribuer à améliorer la sécurité en automatisant les tâches, en détectant les anomalies et en améliorant les capacités de réponse. Néanmoins, elle peut également être utilisée par les attaquants pour créer des attaques plus sophistiquées et furtives, telles que les deepfakes, l’IA antagoniste et les bots autonomes. La diffusion des outils de GenAI a également amélioré l’usage des grands modèles de langage (LLM) par les cybercriminels, améliorant ainsi leurs capacités à élaborer des attaques de phishing convaincantes ou à identifier plus rapidement les vecteurs d’attaque pour les vulnérabilités et expositions courantes publiées. Worm GPT illustre le côté obscur des LLM lorsqu’ils sont détournés à des fins malveillantes.
Les attaques basées sur l’IA deviendront plus répandues et plus diversifiées à mesure que les attaquants exploiteront les outils et les techniques d’IA pour automatiser et optimiser leurs campagnes. Il est fort probable d’assister à l’usage croissant d’attaques deepfake, capables de manipuler l’audio et la vidéo afin d’usurper l’identité d’individus ou de diffuser de la désinformation. Nous prédisons aussi une croissance des attaques d’IA antagonistes qui peuvent tromper les modèles d’apprentissage automatique et échapper aux systèmes de sécurité. De plus, nous conjecturons une augmentation des injections rapides par IA générative et des bots autonomes capables d’effectuer des opérations de reconnaissance, d’exploitation et de propagation sans intervention humaine.
Pour contrer les attaques alimentées par l’IA, les entreprises devront investir dans des solutions de cybersécurité elles aussi basées sur l’IA et mettre en œuvre des contrôles et des politiques de sécurité robustes – tels que la protection des données et la gestion des identités et des accès.
3 Le classique – mais redoutable – rançongiciel
Les rançongiciels resteront l’une des principales menaces à mesure que les attaquants innoveront et diversifieront leurs opérations de rançongiciel. Par exemple, nous nous attendons à voir davantage de plateformes de rançongiciels en tant que service, où les attaquants offrent des outils et des services de rançongiciels à d’autres criminels moyennant des frais ou une part des bénéfices. Il est fort probable d’assister à des stratagèmes d’extorsion triple ou quadruple, où les attaquants non seulement chiffrent les données, mais les volent également et menacent de les exposer ou de les vendre, et enfin ferment les serveurs publics avec une attaque par déni de service distribué (DDoS), à moins que la rançon ne soit payée. Enfin, de plus en plus de « gangs de ransomware » collaboreront et coordonneront leurs attaques pour augmenter leurs chances de succès.
Pour lutter contre les rançongiciels, les entreprises devront adopter une stratégie complète de prévention, de détection, de réponse et de récupération des rançongiciels. Elles devront également suivre les meilleures pratiques de protection contre les rançongiciels, telles que l’application de correctifs aux systèmes, la limitation de l’exposition de leur réseau et l’éducation de leurs utilisateurs.
4 L’(in)sécurité du cloud
Le cloud computing offre de nombreux avantages, tels que l’évolutivité, la flexibilité et la rentabilité. Cependant, il pose également de nouveaux défis en matière de sécurité, tels que la sécurité des données, le contrôle d’accès et la conformité. Les menaces sur le cloud deviendront plus complexes et sophistiquées à mesure que les attaquants exploiteront les vulnérabilités et les lacunes de l’environnement et de l’infrastructure cloud. Il faudra donc s’attendre à l’avènement d’attaques contre les données dans le cloud, telles que les violations de données, les fuites de données et la falsification de données qui peuvent exposer ou altérer les données sensibles stockées ou traitées dans le cloud. Nous assisterons également à une augmentation des attaques contre l’accès au cloud, telles que le piratage de compte, le vol d’informations d’identification et l’élévation de privilèges, qui peuvent abuser des droits d’accès et des autorisations des utilisateurs et des administrateurs du cloud. Enfin, les enjeux autour de la conformité du cloud seront cruciaux : violations de la réglementation, violations contractuelles et échecs d’audit qui peuvent entraîner des amendes, des pénalités et des poursuites judiciaires.
