Cybersécurité : prédictions et recommandations pour 2018 et au-delà
RGPD, PSD2, ransomware, IoT, cryptomonnaies: Greg Day analyse les phénomènes liés à la cybersécurité qui risquent de se produire dans l'année qui vient, assorties de suggestions sur la manière de les gérer. Selon toute vraisemblance, leur incidence se fera sentir durant quelques années.
Je m'abonneLa fin de l'année est toujours propice à une petite réflexion sur les douze mois écoulés, et - élément peut-être plus important encore - sur ce que l'avenir est censé nous réserver. Je me souviens avoir participé il n'y a pas si longtemps, quelques années tout au plus, à un certain nombre d'analyses prospectives à cinq ou dix ans. Face au rythme des évolutions technologiques, la plupart considéreraient aujourd'hui cet horizon de prévision bien trop éloigné. Sur cette même échelle temporelle, l'année paraît, a contrario, réduite à un bref instant.
Les cyberattaques n'auront pas les mêmes répercussions
À la lumière de certaines attaques aux rançongiciels lancées en 2017 qui ont impacté des structures médicales, il est manifeste que les cyberincidents ont à présent des répercussions réelles et concrètes sur les individus. Avec l'essor du digital twin ou "jumeau numérique" (autrement dit la création d'un double digital pour chaque processus ou système en place), il faut s'attendre à ce que ce phénomène s'amplifie et s'étende à de nombreux autres aspects de notre quotidien. Dans quelle mesure la cybersécurité s'en trouvera-t-elle donc modifiée? Il est très probable que d'autres dispositions réglementaires verront à nouveau le jour, continuant à durcir les critères de sécurité et à faire renaître la confiance dans des cybersystèmes qui ont un impact sur la collectivité.
La Directive NIS sur la sécurité des réseaux et des systèmes d'information, qui sera applicable en 2018, prévoit une nouvelle catégorie de "fournisseurs de service numérique". Au vu des répercussions tangibles considérables qu'ont les cyberincidents sur la société, il faut s'attendre à voir se multiplier les catégories du même acabit, par-delà les infrastructures nationales critiques définies par le passé, ou les opérateurs de services essentiels.
Lire aussi : Netflix, Squeezie et Elise Lucet, TikTok, Snapchat... Médias et réseaux sociaux : quoi de neuf ? (04 - 08 novembre)
Dans ce contexte, le rôle des responsables en charge de la sécurité, comme le CSO (chief security officer), doit évoluer. Si des particuliers subissent un préjudice imputable à une défaillance technologique, une enquête publique sera probablement diligentée afin de déterminer s'il y a eu négligence et pourquoi, de désigner celui qui en porte la responsabilité, et de prendre les actions qui s'imposent. Par conséquent si, tout récemment encore, les CSO craignaient un éventuel licenciement en cas d'incident, peut-être est-ce la question de l'engagement de leur responsabilité qu'ils devront redouter à l'avenir. Cela aura-t-il pour effet d'obliger les CSO à souscrire une assurance professionnelle, comme le font aujourd'hui de nombreux professionnels de santé? Est-il possible que, pour exercer en qualité de CSO, le professionnel en question doive satisfaire à certaines exigences et faire valoir la reconnaissance de ses compétences et son immatriculation à un répertoire métier, à l'instar des professions régies par le code de la santé publique comme les médecins?
Les principes directeurs appliqués depuis vingt ans n'auront définitivement plus cours
Nombre des principes directeurs régissant la cybersécurité n'ont pratiquement pas évolué en 20 ans. Le plus souvent, les professionnels se sont efforcés de résoudre chaque problème du mieux qu'ils pouvaient, en recourant aux solutions les plus efficaces à leur disposition à un instant t. Cependant, eu égard aux évolutions significatives des modèles de consommation informatique (des systèmes dynamiques et agiles, toujours plus consommables par nature, reposant sur un modèle de facturation à l'abonnement), les entreprises cesseront d'acheter et de déployer des solutions de cybersécurité cloisonnées distinctes exigeant des dépenses d'investissement et des compétences significatives, basées sur des cycles pluriannuels. Raison pour laquelle les paramètres fondamentaux de consommation, dans le domaine de la cybersécurité, évolueront.
