Les grandes tendances de la cybersécurité en 2017

 

 

Les grandes tendances en matière de cybersécurité :

N^o1 : intensification de la guerre de l’information

S’il y a bien une chose que la cybersécurité nous a appris en 2016, c’est que désormais les objectifs recherchés par les fuites de données peuvent aussi bien être les dommages résultant de la divulgation d’informations privées, que la recherche d’un gain financier ou l’obtention d’un avantage concurrentiel. Ainsi, le piratage du système de messagerie électronique du Comité National Démocrate (DNC) américain a conduit à la démission de Debbie Wassermann Schultz de son poste de présidente. La sécurité des serveurs de messagerie a également miné la campagne présidentielle américaine de la candidate Hillary Clinton dans sa dernière ligne droite. Et, dans la mesure où 2016 émaillée évènements en lien avec la cybersécurité, il est excusable d’avoir oublié que Sigmundur Davíð Gunnlaugsson, le premier ministre islandais, a été contraint de démissionner en raison du scandale des Panama Papers.

Les évènements de ce type, qui rendent publiques de grandes quantités de données dans le cadre d’une campagne lancement d’alertes ou qui tentent de porter publiquement atteinte à un opposant quelconque dans un gouvernement ou une entreprise, vont être de plus en plus fréquents. Ils continueront ainsi de perturber grandement le fonctionnement de nos institutions et ceux qui détiennent actuellement le pouvoir.

 

N^o2 : l’ingérence de l’État-nation

Nous avons assisté cette année à une augmentation des accusations de violations de données orchestrées par des États-nations. À l’été 2015, l’administration Obama a décidé d’user de représailles contre la Chine pour le vol d’informations personnelles relatives à plus de 20 millions d’américains dans lors du piratage des bases de données de l’Officeof Personnel Management.Cette année, le sénateur américain Marco Rubio (républicain, État de Floride) a mis en garde la Russie contre les conséquences inévitables d’une ingérence de sa part dans les élections présidentielles.

Il s’agit là d’une autre tendance qui se maintiendra, et les risques de l’accentuation de la cyber-guerre, avec une portée mesurée (espérons-le), entre États-nations augmentent chaque année.

Les entreprises doivent comprendre que si elles opèrent ou sont liées de part leur activité à des secteurs dont les infrastructures sont critiques (santé, finance, énergie, industrie, etc.), elles risquent d’être prises au milieu du conflit.

 

N^o3 : la fraude est morte, longue vie à la fraude au crédit !

Avec l’adoption des cartes à puces, notamment EMV (Europay Mastercard Visa) qui a tendance à se généraliser et les portefeuilles numériques tels que l’Apple Pay ou le Google Wallet qui sont de plus en plus utilisés, les fraudes directes dans les points de vente ont chuté, et cette tendance devrait se poursuivre. En revanche, si la fraude liée à des paiements à distance sans carte ne représentait que de 10 milliards de dollars en 2014, elle devrait dépasser les 20 milliards d’ici 2018.

Selon l’article New Trends in Credit Card Fraud publié en 2015, les usurpateurs d’identité ont délaissé le clonage de fausses cartes de crédit associées à des comptes existants pour se consacrer à la création de nouveaux comptes frauduleux en recourant à l’usurpation d’identité. Cette tendance devrait se poursuivre, et la fraude en ligne augmenter. Le cyber-crime ne disparaît jamais, il se déplace simplement vers les voies qui lui opposent le moins de résistance. Cela signifie, et que les fraudeurs s’attaqueront directement aux systèmes de paiement des sites Web.

 

N^o4 : l’Internet des objets (IdO)

Cela fait maintenant deux ans que les experts prédisent l’émergence d’un ensemble de risques inhérents à l’Internet des objets – mais, à l’instar de l’essor de la plupart des nouvelles technologies, le battage médiatique arrive bien avant la réalité. Malheureusement, les prédictions en matière de cybersécurité entourant l’IdO ont commencé à se réaliser en 2016. Cela est en grande partie dû à l’adoption massive de ces appareils d’une part par les consommateurs, mais aussi par les entreprises. En effet, d’après l’enquête internationale portant sur les décideurs et l’IdO conduite par IDC, environ 31% des entreprises ont lancé une initiative relative à l’IdO, et 43% d’entre elles prévoient le déploiement de ce type d’appareils dans les douze prochains mois. La plupart des entreprises ne considèrent pas ces initiatives comme des essais, mais bien comme faisant partie d’un déploiement stratégique à part entière.

Cette situation va considérablement empirer. L’un des principaux défis de l’IdO n’est pas lié à la sécurisation de ces appareils par les entreprises, mais plutôt au fait que les fabricants livrent des appareils intrinsèquement vulnérables : ils sont trop souvent livrés avec des mots de passe par défaut qui n’ont pas besoin d’être modifiés par les utilisateurs, ou bien la communication avec les appareils ne requiert pas une authentification de niveau suffisant, ou encore les mises à jour des firmwares s’exécutent sans vérification adéquate des signatures. Et la liste de ces appareils n’en finit pas de s’allonger.

Les entreprises continueront d’être touchées par des attaques directement imputables aux vulnérabilités de l’IdO, que ce soit en conséquence des attaques par déni de service distribué (attaques DDoS), ou par le biais d’intrusions sur leurs réseaux, rendues possibles par les « faiblesses » inhérentes de l’IdO.

 

N^o5 : bouleversements de la réglementation

Les règlementations gouvernementales et industrielles qui ont une incidence sur la cybersécurité vont créer une certaine instabilité. Dans l’Union européenne, le secteur IT va faire l’objet de modifications opérationnelles en matière de notification des violations de données personnelles compte tenu de la mise en place du Règlement Général sur la Protection des Données (General Data Protection Regulation – RGPD). En outre, le RGPD deviendra une obligation légale dans les premiers mois de 2018. Beaucoup s’attendent à une augmentation des coûts liés à cette nouvelle réglementation pour les acteurs de ce secteur d’activité, puisque ces nouvelles mesures de protection des données permettront de contrôler comment, par qui et quand des données seront consultées.

D’autres évolutions sont à prévoir, notamment en en ce qui concerne la sécurité et de confidentialité des données, les lois relatives à la surveillance gouvernementale, et la réglementation en matière de conception et de mise en place de la cybersécurité dans l’Internet des objets (peut-être pas l’année prochaine pour ce dernier, mais probablement dans un avenir proche).

Le paysage règlementaire va évoluer rapidement et les entreprises devront être prêtes à adapter leur positionnement en termes de sécurité, de vie privée et de gestion du risque global.