Pour protéger les services cloud, les entreprises devront adopter des mesures de sécurité spécifiques au cloud, telles que le chiffrement, l’authentification et la sauvegarde. Elles devront également mettre en œuvre des solutions de sécurité cloud, telles que les courtiers de sécurité d’accès au cloud (CASB), la gestion du niveau de sécurité du cloud (CSPM) et les plates-formes de protection des charges de travail dans le cloud (CWPP), pour protéger leurs environnements cloud ou peuvent opter pour solutions de sécurité de bout en bout gérées dans le cloud. Le respect des normes et des cadres de sécurité du cloud, tels que ISO 27017, CSA CCM et NIST SP 800-144, contribuera non seulement à la conformité, mais améliorera également la posture de sécurité.
5 La 5G
La 5G ouvre la voie à de nouvelles applications et à de nouveaux cas d’utilisation, tels que l’Internet des objets (IoT), les villes intelligentes (smart cities), les véhicules autonomes et la télémédecine. Cependant, le réseau 5G n’est pas sécurisé par défaut – les protocoles de sécurité 5G sont entre les mains du client et doivent être configurés et déployés en tenant compte des risques de sécurité.
Dans l’ensemble, la 5G a augmenté la surface d’attaque et la complexité de l’écosystème mobile, car de plus en plus d’appareils, de réseaux et de services sont connectés et exposés à des cyber risques.
Les menaces 5G deviendront plus courantes et plus graves à mesure que les attaquants exploiteront les vulnérabilités et les opportunités de l’infrastructure et de l’environnement 5G. Par exemple, nous nous attendons à voir davantage d’attaques contre les appareils 5G, tels que les smartphones, les tablettes, les appareils portables et les appareils IoT, compromettant leur fonctionnalité, leurs données et leur confidentialité.
Il peut y avoir davantage d’attaques sur les réseaux 5G, tels que les stations de base, les serveurs périphériques et les plates-formes cloud, qui peuvent perturber leur disponibilité, leurs performances et leur intégrité. Nous nous attendons également à voir davantage d’attaques contre les services 5G, tels que le streaming, les jeux et le commerce électronique, qui peuvent affecter leur qualité, leur fiabilité et leur sécurité.
Pour se défendre contre les menaces liées à la 5G, les entreprises devront adopter des solutions de sécurité spécifiques à la 5G et mettre en œuvre des normes et des cadres de sécurité 5G, tels que le 3GPP, la GSMA et le NIST.
6 Les attaques de la chaîne d’approvisionnement
Les attaques de la chaîne d’approvisionnement sont devenues plus fréquentes et plus sophistiquées, car les attaquants exploitent la complexité et l’interdépendance croissantes de l’écosystème de la chaîne d’approvisionnement. Elles continueront de représenter une menace majeure, car les attaquants ciblent davantage de fournisseurs et de partenaires, et utilisent des techniques et des tactiques plus avancées. Nous pourrions assister à davantage d’attaques sur les chaînes d’approvisionnement matérielles (processus de conception, de fabrication et de livraison des puces) qui peuvent conduire à l’implantation de composants ou de micrologiciels malveillants dans les appareils et les systèmes matériels. Au même titre que l’avènement d’attaques sur les chaînes d’approvisionnement des services, telles que les services cloud managés ou professionnels, qui peuvent compromettre la sécurité et la qualité de la prestation de services.
Pour prévenir les attaques de la chaîne d’approvisionnement, les organisations devront améliorer la sécurité de leur chaîne d’approvisionnement en effectuant des évaluations régulières des risques, en appliquant des normes de sécurité et en mettant en œuvre une surveillance de la sécurité et un plan de réponse aux incidents. Elles devront également établir des politiques et des procédures de sécurité de la chaîne d’approvisionnement, telles que la vérification des fournisseurs, l’examen des contrats et la capacité de réponse aux incidents.
