Prédictions en cybersécurité pour la zone EMEA en 2020

0

Prenons un peu de recul… Revenons sur l’année écoulée et prenons nos bonnes résolutions en matière de cybersécurité pour celle à venir. Il est temps de faire un point sur les défis et les opportunités qui nous attendent en 2020.

1 — L’IA va faciliter la cybersécurité

Nous avons beaucoup discuté de la façon dont l’intelligence artificielle (ou IA) générerait de nouvelles méthodes de détection des menaces et de la façon dont les cybercriminels cherchent à détourner les capacités de l’IA. Tout cet emballement continuera certainement, mais l’impact de l’IA sur la cybersécurité en 2020 sera sur un autre point : simplifier les processus

Les systèmes SOAR (Security Orchestration, Automation and Response – outils d’automatisation de la détection et de réponse aux incidents de sécurité) n’en sont qu’un exemple : utiliser l’IA pour rassembler la connaissance humaine détenue par l’équipe responsable de la sécurité avec du NLP (Natural Language Processing – interprétation automatique et génération du langage humain) et lui permettre d’être réutilisée par l’ensemble de l’équipe. Cette approche fournit les premiers blocs qui permettront l’automatisation de tâches simples, répétitives et en grande quantité qu’aucun expert en sécurité n’aime exécuter. Cela permettra également de s’assurer que la bonne personne avec les connaissances adéquates est affectée au bon projet.

2 — Quelle est l’étendue des falsifications digitales ? 

Avoir un contact ou une source numérique fiable est de moins en moins facile avec la multiplication des faux comptes et documents. Ces dernières années, nous avons constaté une hausse des faux courriels professionnels (BEC pour Business Email Compromise), utilisant des identifiants volés pour accéder aux systèmes. Et ces contrefaçons continuent de s’étendre aux vidéos, à l’audio et aux autres formats numériques. Nous voyons ces faux passer d’une simple falsification d’adresse à un réseau complexe de mensonges se développant sur plusieurs plateformes. Nous devons nous attendre à voir apparaître des contrefaçons plus approfondies et plus recherchées pour pousser les utilisateurs à faire ce que veulent les cybercriminels. 

Pour des tâches critiques, les entreprises ont déjà commencé à mettre en place des contrôles secondaires pour essayer d’identifier et d’arrêter ces faux, que ce soit des BEC ou autres. Mais comme ceux-ci se diversifient, nous devons surveiller de façon plus large les communications numériques et les processus pour déterminer comment atteindre le niveau de confiance requis. Ou alors nous devenons sceptiques et nous travaillons – par défaut – sans jamais accorder notre confiance, limitant ainsi les risques associés et leurs impacts. Avec la tendance à la contrefaçon qui n’est pas prête de se ralentir, nous ne pouvons que constater le développement de réseaux Zero-Trust

3 — Le cloud se spécialise

Ce qui était le « cloud d’abord » est devenu le « adapté au cloud », « cloud hybride » et le « cloud unique », et désormais le « multi-cloud ». Quelle sera la prochaine étape du voyage dans le cloud ? La réponse la plus probable sera l’avènement de plus de clouds spécialisés. Pourquoi ? Plus particulièrement dans la zone EMEA, il semble que les frontières virtuelles pour les données augmentent ; de nombreux acteurs de ces politiques encouragent la migration vers le cloud, mais à condition que la donnée reste dans leur région ou leur pays. Ce qui s’explique par une importance toujours plus grande accordée à la vie privée et à la confidentialité. 

Dans le même temps, l’IoT (Internet of Things – internet des objets) et les autres générateurs de Big Data pousse à avoir de l’edge computing (ou informatique en périphérie de réseau) toujours plus efficaces. Ces deux besoins impliquent de prendre la donnée et de lui faire subir un certain nombre de traitements (que ce soit pour retirer les informations permettant d’identifier l’utilisateur, pour lui ajouter des métadonnées, ou pour réduire le grand volume de données circulant sur le réseau en utilisant des résumés analytiques, qui seront eux-mêmes traités à l’étape suivante).

