Cybersécurité : prédictions et recommandations pour 2018 et au-delà

Le vol d'authentifiants ciblera les fragilités du cloud collaboratif au niveau des chaînes logistiques, tous acteurs confondus

À cause du phénomène cloud ou d'une activité par essence dynamique, nous ne faisons, semble-t-il, que renforcer nos interconnexions avec nos partenaires, chaînes logistiques et clients. Toute la difficulté, ici, consiste à oeuvrer pour préserver vos propres dispositifs de cybersécurité, tout en cherchant également à gérer les risques que vous font courir les autres (partenaires, chaîne logistique, etc.). D'après un atelier organisé par IDC auquel j'ai participé début 2017, le nombre de clouds collaboratifs à vocation sectorielle sera multiplié par cinq entre 2016 et 2018. Face à des pirates toujours en quête d'un point d'entrée leur permettant de s'infiltrer dans l'entreprise, il paraît vraisemblable et logique que les espaces collaboratifs en mode cloud constitueront leur prochaine porte d'entrée. Dans ces conditions, les entreprises doivent commencer à réfléchir aux types d'informations qu'il convient ou non d'exploiter dans ces espaces, aux méthodes à employer pour valider leur utilisation par les autres intervenants de manière à pouvoir repérer les comportements anormaux, et - surtout - à la manière d'isoler ces points de connexion des systèmes métier internes stratégiques, en recourant à des méthodologies spécifiques telles que le modèle Zéro confiance.

Pleins feux sur la recherche des responsabilités et l'obligation de rendre des comptes

Depuis le modèle partagé de sécurité en mode cloud (la sécurisation du cloud incombant au prestataire, et celle de vos données vous appartenant) aux collaborations cloud mutualisées, en passant par la demande de modèles commerciaux plus ouverts dont la directive PSD2 se fait l'écho en entendant donner aux nouvelles offres Fintech les moyens de mieux rivaliser sur le marché des services de paiement, la complexité est le dénominateur commun. Le nombre d'acteurs et de processus ne cessant d'augmenter, ce qui accroît la marge d'erreur, il importe de mieux cerner les responsabilités de chacun et de déterminer à qui incombe l'obligation de rendre des comptes, en jouissant d'une visibilité accrue. En conséquence, les entreprises éplucheront très certainement les clauses contractuelles et les dispositions réglementaires afin d'obtenir des réponses claires sur ces points. De même, elles mettront un point d'honneur à conserver des traces comptables et fichiers journaux circonstanciés, détaillant chaque transaction de manière à pouvoir vérifier la date, la localisation et la cause des incidents.

De nouvelles réglementations européennes notables vont faire leur apparition

Comme cela a déjà été évoqué dans d'autres prévisions, un certain nombre de nouvelles réglementations entreront en vigueur en 2018. Concrètement, entre janvier et mai, le Règlement général sur la protection des données (RGPD), la Directive NIS sur la sécurité des réseaux et des systèmes d'information, et la Directive sur les services de paiement (PSD2) deviendront applicables. Comme pour toute législation nouvelle, il faudra du temps aux entreprises pour mesurer l'incidence de ces réglementations sur leur activité. Celles-ci prévoient des sanctions potentiellement lourdes en cas d'infraction. Autant dire que l'année 2018 sera faste pour des entreprises qui seront confrontées à leurs implications concrètes, s'agissant de l'application des mesures de cybersécurité et de la gestion de leurs obligations au quotidien. Pour toutes ces raisons, je ne saurais trop vous encourager à vous intéresser aux implications juridiques pour votre entreprise, au regard du droit comme de la pratique. Assurez-vous de disposer de l'appui de votre direction et entamez, ou poursuivez, votre travail de mise en conformité.

La leçon à tirer ? Prenez, pour 2018, la résolution de rendre la cybersécurité plus agile. Dans un monde où le numérique se généralise, le rythme des transformations n'est certainement pas linéaire: il est exponentiel. Je vous recommande d'ailleurs un excellent ouvrage, à lire entre les fêtes de fin d'année: Exponential Organisations signé Salim Ismail. La plupart des professionnels de la sécurité ont aujourd'hui renoncé aux analyses prospectives, le rythme auquel s'opère le changement rendant impossible toute prévision plusieurs années à l'avance ; comme pour la téléphonie mobile, les cycles de vie informatique se réduisent comme peau de chagrin, et ne se chiffrent plus en années, mais en mois. Dans le même temps, les interconnexions et, par association, les dépendances se multiplient, occasionnant un renforcement des contraintes réglementaires. Dès lors, la cybersécurité doit impérativement gagner en agilité pour ne pas se faire distancer. À l'instar des ressources DevOps, nous devons être prêts à évoluer par paliers, à une fréquence quotidienne ou hebdomadaire. Mais comment y parvenir ?

Il y a quelques années, en enquêtant auprès de certains de mes homologues, il m'est apparu que ceux-ci consacraient la majorité de leur temps et de leurs ressources à pérenniser l'infrastructure de cybersécurité qu'ils avaient érigée, et très peu à la faire évoluer. Si nous devons passer à l'échelle supérieure, il faut impérativement revoir l'utilisation de notre temps et de nos ressources, c'est-à-dire consacrer une petite part de celle-ci à consolider l'infrastructure en place, et réserver l'essentiel au développement de l'agilité exponentielle qu'attendent nos entreprises. Sur la liste de vos bonnes résolutions pour le Nouvel an, pensez donc à faire suivre à votre infrastructure une "cure détox" qui vous permettra d'aller de l'avant et d'envisager l'avenir plus sereinement.