Alors que 2022 arrive à grands pas, bon nombre des incertitudes qui ont marqué l’année 2021 demeurent. Sur le plan de la cybersécurité, les défis qui ont accompagné la pandémie persistent avec l’ancrage des modèles de travail hybrides. Sans compter que les innovations – par exemple en matière de cloud computing – ouvrent la voie à de nouvelles menaces.
Pour faire le point sur la situation et jeter un regard prospectif sur l’année qui se profile à l’horizon, nous avons une nouvelle fois réuni notre équipe d’experts en cybersécurité, composée de Jeremy Rowley, Dr. Avesta Hojjati, Mike Nelson, Jason Sabin, Dean Coclin, Stephen Davidson, Tim Hollebeek et Brian Trzupek. Découvrons plus en détail leurs perspectives pour l’année 2022.
L’affaire SolarWinds et la compromission des réseaux de Colonial Pipeline ont fait les gros titres en 2021. En plus d’avoir enhardi les hackers, ces attaques audacieuses ont mis en lumière trois phénomènes qui domineront l’actualité de la cybersécurité pour l’année à venir :
Dans tous les secteurs d’activité, les entreprises ont entamé de grands chantiers de transformation digitale, et la tendance va en s’accélérant. Pour preuve, le marché mondial de la transformation digitale devrait enregistrer un taux de croissance annuel moyen (CAGR) de 24 % entre 2021 et 2028. Ainsi, à mesure que les processus stratégiques des organisations se numérisent et se dématérialisent, l’utilisation des signatures électroniques devrait progresser et exiger des contrôles plus stricts en termes d’identités et de confiance.
Longtemps chef de file du déploiement de la signature électronique, l’Europe tire les leçons de la pandémie de COVID-19 et revoit son règlement eIDAS. L’objectif ? Donner les moyens à des prestataires de services de confiance qualifiés (PSCQ) de valider à distance l’identité d’un signataire en toute fiabilité. En parallèle, de nouvelles propositions viennent considérablement élargir l’utilisation des cartes d’identité électroniques pour faciliter la circulation transfrontalière. Autant de changements qui visent à replacer le contrôle de l’identité entre les mains des citoyens, et non des entreprises privées.
L’an dernier, nos prévisions faisaient état de menaces en lien direct avec la crise sanitaire. Mais à l’heure où la pandémie semble peu à peu reculer, les menaces qu’elle a engendrées, elles, ont encore de beaux jours devant elles. En cause, les technologies sans contact, vulnérables aux cyberattaques et désormais monnaie courante dans les aéroports, les magasins, les restaurants et autres espaces publics. Quant à l’identification électronique, notamment dans le cadre de la dématérialisation des permis de conduire et des dossiers médicaux, elle ouvrira sans doute un nouveau front pour les hackers.
D’après une enquête DigiCert, 71 % des décideurs IT pensent que les ordinateurs quantiques viendront à bout des algorithmes de chiffrement existants d’ici 2025. Les services de sécurité n’auront donc d’autre choix que de repenser leur sécurité autour de la cryptographie post-quantique (PQC), seul moyen de consolider leurs défenses et de diminuer les risques de compromission. Néanmoins, de nombreuses entreprises connaissent mal les technologies cryptographiques qu’elles déploient. Afin de mettre toutes les chances de leur côté, il leur faudra donc prendre les devants en localisant tous les serveurs et appareils exposés et en les mettant rapidement à jour dès qu’une nouvelle vulnérabilité fait son apparition.
L’année 2022 devrait marquer un tournant majeur dans le domaine de la PQC, avec l’annonce attendue du NIST quant au standard qui succédera aux algorithmes de chiffrement RSA et ECC en 2022.
Alors que la continuité opérationnelle et la rentabilité continuent de dominer l’agenda des entreprises, l’efficacité des technologies de sécurité va devenir un vrai sujet pour elles. Concrètement, les équipes SSI devront faire mieux avec encore moins. Ainsi, l’année 2022 fera la part belle aux technologies qui permettront de gagner en productivité, propulsant l’automatisation au centre de l’échiquier de la sécurité. Les entreprises en ont conscience, car d’après une récente enquête DigiCert, 91 % d’entre elles envisagent d’automatiser la gestion des certificats PKI. Parallèlement, l’IA et le ML resteront des moteurs stratégiques de cette automatisation.
Face à l’émergence du multicloud, les approches traditionnelles de sécurité périmétrique atteignent leurs limites. Ainsi, avec la granularisation des services cloud, les défis de cybersécurité devraient encore gagner en complexité – d’autant que les entreprises déploient des solutions cloud de plus en plus soumises à des régimes réglementaires et juridiques locaux. Dans ces circonstances, les contrôles de souveraineté ont avant tout pour but de protéger les données sensibles et privées, et de veiller à ce que leurs propriétaires conservent la maîtrise de leurs données dans le cloud.
À titre d’exemple, T-Systems et Google Cloud ont récemment annoncé s’être associés en vue de proposer des services de cloud souverain pour les entreprises, le secteur public et les organismes de santé en Allemagne. En pratique, la multiplication des initiatives de ce type obligera les entreprises à prendre en compte les exigences nationales et supranationales en matière de sécurité.
Confrontés à une concurrence exacerbée, les marketeurs peuvent aujourd’hui compter sur de nouvelles technologies pour tirer leur épingle du jeu. C’est une bonne nouvelle, car selon une étude de Wpromote, 31 % des professionnels du marketing B2B ont fait de la notoriété de leur marque leur priorité absolue pour 2020. En marge de cette tendance, nous pensons que les certificats VMC (Verified Mark Certificates) vont devenir un instrument d’image et de confiance de plus en plus important dans l’arsenal marketing des entreprises.
Développés dans le cadre du projet BIMI (Brand Indicators for Message Identification), ces certificats valident l’authenticité et la conformité d’un message au protocole DMARC (Domain Based Message Authentication Reporting) en affichant le logo vérifié de l’entreprise dans la boîte mail du destinataire, avant même que celui-ci n’ouvre le message.
Avec cette innovation, les marketeurs font coup double : ils optimisent leur branding et boostent leurs taux d’ouverture (jusqu’à 10 %), tout en démontrant leur sérieux sur les questions de protection des données personnelles et de sécurité informatique.
Dernier point de nos prévisions, les équipes dirigeantes encourageront l’émergence d’une culture de la cybersécurité au sein de leur organisation. En témoigne l’augmentation des initiatives de sensibilisation des collaborateurs (tests de phishing, formations cyber obligatoires, etc.) et les exercices de simulation pour les hauts responsables. L’objectif est ici d’aider les managers à tester leurs stratégies de communication et leurs compétences décisionnelles en cas de crise de cybersécurité majeure. Car il ne fait aucun doute que les cybercriminels vont continuer à innover et à mettre au point des menaces toujours plus complexes et insidieuses. Pour faire face, les dirigeants devront tenir des engagements fermes et mettre en place une communication efficace à tous les niveaux.