Pour fonctionner dans des environnements aussi dynamiques, les solutions de cybersécurité doivent être natives et automatisées, s'exécuter et s'adapter au même rythme. Cela ne signifie pas, malgré tout, que le choix des fonctionnalités technologiques et des éditeurs sera restreint - il suffit de jeter un oeil à la place de marché AWS pour s'en convaincre. Cela signifie, en revanche, que des fonctions d'allocation dynamique, de configuration et de transposition seront indispensables à une sécurisation native. Naguère, la sécurité a souvent été vouée à l'échec car les entreprises éprouvaient énormément de difficultés à articuler leurs propres analyses et connaissances ; dans un univers informatique agile, il sera primordial de disposer d'un angle de visibilité intégré et cohérent, couplé à un contrôle automatisé.
Le caractère éphémère de ressources informatiques toujours plus consommables crée un obstacle supplémentaire au sens où, au moment où un incident est découvert, l'environnement au sein duquel il a été engendré peut ne plus exister. Vous devez donc être en mesure de comprendre comment et pourquoi cet incident est survenu, étant donné que vous exercez vos activités dans un univers de plus en plus réglementé. D'où la nécessité de consigner et de préserver les données historiques, et aussi de les mettre en corrélation pour pouvoir les exploiter.
Les cyberassaillants se renforceront dans les rançongiciels, les systèmes OT et les cryptomonnaies
Ces dernières années, les logiciels d'extorsion ont été utilisés à des fins lucratives. RanRan, lui, s'est servi du concept de rançongiciel, non seulement dans ce but, mais aussi pour repérer des informations qui lui ont permis de faire chanter ses victimes. En marge de la motivation financière, je suis convaincu que les rançongiciels commenceront également à mettre l'accent sur l'analyse des données ; dès lors, les demandes de rançons pourraient être fonction de la valeur des données, et non plus génériques, et il est à craindre que les attaques aux rançongiciels, à des fins d'enrichissement ou pour d'autres motifs (chantage, par exemple), se multiplient.
Dans le cadre de l'attaque DDoS massive contre le gestionnaire de noms de domaine Dyn, les faiblesses de l'Internet des objets (IoT) et des appareils afférents ont été exploitées pour assaillir les systèmes informatiques traditionnels. Alors que le volume de l'OT (technologies opérationnelles) affiche une progression soutenue, tant du côté des systèmes industriels que des drones livreurs de matériel médical dans des pays comme l'Afrique, ces systèmes n'ont pas encore fait les frais d'une attaque directe dont les répercussions restent à définir. Néanmoins, compte tenu des sommes en jeu, des criminels voulant dérober ce matériel médical chercheront certainement à infiltrer le réseau IoT ou le système OT pour détourner les marchandises en question ; et c'est bien là la difficulté qu'il nous faudra surmonter. Compte tenu de l'utilisation commerciale croissante des systèmes IoT et OT, le pirate a de plus en plus intérêt à les infiltrer pour en prendre le contrôle.
Dernier point, avec l'essor des devises numériques, plus couramment dénommées cryptomonnaies, il faut s'attendre à ce que davantage de logiciels malveillants se polarisent sur le vol d'identifiants et de coordonnées bancaires dans l'optique de vider ces comptes de nouvelle génération. La seconde directive européenne sur les services de paiement (PSD2) oblige les banques à élargir l'accès de leurs systèmes de traitement des paiements à des tiers, et alors que les débats se poursuivent autour de la blockchain et de ses grands livres comptables numériques, il semblerait que le secteur financier mette le cap sur les monnaies virtuelles. La question est de savoir si les cyberpirates sont prêts à profiter de cette phase transitoire - certains signes tendent d'ores et déjà à montrer des velléités en ce sens.
Le vol d'authentifiants ciblera les fragilités du cloud collaboratif au niveau des chaînes logistiques, tous acteurs confondus
À cause du phénomène cloud ou d'une activité par essence dynamique, nous ne faisons, semble-t-il, que renforcer nos interconnexions avec nos partenaires, chaînes logistiques et clients. Toute la difficulté, ici, consiste à oeuvrer pour préserver vos propres dispositifs de cybersécurité, tout en cherchant également à gérer les risques que vous font courir les autres (partenaires, chaîne logistique, etc.). D'après un atelier organisé par IDC auquel j'ai participé début 2017, le nombre de clouds collaboratifs à vocation sectorielle sera multiplié par cinq entre 2016 et 2018. Face à des pirates toujours en quête d'un point d'entrée leur permettant de s'infiltrer dans l'entreprise, il paraît vraisemblable et logique que les espaces collaboratifs en mode cloud constitueront leur prochaine porte d'entrée. Dans ces conditions, les entreprises doivent commencer à réfléchir aux types d'informations qu'il convient ou non d'exploiter dans ces espaces, aux méthodes à employer pour valider leur utilisation par les autres intervenants de manière à pouvoir repérer les comportements anormaux, et - surtout - à la manière d'isoler ces points de connexion des systèmes métier internes stratégiques, en recourant à des méthodologies spécifiques telles que le modèle Zéro confiance.
