MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Les prévisions de notre sélection d’experts sur les menaces auxquelles nous pourrions être confrontés en 2025 sont suffisantes pour vous empêcher de dormir. Mais heureusement nous avons des conseils et des ressources pour chacune d’entre elles, afin que vous puissiez dormir sur vos deux oreilles.
Voilà les prédictions que nous vous partageons :
1. La biométrie échouera lamentablement
2. Les outils alimentés par l’IA deviennent des armes à double tranchant
3. Le paiement des rançons face à la réglementation mondiale
4. La souveraineté des données et les “ambassades de données” se généralisent
5. Les assureurs se montrent plus sévères à l’égard des demandes d’indemnisation liées à la cyber
6. Des attaques, dopées par l’IA, visent des infrastructures critiques
7. Les entreprises américaines se préparent à de nouvelles exigences européennes en matière de confidentialité pour l’IA
8. Généralisation de la cyberdéfense décentralisée
9. Les attaquants profitent des implémentations hasardeuses d’IA
Si l’on considère certains des incidents de sécurité les plus importants de cette année, on peut se faire une idée de ce qui risque d’arriver en 2025.
En 2024, plus d’un milliard de données ont été volées, portant atteinte aux citoyens et à la réputation des entreprises. LeShadow AI, cette forme insaisissable d’IA générative que les premiers adeptes de votre organisation expérimentent déjà, a continué de se frayer un chemin dans les entreprises du monde entier, posant aux services informatiques des dilemmes qu’ils n’avaient pas connus depuis que les smartphones, peu sécurisés, ont fait leur apparition et que les employés ont commencé à les utiliser sur leur lieu de travail. Et, bien sûr, les ransomwares ont continué d’être très brutaux, frappant particulièrement les prestataires de soins de santé.
1B de données (et ce n’est pas fini) ont été volées en 2024, avec des violations de données parmi les plus importantes de ces dernières années.
Il y a fort à parier que ces tendances se poursuivront au cours de la nouvelle année, mais ce n’est pas tout : Focal Point a demandé à certaines des sources que nous avons interrogées récemment si elles avaient des prédictions pour l’avenir. Voici quelques-unes de leurs idées les plus intéressantes, ainsi que des conseils et des ressources que nous avons rassemblés pour vous préparer à 2025... et au-delà :
La biométrie a été saluée comme le saint Graal de l’authentification, mais Roger Grimes, un expert renommé en authentification chez KnowBe4, une entreprise de formation à la sensibilisation à la sécurité, pense que cette idée est fausse.
"Dites adieu au mythe des empreintes digitales comme identifiants "uniques", elles sont presque aussi facilement piratées que les mots de passe." Roger Grimes, veteran authentication expert, KnowBe4.
"Il sera prouvé que la biométrie n’est pas un bon facteur d’authentification" dit-il, car la technologie moderne comme l’IA générative rend beaucoup trop facile la falsification d’un visage, d’une rétine ou d’une empreinte digitale. Ces films où des voleurs coupent le pouce d’un méchant et l’utilisent pour scanner leur chemin dans un coffre-fort de banque impénétrable prennent un tout nouveau sens avec la technologie numérique.
“Aujourd’hui, je peux prendre 30 secondes de vidéo et créer un deepfake pour voler votre banque”, explique R. Grimes.
Un nouveau rapport de l’Institute for Security + Technology le confirme : “L’essor d’une technologie de contrefaçon convaincante constitue une menace sérieuse pour les systèmes d’authentification traditionnels qui s’appuient sur des indices visuels ou auditifs pour la vérification. Les systèmes d’authentification biométrique qui utilisent la reconnaissance faciale ou l’analyse vocale ont déjà été compromis par la technologie deepfake dans plusieurs cas”.
