Prévisions 2019 en matière de cybersécurité : bilan à mi-année

0

La confiance est le fondement des relations, que ce soit entre les employeurs et les employés, les entreprises et les clients, les entreprises et les investisseurs ou encore au sein de la supply chain. Les cyberincidents (malveillants ou accidentels) peuvent éroder cette confiance et se solder par une perte de revenus, de valeur boursière, de réputation, par des amendes (selon les estimations, les chiffres en Europe seraient d’une centaine de pénalités au titre du RGPD et de 60 000 rapports de violation de données) et par une perte de clientèle. Il n’est donc pas surprenant que le World Economic Forum, dans son enquête Global Risks Perception Survey 2019, classe les cyberattaques parmi les risques ayant le plus fort impact et la plus forte probabilité.

Nos prévisions pour 2019 mettaient en avant la confiance que nous plaçons dans les individus, les processus et les technologies. Voici un récapitulatif des principaux points qui ont marqué l’année jusqu’ici.

« Des indices de confiance en matière de sécurité vont apparaître à l’échelle des secteurs afin de garantir aux entreprises la fiabilité de leurs partenaires et de leur supply chain. »

En tant que consommateurs, nous sommes habitués à ce que les établissements financiers nous attribuent une note de crédit afin de déterminer si nous pouvons bénéficier d’un prêt, leur permettant ainsi de gérer le risque et de prévoir la probabilité de l’issue souhaitée, en l’occurrence le remboursement du prêt. Dans le domaine de la cybersécurité, il est désormais possible d’obtenir des notes ou scores de confiance résultant de nombreux facteurs et indiquant le degré de sécurité de toute entreprise ainsi que sa capacité à protéger vos données de manière fiable. Toute entreprise victime d’une cyberattaque verra son score réduit en conséquence.

2019 a été l’année de l’adoption de ces notations au niveau gouvernemental. En janvier dernier, au Royaume-Uni, les pouvoirs publics ont établi un classement des mesures de cybersécurité des collectivités locales britanniques selon une échelle de type « rouge-orange-vert ». En octobre 2018, la Chambre de Commerce des Etats-Unis avait publié sa première évaluation nationale de la cybersécurité (ABC, Assessment of Business Cybersecurity). Les deux systèmes visent à identifier les zones à risque et les axes de progrès. 

En mai 2019, la société Equifax a vu ses perspectives dégradées, et ce pour la première fois au motif explicite de ses problèmes de cybersécurité. La confiance dans la cybersécurité d’une entreprise continuera d’avoir une incidence significative sur les marchés boursiers.

Pour vous aider à identifier les prestataires cloud dignes de votre confiance, la Cloud Security Alliance a mis en place son annuaire STAR Registry, une référence incontournable. Forcepoint y est répertorié ici : https://cloudsécurityalliance.org/star/registry/forcepoint-llc/

« Des attaques vont frapper les équipements de l’Internet industriel des objets (IIoT) à travers des vulnérabilités dans l’infrastructure cloud et le matériel. »

Celle-ci s’inscrit dans le prolongement de nos prévisions antérieures. Pour 2015, nous annoncions des attaques contre les équipements connectés, pour 2018 des attaques contre les communications entre équipements et, pour 2019, contre l’infrastructure cloud sur laquelle reposent les systèmes IIoT.

En mars 2019, des sénateurs américains ont présenté au Sénat et à la Chambre des Représentants le projet de loi IoT Cybersecurity Improvement Act of 2019, ayant pour objectif déclaré de « s’appuyer sur la puissance d’achat de l’Administration fédérale afin d’encourager le renforcement de la cybersécurité des équipements de l’Internet des objets, entre autres buts ». De telles initiatives peuvent contribuer à promouvoir la cybersécurité et inciter les fabricants à intégrer la « security by design » (l’intégration de la sécurité dès la phase de conception) pour améliorer leurs systèmes, qu’ils soient déployés chez le consommateur, dans un environnement industriel ou dans une infrastructure cloud.