Pleins feux sur la recherche des responsabilités et l'obligation de rendre des comptes
Depuis le modèle partagé de sécurité en mode cloud (la sécurisation du cloud incombant au prestataire, et celle de vos données vous appartenant) aux collaborations cloud mutualisées, en passant par la demande de modèles commerciaux plus ouverts dont la directive PSD2 se fait l'écho en entendant donner aux nouvelles offres Fintech les moyens de mieux rivaliser sur le marché des services de paiement, la complexité est le dénominateur commun. Le nombre d'acteurs et de processus ne cessant d'augmenter, ce qui accroît la marge d'erreur, il importe de mieux cerner les responsabilités de chacun et de déterminer à qui incombe l'obligation de rendre des comptes, en jouissant d'une visibilité accrue. En conséquence, les entreprises éplucheront très certainement les clauses contractuelles et les dispositions réglementaires afin d'obtenir des réponses claires sur ces points. De même, elles mettront un point d'honneur à conserver des traces comptables et fichiers journaux circonstanciés, détaillant chaque transaction de manière à pouvoir vérifier la date, la localisation et la cause des incidents.
De nouvelles réglementations européennes notables vont faire leur apparition
Comme cela a déjà été évoqué dans d'autres prévisions, un certain nombre de nouvelles réglementations entreront en vigueur en 2018. Concrètement, entre janvier et mai, le Règlement général sur la protection des données (RGPD), la Directive NIS sur la sécurité des réseaux et des systèmes d'information, et la Directive sur les services de paiement (PSD2) deviendront applicables. Comme pour toute législation nouvelle, il faudra du temps aux entreprises pour mesurer l'incidence de ces réglementations sur leur activité. Celles-ci prévoient des sanctions potentiellement lourdes en cas d'infraction. Autant dire que l'année 2018 sera faste pour des entreprises qui seront confrontées à leurs implications concrètes, s'agissant de l'application des mesures de cybersécurité et de la gestion de leurs obligations au quotidien. Pour toutes ces raisons, je ne saurais trop vous encourager à vous intéresser aux implications juridiques pour votre entreprise, au regard du droit comme de la pratique. Assurez-vous de disposer de l'appui de votre direction et entamez, ou poursuivez, votre travail de mise en conformité.
La leçon à tirer ? Prenez, pour 2018, la résolution de rendre la cybersécurité plus agile. Dans un monde où le numérique se généralise, le rythme des transformations n'est certainement pas linéaire: il est exponentiel. Je vous recommande d'ailleurs un excellent ouvrage, à lire entre les fêtes de fin d'année: Exponential Organisations signé Salim Ismail. La plupart des professionnels de la sécurité ont aujourd'hui renoncé aux analyses prospectives, le rythme auquel s'opère le changement rendant impossible toute prévision plusieurs années à l'avance ; comme pour la téléphonie mobile, les cycles de vie informatique se réduisent comme peau de chagrin, et ne se chiffrent plus en années, mais en mois. Dans le même temps, les interconnexions et, par association, les dépendances se multiplient, occasionnant un renforcement des contraintes réglementaires. Dès lors, la cybersécurité doit impérativement gagner en agilité pour ne pas se faire distancer. À l'instar des ressources DevOps, nous devons être prêts à évoluer par paliers, à une fréquence quotidienne ou hebdomadaire. Mais comment y parvenir ?
Il y a quelques années, en enquêtant auprès de certains de mes homologues, il m'est apparu que ceux-ci consacraient la majorité de leur temps et de leurs ressources à pérenniser l'infrastructure de cybersécurité qu'ils avaient érigée, et très peu à la faire évoluer. Si nous devons passer à l'échelle supérieure, il faut impérativement revoir l'utilisation de notre temps et de nos ressources, c'est-à-dire consacrer une petite part de celle-ci à consolider l'infrastructure en place, et réserver l'essentiel au développement de l'agilité exponentielle qu'attendent nos entreprises. Sur la liste de vos bonnes résolutions pour le Nouvel an, pensez donc à faire suivre à votre infrastructure une "cure détox" qui vous permettra d'aller de l'avant et d'envisager l'avenir plus sereinement.