Alors, quelle est la suite ? Les entreprises et les gouvernements se tourneront probablement vers l’authentification multifactorielle (MFA) et d’autres formes de gestion améliorée de l’identité et des accès (IAM), par exemple en combinant la biométrie avec des clés matérielles comme les YubiKeys, dit-il. En résumé : la biométrie seule n’est tout simplement pas assez sécurisée. Gartner prédit que d’ici 2026, les attaques utilisant des deepfakes générés par l’IA sur la biométrie faciale amèneront 30 % des entreprises à ne plus considérer ces solutions de vérification et d’authentification d’identité comme fiables isolément.
Erik Avakian, ancien CISO du Commonwealth de Pennsylvanie et maintenant conseiller en cybersécurité,prédit une augmentation de l’utilisation d’outils d’automatisation et de productivité personnelle alimentés par l’IA dans les environnements d’entreprise. L’intégration de ces outils qui effectueront certaines des tâches humaines augmentera la productivité mais ajoutera également des risques de sécurité et de confidentialité.
"À mesure que ces outils sont intégrés dans les environnements d’entreprise, ils pourraient avoir des conséquences imprévues et durables", prévient Erik. Avakian. "L’exploitation des fonctionnalités et de ces outils pourrait conduire à un accès privilégié non autorisé à des données sensibles ou à de la propriété intellectuelle, ou elle pourrait être exploitée par une injection et une utilisation malveillantes, comme l’injection de commandes erronées (intentionnelles ou non) sans l’intention de l’utilisateur."
Avant de mettre en production des outils alimentés par l’IA, Erik Avakian conseille aux organisations d’établir une base solide en matière de gouvernance de l’IA et des données, de stratégie de sécurité (combattre le feu par le feu en renforçant votre sécurité avec l’automatisation et l’IA), de politiques de confidentialité, de formation des employés et de procédures de test approfondies, le tout aligné sur les objectifs commerciaux. Sans ce travail de base, ces outils pourraient élargir la surface d’attaque de l’organisation, car leur efficacité dépend fortement de la qualité et de la sécurité des données qu’ils traitent, ajoute-t-il.
Le ransomware n’est plus seulement un problème informatique ; c’est maintenant une menace pour la sécurité nationale, selon Kirsten Bay, PDG de Cysurance, un fournisseur d’assurance cyber. Compte tenu de la récente augmentation des attaques de ransomware-as-a-service (qui ne feront qu’augmenter avec l’IA Générative), elle prévoit une répression des paiements de rançons par le biais d’un cadre réglementaire coordonné au niveau mondial.
“Les extorsions constituent une menace mondiale pour la sécurité nationale”, affirme Kirsten Bay. Cela signifie un suivi plus formel et des sanctions potentielles pour les paiements de rançon non déclarés, en particulier en cryptomonnaie.
Les réglementations ne permettront peut-être pas d’éradiquer les ransomwares, mais elles pourraient les ralentir en réduisant les sources de revenus des criminels. Il faut s’attendre à ce que les gouvernements poussent davantage les entreprises à signaler les incidents liés à ces attaques, en prévoyant des sanctions pour celles qui ne le font pas. Cela pourrait se traduire par de nouveaux obstacles juridiques et de conformité pour les entreprises dans le cadre de la négociation des rançons.
Les pays, en particulier ceux de l’Union européenne, protègent de plus en plus les données personnelles de leurs citoyens, ce qui a donné lieu à la création d’ambassades de données - des centres de données sécurisés situés à l’extérieur des frontières physiques d’un pays.
L’idée derrière les ambassades de données est la suivante : en déplaçant les actifs numériques hors de ses propres frontières, où un gouvernement n’a peut-être pas les moyens de lutter pleinement contre les intrusions, vers des installations plus sûres dans d’autres pays, on les rend “inviolables et donc exempts de recherche, de réquisition, de saisie ou d’exécution”, selon l’Initiative Datasphere. L’Estonie, par exemple, a transféré ses actifs numériques au Luxembourg en 2016 afin de les protéger des attaques provenant prétendument de la Russie.
