Security 101 11-16-2021

Sécurité : les prévisions de DigiCert pour 2022

DigiCert

Alors que 2022 arrive à grands pas, bon nombre des incertitudes qui ont marqué l’année 2021 demeurent. Sur le plan de la cybersécurité, les défis qui ont accompagné la pandémie persistent avec l’ancrage des modèles de travail hybrides. Sans compter que les innovations – par exemple en matière de cloud computing – ouvrent la voie à de nouvelles menaces.

Pour faire le point sur la situation et jeter un regard prospectif sur l’année qui se profile à l’horizon, nous avons une nouvelle fois réuni notre équipe d’experts en cybersécurité, composée de Jeremy Rowley, Dr. Avesta Hojjati, Mike Nelson, Jason Sabin, Dean Coclin, Stephen Davidson, Tim Hollebeek et Brian Trzupek. Découvrons plus en détail leurs perspectives pour l’année 2022.

Prévision : attaques contre la supply chain, ransomwares, cyberterrorisme… les menaces iront en s’intensifiant.

L’affaire SolarWinds et la compromission des réseaux de Colonial Pipeline ont fait les gros titres en 2021. En plus d’avoir enhardi les hackers, ces attaques audacieuses ont mis en lumière trois phénomènes qui domineront l’actualité de la cybersécurité pour l’année à venir :

  • Les vulnérabilités se multiplient à mesure que la complexité de la supply chain augmente. À l’origine de la mésaventure de SolarWinds, on retrouve un malware dissimulé dans une mise à jour logicielle et passé totalement sous les radars. Cette compromission prouve à quel point il est difficile de protéger les logiciels dans un environnement DevOps où l’impératif de rapidité des livraisons de code prend souvent le pas sur la sécurité. Dans ces conditions, la complexité accrue des processus de développement et de la supply chain contribue à étendre la surface d’attaque. Mais des solutions existent. À titre d’exemple, la signature de code permet de confirmer l’intégrité du code à chaque étape du cycle de développement, avec en bout de chaîne la garantie d’un code exempt de tout malware avant son déploiement en production ou dans les environnements des clients. Dans le même esprit, la sensibilisation aux dangers découlant du partage de clés, l’inspection du code à chaque phase du développement et la prévention de toute altération après la signature sont autant de mesures en faveur de la protection du code. Quant à la mise en place d’une nomenclature logicielle (SWBOM) stricte, elle permettra de gagner en visibilité sur tous les éléments constitutifs d’une application logicielle.
  • Le cyberterrorisme va encore faire des émules. Suite aux attaques contre Colonial Pipeline et l’installation de traitement des eaux usées d’Oldsmar en Floride, la capacité des cyberterroristes à paralyser des opérateurs d’importance vitale (OIV) ne fait plus aucun doute. Dans le cas d’Oldsmar, le bilan humain aurait pu être catastrophique puisque l’attaquant a tenté d’empoisonner le réseau d’eau potable de la ville. Cet exemple démontre bien que le champ des menaces ne cesse de progresser et nous rappelle à quel point l’imagination des attaquants ne connaît quasiment aucune limite. Dans ce contexte, les vols spatiaux privés, les échéances électorales et autres grands événements à forte composante technologique font figure de cibles alléchantes pour les hackers. Pour parer à toute éventualité, les structures publiques et privées en ligne de mire ont donc tout intérêt à adopter une approche Zero Trust.
  • Les ransomwares vont encore gagner du terrain. Santé, technologie, automobile, sport… en 2021, aucun secteur n’a échappé aux ransomwares. Tout comme la menace cyberterroriste, ce type d’attaque bénéficie souvent d’une couverture médiatique importante, ce qui peut encourager les cybercriminels avides de notoriété. D’après nos prévisions, les ransomwares vont donc poursuivre leur irrésistible ascension, portés par la démocratisation des cryptomonnaies et la difficulté de tracer les paiements de rançon en dehors du système bancaire.

Prévision : la confiance et la validation des identités vont continuer de s’imposer au cœur des processus métiers.