7 Les menaces internes
Elles font référence à toute menace provenant de l’intérieur de l’organisation, qu’il s’agisse d’employés, de sous-traitants ou de partenaires actuels ou anciens, qui ont un accès légitime aux systèmes, aux données et aux ressources de l’organisation. Ces types de menaces peuvent être malveillantes ou accidentelles, en fonction de l’intention et du comportement de l’initié. Ils peuvent causer des dommages et des pertes importants, car les initiés peuvent contourner les contrôles de sécurité, exploiter des informations privilégiées et échapper à la détection.
Les menaces internes deviendront plus difficiles et plus coûteuses, car les organisations seront confrontées à davantage de facteurs internes et externes susceptibles d’influencer et de déclencher de telles actions. Nous nous attendons à voir davantage de menaces internes motivées par des difficultés économiques, des troubles sociaux, et des griefs personnels qui peuvent motiver les initiés à saboter, voler ou divulguer des données ou des actifs sensibles. Nous pouvons également nous attendre à davantage de menaces internes rendues possibles par le travail à distance, la migration vers le cloud et la transformation numérique, qui peuvent créer davantage d’opportunités et de moyens pour les initiés d’accéder aux systèmes et aux données critiques, et les compromettre.
Pour dissuader les menaces internes, les entreprises devront adopter une approche holistique de gestion des menaces internes, qui comprend la surveillance, la formation et l’audit, ainsi que la mise en œuvre de solutions de détection et de prévention des menaces internes, telles que l’analyse du comportement des utilisateurs et des entités (UEBA), la prévention des pertes de données (DLP) et la gestion des accès privilégiés (PAM) pour protéger leurs actifs contre les menaces internes. Ils devront également mettre en œuvre des politiques et des programmes de lutte contre les menaces internes, tels que la formation de sensibilisation.
8 L’hameçonnage pour détecter les vulnérabilités
Bien que l’hameçonnage (phishing) représente l’une des cybermenaces les plus anciennes et les plus courantes, il est également une porte d’entrée vers d’autres attaques, telles que les logiciels malveillants, les ransomwares et le piratage de comptes. Par exemple, une institution affiliée au gouvernement sud-coréen aurait été victime d’une escroquerie par hameçonnage qui a entraîné la perte de 175 millions de wons (environ 131 000 dollars). Il s’agirait de la première attaque de phishing contre une organisation publique du gouvernement sud-coréen.
L’hameçonnage continuera donc d’être une menace répandue et persistante à mesure que les attaquants affineront et diversifieront leurs techniques et tactiques d’hameçonnage. Par exemple, nous nous attendons à voir davantage d’attaques de spear phishing et de whaling, où les attaquants ciblent des personnes (e.g. dirigeants) ou des organisations spécifiques avec des messages personnalisés et convaincants. Nous nous attendons également à voir davantage d’attaques de vishing et de smishing, où les attaquants utilisent des appels vocaux – y compris des voix générées par l’IA – ou des SMS pour diffuser leur contenu de phishing. À l’avenir, de plus en plus d’attaques de phishing s’appuieront sur les événements et les tendances actuels, tels que l’IA générative (e.g. ChatGPT), le métavers et les grands évènements (Jeux Olympiques et Paralympiques), pour accroître leur pertinence et leur attrait.
Pour prévenir l’hameçonnage, les entreprises devront adopter des solutions de prévention telles qu’une passerelle Web sécurisée (SWG), une passerelle de messagerie sécurisée (SEG) et des simulations d’hameçonnage. Ils devront également éduquer leurs utilisateurs sur la façon de repérer et d’éviter l’hameçonnage, par exemple en vérifiant l’expéditeur, le contenu et l’URL du message ou du site Web.
2024 s’annonce être une année extrêmement complexe et passionnante pour l’industrie de la cybersécurité – car, bien que nouvelles menaces émergent, d’anciennes menaces persistent. Charge à nous de s’y préparer dès aujourd’hui.
Srikanth Raju, Zeina Zakhour, Vasco Gomes et Vinod Vasudevan, Eviden