Pour IDC, il s’agit d’une tendance permanente et prévoit que d’ici 2026 (d’accord, il ne s’agit pas exactement d’une prédiction pour 2025, mais il pourrait y avoir du mouvement l’année prochaine), cinq pays souverains établiront des ambassades de données dans l’UE.
“Les pays souverains plus petits se rendent compte qu’ils ne peuvent pas toujours protéger les données sur site”, déclare Frank Dickson, analyste en cybersécurité chez IDC. C’est logique. Après tout, comment maintenir la souveraineté et la cohérence de vos données gouvernementales si vous avez du mal à protéger vos propres frontières ?
Pour les entreprises américaines opérant à l’échelle internationale, cette tendance se traduit par des règles plus strictes concernant l’endroit où les données peuvent être stockées et traitées, explique F. Dickson. La conformité avec les cadres de l’UE et du G7 sur la souveraineté des données deviendra probablement non négociable, ce qui obligera les entreprises à repenser leurs stratégies d’infrastructure. Le non-respect de ces règles pourrait se traduire par des amendes massives et des restrictions commerciales de part et d’autre de l’Atlantique, conclut-il.
Scott Godes, associé et co-président de Barnes & Thornburg, prévoit que les assureurs limiteront les paiements pour les sinistres d’origine cyber, en particulier en ce qui concerne les ransomwares et les atteintes à la confidentialité des données. “Il faut s’attendre à des ajustements plus agressifs et à des conditions plus strictes pour les demandes d’indemnisation”.
Qu’est-ce que cela signifie pour les entreprises ? Les assureurs durcissent les règles. Si votre entreprise ne peut pas prouver qu’elle dispose d’un dispositif de sécurité à toute épreuve, ne vous attendez pas à recevoir une indemnité élevée ou même à être remboursé en cas de piratage.
Au contraire, restez sur vos gardes, car votre assureur pourrait intenter une action en justice pour éviter de vous payer, au motif que vous n’avez pas fait preuve de la diligence requise et que vous n’avez pas communiqué de manière adéquate sur ce que vous faisiez pour protéger vos données. Les RSSI doivent s’attacher à documenter tout ce qu’ils font, toutes leurs mesures de sécurité, sous peine de se voir couper l’herbe sous le pied par un assureur en cas d’incident cybernétique coûteux.
Nous avons assisté à de nombreuses attaques de ransomware, mais attendez un peu : l’année prochaine, si ce n’est plus tôt, ces attaques pourraient atteindre de nouveaux sommets en affaiblissant les infrastructures critiques.
“Il ne s’agit plus seulement d’une perturbation, mais d’une destruction.” Erik Avakian, former CISO, Commonwealth of Pennsylvania.
E. Avakian pense que les attaquants s’en prendront de plus en plus aux systèmes physiques, qu’il s’agisse des réseaux électriques ou de l’approvisionnement en eau. (Particulièrement menacés : les petits services publics et les entreprises du secteur de l’énergie). Nous disposons déjà d’indices sérieux montrant que des pirates informatiques, prétendument liés à des gouvernements hostiles, intensifient leurs attaques contre les infrastructures essentielles. En mars, le FBI a averti le Congrès que des pirates chinois avaient pénétré en profondeur dans la cyberinfrastructure américaine dans le but de causer des dommages. Début octobre, American Water, la plus grande société de distribution d’eau des États-Unis, a été victime d’une cyberattaque qui l’a obligée à mettre ses systèmes hors service. Le coupable n’a pas été identifié, mais on pense qu’il est parrainé par un État-nation.
Ces attaques pilotées par l’IA pourraient compromettre des chaînes d’approvisionnement entières, créant des ravages qui vont au-delà de la perte de données. Imaginez la panique si un virus alimenté par l’IA pouvait détruire physiquement du matériel, laissant les entreprises dans une situation désespérée. Les gouvernements et le secteur privé devront renforcer la sécurité cyber-physique ou en subir les conséquences.