Dans tous les secteurs d’activité, les entreprises ont entamé de grands chantiers de transformation digitale, et la tendance va en s’accélérant. Pour preuve, le marché mondial de la transformation digitale devrait enregistrer un taux de croissance annuel moyen (CAGR) de 24 % entre 2021 et 2028. Ainsi, à mesure que les processus stratégiques des organisations se numérisent et se dématérialisent, l’utilisation des signatures électroniques devrait progresser et exiger des contrôles plus stricts en termes d’identités et de confiance.

  • Avec la généralisation de la signature électronique, les enjeux augmentent considérablement.Nous anticipons une augmentation des workflows associés aux signatures numériques dans des secteurs aussi divers que les services financiers, l’immobilier, la santé ou encore l’enseignement. Avec l’avènement du travail hybride, les signatures électroniques se révèlent aussi particulièrement utiles pour intégrer les télétravailleurs et les accompagner dans leurs missions. Pas étonnant, donc, que l’acceptation de plus en plus répandue de cette technologie se double d’une augmentation spectaculaire des enjeux. L’actualité nous a d’ailleurs démontré que la moindre erreur pouvait coûter très cher, puisqu’un procès en Autriche a récemment abouti à l’invalidation d’un contrat de 3 milliards d’euros pour une société ferroviaire suisse, en raison d’une signature numérique non reconnue.

Longtemps chef de file du déploiement de la signature électronique, l’Europe tire les leçons de la pandémie de COVID-19 et revoit son règlement eIDAS. L’objectif ? Donner les moyens à des prestataires de services de confiance qualifiés (PSCQ) de valider à distance l’identité d’un signataire en toute fiabilité. En parallèle, de nouvelles propositions viennent considérablement élargir l’utilisation des cartes d’identité électroniques pour faciliter la circulation transfrontalière. Autant de changements qui visent à replacer le contrôle de l’identité entre les mains des citoyens, et non des entreprises privées.

  • L’identité et la confiance, piliers de l’IoT et d’autres technologies émergentes.Pour l’IoT et les autres domaines d’application à très forte composante data, la confiance revêt aujourd’hui une importance plus capitale que jamais. Moniteurs de santé des patients, appareils de contrôle industriels, systèmes domotiques de sécurité, capteurs embarqués dans des véhicules… tous ces cas d’usage critiques doivent pouvoir compter sur l’intégrité de leurs données en temps réel. Dans ces conditions, l’adoption accélérée de la 5G devrait converger avec les applications IoT, ce qui pourrait se traduire par une flambée des attaques. Face à ces enjeux, la PKI reste une méthode robuste et éprouvée pour assurer la confiance au sein des environnements IoT.

Prévision : les menaces nées du COVID survivront à la pandémie.

L’an dernier, nos prévisions faisaient état de menaces en lien direct avec la crise sanitaire. Mais à l’heure où la pandémie semble peu à peu reculer, les menaces qu’elle a engendrées, elles, ont encore de beaux jours devant elles. En cause, les technologies sans contact, vulnérables aux cyberattaques et désormais monnaie courante dans les aéroports, les magasins, les restaurants et autres espaces publics. Quant à l’identification électronique, notamment dans le cadre de la dématérialisation des permis de conduire et des dossiers médicaux, elle ouvrira sans doute un nouveau front pour les hackers.

Prévision : l’informatique post-quantique va faire bouger les lignes en matière de sécurité.

D’après une enquête DigiCert, 71 % des décideurs IT pensent que les ordinateurs quantiques viendront à bout des algorithmes de chiffrement existants d’ici 2025. Les services de sécurité n’auront donc d’autre choix que de repenser leur sécurité autour de la cryptographie post-quantique (PQC), seul moyen de consolider leurs défenses et de diminuer les risques de compromission. Néanmoins, de nombreuses entreprises connaissent mal les technologies cryptographiques qu’elles déploient. Afin de mettre toutes les chances de leur côté, il leur faudra donc prendre les devants en localisant tous les serveurs et appareils exposés et en les mettant rapidement à jour dès qu’une nouvelle vulnérabilité fait son apparition.

L’année 2022 devrait marquer un tournant majeur dans le domaine de la PQC, avec l’annonce attendue du NIST quant au standard qui succédera aux algorithmes de chiffrement RSA et ECC en 2022.

