Pierre-Yves Popihn, Directeur Technique de NTT Com France, pourra revenir avec vous sur chacun de ces points, leur caractère stratégique et critique ainsi que leur place en France et en Europe.
1. Quand le proactif doit prendre le pas sur le réactif : En 2015, les affaires de piratage informatique ont encore fait parler d’elles sans toutefois que l’on observe un réel consensus autour des actions de remédiation et de restauration de la confiance des consommateurs. De toute évidence, une démarche proactive s’impose. Cela passe par la mise en place de bonnes pratiques qui, elles-mêmes, sous-tendront un plan cohérent d’intervention sur incidents. Lorsque les choses tournent mal, les dirigeants, DSI et PDG en tête, sont de plus en plus souvent pointés du doigt. C’est pourquoi l’adoption d’une posture proactive devra s’inscrire parmi les priorités essentielles des comités de direction en 2016.
2. Retour aux fondamentaux : En cas d’attaque, les entreprises continuent de réagir au coup par coup. Mais pour que leur intervention soit réellement efficace, elle doit être soigneusement préparée. Les processus, les procédures et la sensibilisation jouent un rôle crucial dans l’atténuation des risques, de même que les technologies de prévention et de détection de toute activité malveillante. Dans le rapport NTT Com Security 2015 sur l’état des menaces dans le monde, nous préconisions déjà un retour aux fondamentaux dans les entreprises. En effet, d’après cette étude, 76 % des vulnérabilités identifiées étaient connues depuis au moins deux ans et 10 % depuis plus de 10 ans. Maîtriser les fondamentaux, c’est savoir contextualiser le risque pour créer l’ossature d’un plan d’intervention cohérent et complet.
3. La cyberveille au cœur des enjeux : Force est de constater que les technologies traditionnelles ne sont capables ni d’assurer le suivi des incidents de sécurité et des comportements, ni d’analyser les énormes flux de données qui transitent sur les réseaux. La cyberveille est donc appelée à occuper le centre de l’échiquier de la sécurité. Face à la volonté des entreprises d’intervenir sur des incidents rapidement et sur la base d’informations claires et exploitables, nous assisterons à une adoption massive des outils de surveillance en temps réel et d’analytique avancée.
4. Recrudescence du phishing : En 2016, l’accent sera mis sur la vigilance autour des e-mails de phishing, notamment le spear-phishing (attaques ciblées). Le phishing n’est certes pas une nouveauté mais les cybercriminels ne manquent pas de sauter sur toutes les occasions qui se présentent. Exemple : lorsqu’une affaire de piratage éclate au grand jour, les consommateurs s’attendent légitimement à recevoir un e-mail de l’entreprise victime les informant des mesures à prendre, notamment pour le changement de mot de passe. Les phishers le savent et tenteront de se faire passer pour cette entreprise aux yeux d’internautes moins méfiants. Rappelons qu’il est préférable de se rendre directement sur le site de l’entreprise car toutes les informations importantes (et légitimes) y seront publiées.
5. « Visibilité des objets » : Historiquement, l’Internet des objets (IoT) a souvent été associé au grand public. Toutefois, l’efficacité et la praticité de ces appareils connectés séduit de plus en plus les entreprises et les milieux industriels. Sur le plan de la protection, leur utilisation doit se conformer à la politique de sécurité globale de l’entreprise. La solution : instaurer la « visibilité des objets », à savoir une surveillance des appareils eux-mêmes, de leur usage et de leurs utilisateurs. Le rapport NTT Com Security sur l’état des menaces dans le monde a observé un glissement du périmètre de sécurité. En effet, 7 des 10 principales vulnérabilités identifiées se situent au niveau de l’utilisateur final. De fait, si l’IoT peut apporter un avantage métier indéniable, ses avantages doivent aussi être pondérés à l’aune du facteur risque.
6. Piratage d’État : De nouveaux types de piratage d’État ne sont pas à exclure pour l’année à venir. En lieu et place d’un espionnage à couvert dans des secteurs stratégiques, on peut craindre l’émergence de tentatives de sabotage sur toutes les cibles occidentales potentielles. Si un État peut commanditer ces attaques, on craint aussi des actions « patriotiques » menées par des usurpateurs d’identité russes qui disposent déjà des compétences et des outils nécessaires pour mettre ce type d’attaque à exécution.
7. Répercussions de l’affaire Snowden : L’onde de choc des révélations d’Edward Snowden commence à fissurer les relations entre les États-Unis et l’Europe. Nous assistons certainement à la fin du principe de « sphère de sécurité » (Safe Harbour) qui autorise les entreprises privées à transférer des données personnelles entre les États-Unis et l’UE. On peut également s’attendre à un resserrement du cadre sécuritaire pour éviter que ces données privées ne tombent entre les mains du renseignement américain. Autre point de discorde : les efforts juridiques visant à contraindre les entreprises américaines (Microsoft) à divulguer des données hébergées hors du territoire national (Irlande) et concernant des ressortissants étrangers. Ce nouveau coup de force pourrait entraîner un retour de bâton encore plus rude pour les sociétés high-tech américaines et un repli sur des alternatives nationales à travers l’Europe. De même, le projet de loi « Snooper’s Charter » au Royaume-Uni pourrait déclencher un exode d’entreprises vers des pays comme la Suisse et l’Islande qui se sont ouvertement prononcés en faveur d’un renforcement de la protection de la vie privée.