IDC prévoit que d’ici l’année prochaine, l’UE et le G7 adopteront un cadre permettant aux individus de bloquer l’utilisation d’informations personnelles identifiables (PII) dans l’IA, de réglementer le lieu où ces informations peuvent être stockées géographiquement et la capacité de corriger les informations erronées. Une telle prédiction irait vraisemblablement au-delà de ce que prévoit l’IA Act récemment adoptée. Ce cadre général, fondé sur les risques, régira le développement, le déploiement et l’utilisation des systèmes d’IA en Europe.
Selon F. Dickson d’IDC, cette prédiction frappera durement les entreprises américaines qui font des affaires en Europe si elles ne s’y préparent pas. Selon lui, se préparer signifie avoir des technologies en place pour empêcher que les IIP ne soient téléchargées et utilisées par les grands modèles de langage (LLM) qui alimentent les outils de chatbot IA comme ChatGPT, Gemini ou Microsoft Copilot.
“Si un résident de l’UE a le droit de bloquer l’utilisation de ses données personnelles, vous devrez vous assurer que vos plateformes de données clients (CDP) peuvent automatiser le blocage de ces données”, explique F. Dickson. “Si vous commettez une erreur, ce type de réglementation est très contraignant et toute violation peut s’avérer extrêmement coûteuse.”
Alors que les systèmes de cybersécurité centralisés peinent à suivre l’évolution des menaces, 2025 marquera la montée en puissance des réseaux de cyberdéfense décentralisés et gérés par les communautés, estime Sean O’Brien, fondateur du Yale Privacy Lab, qui pense que cette évolution changera la donne.
“Nous assisterons à une croissance rapide des réseaux de cyberdéfense décentralisés tirant parti de la blockchain, des logiciels libres et de la technologie P2P“, prédit-il. Ces réseaux, ou “observatoires”, permettront aux entreprises de mettre en commun leurs ressources, comme le font les organisations lorsqu’elles élaborent des programmes de cybersécurité à l’échelle de l’État, et de partager des mécanismes de défense de manière distribuée et sans confiance.
Pour quel résultat ? Cette approche pourrait atténuer les risques de points de défaillance uniques inhérents aux systèmes centralisés, en créant une défense plus résiliente contre les attaques sophistiquées. Pour les entreprises, cela signifie qu’elles doivent exploiter des ressources communautaires et des renseignements sur les menaces en temps réel qui sont plus efficaces que les modèles traditionnels. D’ici 2025, les défenses décentralisées pourraient être la solution pour s’affranchir des cadres de cybersécurité obsolètes et faciles à compromettre.
Johannes Ullrich, doyen de la recherche au SANS Institute, note que toutes les mises en œuvre de l’IA ne sont pas identiques. En effet, de nombreuses organisations pressées d’adopter l’IA générative à des fins commerciales et opérationnelles pourraient ne pas déployer cette technologie en ayant à l’esprit les questions de sécurité.
“Les attaquants peuvent découvrir que les défenses basées sur l’IA/ML ont des angles morts spécifiques en raison des données d’entraînement incomplètes et biaisées utilisées pour créer ces modèles”, explique Johannes Ullrich. “Dans certains cas, si les modèles d’IA sont utilisés pour répondre automatiquement, les acteurs de la menace peuvent être en mesure de tromper les modèles pour qu’ils agissent au nom du logiciel malveillant.”
Selon E. Avakian, le potentiel de ce type d’attaques souligne la nécessité d’une gouvernance rigoureuse de l’IA. Les RSSI doivent s’assurer que les intégrations d’IA sont sécurisées et conformes. Cela implique de développer de nouvelles politiques autour du traitement des données, de la sécurité et de la conformité - sans pour autant étouffer l’innovation.
“Les processus pilotés par l’IA touchant presque tous les sevices de l’entreprise, des RH au service client, les entreprises auront besoin de cadres solides pour assurer la sécurité et l’efficacité”, ajoute E. Avakian. Celles qui ignorent la gouvernance de l’IA pourraient le payer par des violations de données et de lourdes amendes réglementaires.