La liste OWASP Internet of Things (IoT) Project Top 10 for 2018 a été publiée en décembre 2018, constituant une mise à jour de celle de 2014. L’OWASP recense l’ensemble des risques, menaces et vulnérabilités concernant aussi bien les développeurs que les entreprises et les consommateurs. L’organisme classe les « mots de passe faibles, faciles à deviner ou codés en dur » en tête des problèmes touchant les systèmes IoT. Nombre des problèmes répertoriés s’appliquent à l’espace ICS/IIoT, en particulier l’introduction d’équipements anciens insuffisamment sécurisés dans des environnements IIoT. Le numéro 3 de ce Top 10 est très étroitement lié à notre prévision, tandis que les neuf autres mettent en lumière la faiblesse des obstacles qu’un attaquant doit surmonter pour pénétrer dans ces systèmes. 

Le premier semestre 2019 a illustré l’étendue des vulnérabilités des systèmes cloud ainsi que la volonté des gouvernements d’améliorer spécifiquement la situation de l’IoT.

« Les cybercriminels vont leurrer les logiciels de reconnaissance faciale et les entreprises réagiront avec des systèmes d’analyse comportementale. »

L’utilisation de la biométrie à des fins d’authentification n’est pas nouvelle mais elle s’est répandue sous l’impulsion des fabricants de téléphones et des banques, entre autres. Notre prévision part du principe que des cybercriminels vont chercher à déjouer les systèmes d’authentification par reconnaissance faciale afin d’avoir accès aux données qu’ils protègent.

2019 a été l’année d’une remise en cause des techniques de reconnaissance faciale pour des raisons de respect de la vie privée. C’est ainsi que la municipalité de San Francisco en a interdit l’utilisation par les administrations, tandis que l’emploi de cette technologie par les autorités britanniques était contesté. Néanmoins, alors que l’attention se porte – inopportunément – sur les systèmes de reconnaissance vocale et les bases nationales de données biométriques, nous entendons continuer à observer ce domaine. Notre prévision pose essentiellement la question suivante : s’il est possible de déjouer les méthodes d’identification et d’authentification, à quelles autres défenses devrions-nous recourir ?

« Il n’existe pas véritablement d’intelligence artificielle en matière de cybersécurité, ni de probabilité qu’elle apparaisse en 2019. »

Cette prévision a pu choquer mais elle s’appuie sur notre connaissance de l’adoption de l’intelligence artificielle (IA) dans le domaine de la cybersécurité. Si l’IA « générique » au sens véritable du terme reste à développer dans tout secteur quel qu’il soit, ce n’est certainement pas le cas du Machine Learning (ML) et de ses algorithmes épaulés par des experts humains. Voir le Stanford’s AI Index concernant l’adoption globale de ces technologies.

Les acquisitions et entrées en Bourse, en 2019, d’acteurs de la cybersécurité employant les technologies IA/ML démontrent le soutien apporté à ces dernières, tandis que d’autres secteurs surveillent de près l’impact que l’IA aura dans leur cas. Aux Etats-Unis, la FDA (Food & Drug Administration) a proposé un cadre réglementaire applicable aux logiciels à base d’IA utilisés dans les équipements médicaux. Dans d’autres domaines, nous enregistrons aussi bien des incidents causés par l’intelligence artificielle dans le débogage des logiciels que des progrès dans la production automatisée d’images entières du corps humain au moyen de l’IA.

Prévisions pour 2020 

A mesure que nous avançons dans l’année, d’autres questions ne manqueront pas de surgir. En fin d’année, nous présenterons un bilan complet de l’exactitude de nos prévisions pour 2019 en matière de cybersécurité. A la même époque, nous publierons également nos prévisions pour 2020 afin que vous sachiez à quoi vous attendre au cours des prochaines années. Nous y réfléchissons d’ailleurs déjà.

About Author

Raffael Marty

Responsable de l’équipe X-Labs de Forcepoint

Leave A Reply