Prévision : l’automatisation va renforcer la cybersécurité.

Alors que la continuité opérationnelle et la rentabilité continuent de dominer l’agenda des entreprises, l’efficacité des technologies de sécurité va devenir un vrai sujet pour elles. Concrètement, les équipes SSI devront faire mieux avec encore moins. Ainsi, l’année 2022 fera la part belle aux technologies qui permettront de gagner en productivité, propulsant l’automatisation au centre de l’échiquier de la sécurité. Les entreprises en ont conscience, car d’après une récente enquête DigiCert, 91 % d’entre elles envisagent d’automatiser la gestion des certificats PKI. Parallèlement, l’IA et le ML resteront des moteurs stratégiques de cette automatisation.

Prévision : les enjeux de souveraineté du cloud dicteront de nouvelles exigences de sécurité.

Face à l’émergence du multicloud, les approches traditionnelles de sécurité périmétrique atteignent leurs limites. Ainsi, avec la granularisation des services cloud, les défis de cybersécurité devraient encore gagner en complexité – d’autant que les entreprises déploient des solutions cloud de plus en plus soumises à des régimes réglementaires et juridiques locaux. Dans ces circonstances, les contrôles de souveraineté ont avant tout pour but de protéger les données sensibles et privées, et de veiller à ce que leurs propriétaires conservent la maîtrise de leurs données dans le cloud.

À titre d’exemple, T-Systems et Google Cloud ont récemment annoncé s’être associés en vue de proposer des services de cloud souverain pour les entreprises, le secteur public et les organismes de santé en Allemagne. En pratique, la multiplication des initiatives de ce type obligera les entreprises à prendre en compte les exigences nationales et supranationales en matière de sécurité.

Prévision : les certificats VMC vont changer la face de l’email marketing.

Confrontés à une concurrence exacerbée, les marketeurs peuvent aujourd’hui compter sur de nouvelles technologies pour tirer leur épingle du jeu. C’est une bonne nouvelle, car selon une étude de Wpromote, 31 % des professionnels du marketing B2B ont fait de la notoriété de leur marque leur priorité absolue pour 2020. En marge de cette tendance, nous pensons que les certificats VMC (Verified Mark Certificates) vont devenir un instrument d’image et de confiance de plus en plus important dans l’arsenal marketing des entreprises.

Développés dans le cadre du projet BIMI (Brand Indicators for Message Identification), ces certificats valident l’authenticité et la conformité d’un message au protocole DMARC (Domain Based Message Authentication Reporting) en affichant le logo vérifié de l’entreprise dans la boîte mail du destinataire, avant même que celui-ci n’ouvre le message.

Avec cette innovation, les marketeurs font coup double : ils optimisent leur branding et boostent leurs taux d’ouverture (jusqu’à 10 %), tout en démontrant leur sérieux sur les questions de protection des données personnelles et de sécurité informatique.

Prévision : les organisations auront à cœur d’instaurer une véritable culture de la sécurité.

Dernier point de nos prévisions, les équipes dirigeantes encourageront l’émergence d’une culture de la cybersécurité au sein de leur organisation. En témoigne l’augmentation des initiatives de sensibilisation des collaborateurs (tests de phishing, formations cyber obligatoires, etc.) et les exercices de simulation pour les hauts responsables. L’objectif est ici d’aider les managers à tester leurs stratégies de communication et leurs compétences décisionnelles en cas de crise de cybersécurité majeure. Car il ne fait aucun doute que les cybercriminels vont continuer à innover et à mettre au point des menaces toujours plus complexes et insidieuses. Pour faire face, les dirigeants devront tenir des engagements fermes et mettre en place une communication efficace à tous les niveaux.

UP NEXT
Certificats VMC

Comment configurer le DMARC pour rendre votre domaine éligible à l’obtention d’un certificat VMC

5 Min

Articles à la une

04-27-2021

L'automatisation, c'est maintenant

11-16-2021

Sécurité : les prévisions de DigiCert pour 2022

DigiCert parle quantique: rapport de la National Academy of Sciences