Tout ceci signifie que bien que le cloud soit connecté, il va devenir plus spécialisé et fragmenté pour s’adapter à tous ces impératifs. Les experts en sécurité s’habituaient à des modèles à responsabilités partagés ; ils devront vite comprendre comment normaliser la supervision à travers plusieurs clouds et anticiper l’arrivée de plusieurs clouds spécialisés.

L’agilité liée à l’informatique à la demande sera toujours source de complications pour la sécurité. Les décisions devront être prises en fonction de ce qui sera réalisé en mode SaaS , de ce qui sera fait ‘on premise’, ou plus important, comme le faire de façon cohérente alors que les services cloud se spécialisent de plus en plus. 

4 — Les RSSI retournent à l’école apprendre le DevOps

Dans les années qui viennent, la 5G va générer une explosion de données liées à l’IoT, dont les entreprises vont chercher à tirer un avantage commercial. Et pourtant, alors que tous ces problèmes à venir nécessitent une approche agile, de nombreux RSSI ont du mal à insérer la sécurité dans une approche DevOps qui, pour eux, est comme apprendre un langage totalement inconnu.

La plupart des RSSI ont toujours utilisé des scripts et des interfaces graphiques pour piloter la sécurité informatique. Toutefois, le DevOps replace tout dans le code, en le réduisant à la plus petite portion possible réutilisable puis nécessite plusieurs niveaux d’orchestration pour fonctionner dans des conteneurs et des environnements serverless. Certains RSSI essaient déjà de comprendre comment intégrer la sécurité dans le code et comment l’adapter à ce Nouveau monde numérique. Les autres devront s’y mettre, en 2020 et au-delà. La mutation est en cours. Pour faire simple, les vieilles méthodes et les outils liés n’ont plus cours dans cet environnement ; les RSSI doivent apprendre les nouveaux langages, processus et capacités nécessaires pour rejoindre cet écosystème. 

5 — Les ralentissements actuels de la 5G entraineront une vague encore plus importante d’IOT

La 5G a déjà été déployée dans quelques villes pilotes en Europe. Et pourtant, la situation politique actuelle semble en freiner le déploiement, entrainant des retards pouvant aller de 12 à 24 mois. Toutefois, cela ne ralentit pas la quantité d’objets connectés conçus pour utiliser la 4G existante et les bénéfices à venir de la 4G. Du coup, quand la 5G sera complètement déployée, il y aura beaucoup plus d’objets connectables en 5G déjà en place. 

Pour les responsables sécurité, la vague attendue n’en sera que plus grande. Objets liés à la santé, domotique, véhicules autonomes ou opérations boursières ne sont qu’une partie des domaines qui pourront en tirer avantage.

Quand la 5G sera là, le délai dans le déploiement signifiera juste que le RSSI et son équipe auront plus de paramètres à prendre en compte comme ce retard n’aura servi qu’à apporter de nouveaux appareils sur le marché et que beaucoup voudront alors avoir un retour sur investissement rapide pour effacer les pertes qui lui sont dues.

Les sociétés ne devraient pas reléguer la planification liée à l’IoT et à la 5 G au second plan, mais au contraire profiter de ce délai supplémentaire pour affiner la façon dont ils vont identifier ces futurs appareils connectés, et définir les bonnes mesures de sécurité à mettre en place avec quelles fonctionnalités. Si nous pensons qu’avoir un modèle partagé entre le cloud et les entreprises est compliqué en 2019, nous ne devons pas oublier que l’IoT et la 5G contribueront à la création de chaînes technologiques et de responsabilités associées bien plus complexes. 