Les révélations d’Edward Snowden n’ont donc pas fini de faire des dégâts. Alors que des petits pays, dont certains régimes répressifs, tentent coûte que coûte de rivaliser avec l’arsenal cybernétique dont disposent (nous le savons désormais) des pays comme les États-Unis, la Chine et d’autres grandes puissances, des lois et des traités font leur apparition pour prévenir la prolifération des outils et des connaissances indispensables au piratage et à l’espionnage en ligne. Dans la lignée des préoccupations soulevées par les lois sur le piratage des voitures connectées, la réglementation sur la communication de données suscite une certaine inquiétude quant aux obstacles qu’elle représente pour la recherche sur la sécurité et l’élimination des vulnérabilités. Dans la plupart de ces scénarii, les grands perdants sont malheureusement les entreprises privées et les consommateurs. Confrontés à un Internet de plus en plus hostile, ils sont constamment sous la menace de cybercriminels et de puissances étrangères qui tentent de leur dérober leur argent, leur capital intellectuel ou encore de perturber leurs activités. Quant aux administrations nationales, elles cherchent à contraindre leurs entreprises à divulguer ces données, tout en réprimant durement ceux qui tentent de faire d’Internet un monde plus sûr.
8. De la nécessité d’une cybersécurité : La sécurité de l’information est un domaine en mutation perpétuelle. Chaque nouvelle technologie apporte avec elle son lot de risques, tandis que les chercheurs continuent de trouver des failles dans des technologies que nous utilisons déjà depuis des années. Difficile, dans ces conditions, de garder le contrôle de la situation. D’autant plus que nous prévoyons une prolifération du risque des infrastructures traditionnelles (serveurs, postes de travail et communications) vers un champ plus vaste intégrant appliances, véhicules, usines, services d’utilité publique, appareillages médicaux et une myriade d’autres appareils connectés à Internet dans les prochaines années.
Vols de données ultra-médiatisés, démonstrations de piratage (comme celui du Jeep Cherokee) et révélations d’Edward Snowden... tous ces développements ont plus que jamais contribué à ancrer la question de la sécurité dans les mentalités. Conscients de la valeur de leurs données personnelles, les cyberconsommateurs cherchent à présent à protéger leur vie privée. Dans ce contexte, les entreprises seront amenées à intégrer le facteur sécurité en natif dans leurs produits. Nous observons déjà ce phénomène avec les nouveaux contrôles de sécurité qu’Apple a intégrés à son iPhone et la résistance de la firme aux armes de dissuasion juridique du gouvernement fédéral américain.
9. Machine learning : Nous assisterons à l’émergence de domaines comme l’apprentissage automatique (ou Machine Learning), une sous-composante de l’intelligence artificielle qui permet aux ordinateurs « d’apprendre » par eux-mêmes, sans aucune programmation explicite. Sur le plan de la gestion du risque et de la sécurité de l’information, les cybercriminels auront de plus en plus de difficultés à passer à travers les mailles des nouveaux moteurs d’analyse à apprentissage automatique. Les utilisateurs seront ainsi capables de neutraliser en amont les menaces de sécurité émergentes et complexes. Seront à l’honneur les outils analytiques avancés – ou comment trouver une aiguille dans une botte de foin – sur fond de prise de conscience accrue des entreprises sur l’urgence d’une décomplexification et d’une meilleure visibilité sur l’ensemble de leurs ressources.
10. Technologies « wearables » : La plupart des entreprises ont instauré des contrôles et des processus pour gérer le BYOD (Bring Your Own Device), à savoir l’utilisation professionnelle d’appareils mobiles personnels de type smartphone ou tablette. Mais qu’en est-il des wearables (WYOD) et des appareils connectés ? Pour l’instant, rares sont les entreprises qui les intègrent à leur stratégie de gestion du risque. Le nombre croissant d’appareils connectés multiplie les enjeux de sécurité. Une attention particulière devra être prêtée à la gestion de la croissance du volume de connexions. En effet, si la plupart de ces périphériques ne seront pas considérés comme un risque de sécurité potentiel, ils peuvent être (et seront) exploités comme n’importe quel autre appareil connecté. Téléviseurs avec micro et appareils de monitoring personnel sont autant de points d’entrée potentiels dans l’infrastructure d’une entreprise. Dans le prolongement de leurs dispositifs BYOD, les entreprises devront veiller à mettre en place une politique WYOD plutôt que de renoncer à ces technologies et à leur potentiel d’innovation et d’efficacité individuelle.