6 — Des conseils d’Administration mieux informés sur la sécurité

Historiquement, la plupart des entreprises veulent comprendre les risques informatiques et les impacts qu’ils peuvent avoir sur elles. Plus elles sont informées, plus il y a de chances pour qu’elles aient une discussion sur le bon niveau d’investissement en cybersécurité pour leurs besoins. Typiquement, les RSSI veulent la solution haut de gamme pour diminuer autant que possible les risques ; et pourtant les décisionnaires vont choisir une solution meilleure marché, car ils estiment que l’impact sur leur business est assez bas et ne justifie pas une dépense plus élevée.

Ces discussions ne disparaîtront pas, même si les décisionnaires bien informés poseront de plus en plus la question « et si ? ». Et si cela se produit ? Quelle est la réponse stratégique à avoir ? Combien de temps prendra le retour à la normale ? Quelle est notre solution de secours ? Quels sont les protocoles pour continuer notre activité ? Comme de plus en plus de processus sont numérisés, les décisionnaires sont conscients que, pour un grand nombre de raisons, des problèmes peuvent survenir : la définition d’une bonne sécurité, comme le disent les RSSI, ne se limite pas à l’identification et à la gestion des risques.

De plus en plus, elle englobe la stratégie de reprise d’activité développée en relation avec les métiers pour être sûr de minimiser l’impact commercial du « et si ? », et ce d’un bout à l’autre de l’année et 24 h sur 24, dans un environnement s’appuyant sur le cloud. Vous pourriez avancer que les changements réglementaires expliquent ce changement d’orientation, ce qui est en partie vrai, mais la principale motivation reste la dépendance numérique de la plupart des activités économiques critiques. Les RSSI cherchent toujours à se faire entendre des conseils d’Administration ; ils devront désormais faire face à un interrogatoire plus coriace. 

7 — Le Edge computing s’accélère

Un nouveau pot à miel pour les cybercriminels ? Il n’y a pas si longtemps, nous avons remarqué une attaque frappant un PSP (prestataire de service de paiement) qui, dans mon esprit, est la gourmandise suprême. Il y a des millions de TPE (terminaux de paiement), donc pour un criminel, cela vous permet d’être à tous ces endroits à la fois. Attaquez la banque, en revanche, et vous visez le point le plus sécurisé, ce qui implique de prendre plus de risque et génère plus d’attention. Et donc comme dans le compte de Boucle d’Or et des trois ours, le criminel va chercher le bol de porridge idéal, dans ce cas-ci, l’intermédiaire entre les deux à savoir, le PSP.

Aujourd’hui, en suivant le développement du edge computing (ou informatique à la périphérie, à savoir augmentation de la capacité de calcul et de connexion en terminaison de réseau), la possibilité d’y faire un premier traitement des données et de l’agrégation avant de les envoyer dans le cloud ; le tout pour réduire la latence, les délais et les coûts de traitement des données.

L’edge computing n’en est qu’à ses débuts ; les exemples les plus courants sont certainement son utilisation dans les assistants numériques personnels comme Alexa ou Cortana. Nous avons déjà vu de cas très divers où ces outils peuvent être compromis, de nouvelles fonctionnalités génèrent de nouvelles pistes de compromission, et l’occasion fait le larron. L’edge computing est un point d’entrée qui, comme le bol de porridge, est juste à la bonne température pour les criminels. Donc, attendez-vous à voir des exemples où il sera attaqué et à voir les stratégies de sécurité évoluer rapidement dans ce domaine. 

8 — Les politiques de réponse aux incidents évoluent, et les vieux SOC sont responsables de plus d’échecs

Dans chaque société, l’étendue des opérations numériques a doublé voire triplé. Le cloud est désormais intégré dans la vie courante et pourtant, pour beaucoup, la politique de réponse aux incidents reste bloquée trois ou quatre ans en arrière, voire plus. Vous pourriez penser que le RGPD a entrainé des changements dans ce domaine, mais il n’a fait que tester les capacités existantes.

Alors que le volume des incidents de sécurité continue à croître, la plupart des RSSI n’ont tout simplement pas le personnel ou les compétences pour suivre le rythme. Beaucoup ont déjà externalisé au moins les premiers filtres depuis des années. Beaucoup réalisent que leurs politiques de réponse aux incidents ne sont pas adaptées au cloud, qui est plus complexe en demandant des retours du prestataire de cloud et de l’entreprise. Ce sont ces facteurs qui poussent les responsables sécurité à revoir ce que sera le SOC du futur et comment l’adapter à la croissance sans fin des alertes.

Aujourd’hui, d’un côté, nous avons vu des prestataires de cloud annoncer 100 % d’automatisation ; et de l’autre, des responsables sécurité dire que rien n’est fait sans une validation humaine préalable. Avec une telle étendue des possibilités, et des besoins toujours plus importants, nous ne pouvons que nous attendre à plus d’échecs qui, à leur tour, impliqueront de repenser les fonctionnalités du SOC ainsi que les compétences et les ressources qui lui sont allouées. 

9 — La Terre est ronde, mais le réseau reste trop plat

Avec toujours plus chaînes logistique, des systèmes de connexion par API, de données et de processus migrant dans le cloud et, bien sûr, avec des réglementations toujours plus présentes, les entreprises redéfinissent leurs infrastructures réseaux. Beaucoup parlent du concept de réseau Zero Trust (Zero Trust Network ou ZTN) et, pourtant constatent que le fossé entre leur état des lieux et l’idéal du ZTN est trop grand à franchir, donc ils ont retardé toute action en ce sens.

En 2020, nous verrons d’autres actions que des simples prises de paroles, beaucoup vont aller dans cette direction avec de nouveaux processus, ou avec ceux qui sont les plus critiques pour leur activité. La clé étant qu’en continuant à numériser et connecter les processus, nous devons mieux limiter les risques qui y sont liés. 

About Author

Greg Day

Greg Day est VP et CSO EMEA chez Palo Alto Networks. Il est responsable et supervise les opérations de Palo Alto Networks sur la zone EMEA et est en charge du développement des renseignements sur les menaces et sur les meilleures pratiques en matière de sécurité. Fort de 25 années d'expérience dans le domaine de la sécurité numérique, Greg a aidé des organisations, grandes et petites, du secteur public et privé, à mieux appréhender, prévenir le risque et à mettre en place des stratégies pour le gérer. Il est reconnu pour sa vision, son leadership et comme un chef de file de l'industrie, un expert capable de traduire les défis technologiques en solutions exploitables. Greg a débuté sa carrière chez Dr Solomon, plus tard McAfee (maintenant Intel Security) en tant qu'analyste support technique. Au cours de sa carrière de 20 ans, il a occupé plusieurs postes: consultant en sécurité informatique, responsable des meilleures pratiques mondiales, analyste de sécurité et directeur de la stratégie de sécurité. Pendant ce temps, il a conduit différentes initiatives pour soutenir les clients, les partenaires et les équipes de vente, a rédigé plusieurs articles sur des sujets de sécurité et a fourni des conseils aux gouvernements. Chez Symantec, il a occupé le poste de directeur de la sécurité pour la région EMEA, gérant une équipe d'experts en sécurité et pilotant la stratégie régionale de cybersécurité de Symantec. Plus récemment, en tant que VP et CTO EMEA chez FireEye, il était responsable de la stratégie technologique. Greg siège actuellement au comité directeur de la National Crime Agency du Royaume-Uni, mais également au comité conseil du UK-CERT / CISP et à la communauté de recherche VFORUM, occupant même auparavant le poste de vice-président du groupe de cybersécurité techUK. Il a fait partie de la Convention du Conseil de l'Europe sur la cybercriminalité et a participé à un certain nombre de groupes industriels et consultatifs. Il est largement reconnu comme un leader de l'industrie et est un visage familier à de nombreux événements de cybersécurité, en tant que conférencier régulier et a également été un porte-parole actif auprès des médias dans une grande partie de la région EMEA. Greg est titulaire d'un BSc (Hons) en Business Information Systems de l'Université de Portsmouth.

Leave A Reply