Alors que les fêtes de fin d’année se profilent déjà à l’horizon, l’heure est venue de faire le point et de jeter un regard prospectif sur les futures tendances en matière de sécurité, de technologie et de confiance numérique.
2022 a vu les attaques s’intensifier et les supply chains logicielles devenir la cible privilégiée des cybercriminels. Pour preuve, selon une récente enquête menée auprès de 1 000 DSI, 82 % d’entre eux considèrent leur entreprise vulnérable aux cyberattaques visant ces supply chains. Autant dire que les professionnels de la sécurité n’en ont jamais fini… Pour savoir ce que nous réserve 2023, nous avons demandé l’avis de notre équipe d’experts en cybersécurité. Avesta Hojjati, Dean Coclin, Mike Nelson, Srinivas Kumar, Stephen Davidson, Steve Job et Tim Hollebeek, vous éclairent sur l’année à venir.
Si, avec les technologies actuelles, le déchiffrement d’un algorithme de 2 048 bits prendrait un temps incommensurable, l’informatique quantique pourrait ramener ce délai à quelques mois seulement. L’année dernière déjà, nous prédisions des avancées majeures dans le monde post-quantique, et ce au moment même où le National Institute of Standards and Technology (NIST) du ministère américain du Commerce examinait des algorithmes cryptographiques susceptibles de résister aux tentatives de déchiffrement, tant par des méthodes traditionnelles que par les futurs ordinateurs quantiques.
C’est désormais chose faite. Le NIST a sélectionné le premier groupe d’outils de chiffrement conçus spécifiquement pour résister aux assauts des futures machines quantiques. Ces quatre algorithmes seront intégrés au prochain standard PQC du NIST. L’élaboration de ce standard devrait contribuer à concentrer les énergies sur la crypto-agilité, un passage obligé pour mieux lutter contre la menace que les ordinateurs quantiques font peser à terme sur la sécurité des interactions en ligne. Même s’il faudra plusieurs années pour incorporer ces nouveaux algorithmes dans divers standards, les entreprises ont tout intérêt à s’y préparer dès maintenant. Du moment que nous serons entrés dans l’ère quantique, il sera déjà trop tard.
Cette préparation au chiffrement post-quantique passe par l’amélioration de la crypto-agilité des systèmes de sécurité. Il s’agit pour ces derniers de pouvoir basculer rapidement entre différents mécanismes de chiffrement. Cette capacité repose sur la visibilité et la nature dynamique des ressources cryptographiques. Quand bien même l’ère quantique semble encore très lointaine, la sécurité des communications actuelles est déjà menacée. En devenant crypto-agiles, les entreprises comprennent mieux l’utilisation du chiffrement, se dotent d’outils pour repérer et résoudre les problèmes, définissent des politiques claires fondées sur les bonnes pratiques, et sont à même de tester de nouveaux algorithmes cryptographiques. Au vu de tels avantages, nous pensons que la crypto-agilité devrait devenir un levier de compétitivité dans un avenir proche.
Matter est à la fois un standard international et un langage commun qui permet aux appareils de domotique de communiquer entre eux. Réunissant les principaux acteurs de l’IoT, il a pour mission de simplifier le marché et de favoriser l’interopérabilité des objets connectés entre les différentes plateformes. Google, Apple, Amazon, Samsung… les plus grands noms de la domotique ont rallié le projet Matter, un pari qui devrait s’avérer gagnant tant pour les fabricants que pour les consommateurs.
Le logo Matter est appelé à devenir une référence dans le secteur de la domotique. Lors de l’achat d’un appareil, les consommateurs y verront une garantie d’interopérabilité. Au cours de l’année 2023, les appareils compatibles Matter débarqueront dans les foyers. Ce standard gagnera une reconnaissance semblable à celle du Bluetooth. Preuve de son adoption rapide, le tout dernier Apple iOS 16 prend en charge le protocole Matter.
Cela montre aussi à quel point les fabricants d’objets connectés sont impatients d’obtenir la certification. En affichant le logo Matter sur les appareils compatibles, ils donneront à leurs clients le gage d’une connexion à la fois fluide et sécurisée. Au vu du rôle central que Matter est appelé à jouer dans la domotique de demain, c’est maintenant que les acteurs du secteur doivent s’assurer de la compatibilité de leur portefeuille de produits.
Les développeurs font appel aux certificats de signature de code pour signer numériquement leurs applications, pilotes, fichiers exécutables et autres types de logiciels. Les utilisateurs ont ainsi la garantie que le code qu’ils reçoivent n’a pas été modifié ou compromis en cours de route. Ces certificats incluent votre signature, le nom de votre entreprise et l’horodatage du code. Les certificats de signature de code de validation d’organisation (OV) sont requis comme preuves de légitimité.
Face aux risques, les exigences qui régissent l’émission de ces certificats sont sur le point de changer. Ces derniers seront bientôt émis sur des équipements de sécurité physique, selon un processus semblable aux certificats de signature de code de validation étendue (EV). Selon le CA/B Forum, l’autorité régulant l’écosystème SSL, les clés privées des certificats de signature de code OV devront être stockées sur des appareils conformes au FIPS 140 niveau 2, aux critères communs EAL 4+ ou standards de sécurité équivalents. Pour ce faire, les certifications seront envoyées au client par clé USB pour être déployées sur le module physique de sécurité.
D’après nous, ces changements conduiront les clients à opter pour la signature de code dans le cloud plutôt que de devoir remplacer leur jeton physique. On devrait également assister à la migration définitive de la signature de code vers le cloud, épargnant ainsi aux clients les complications liées à la gestion d’une clé physique.
Ces dernières années, les attaques de la supply chain logicielle de SolarWinds ou de Kaseya ont fait la une des médias, soulignant toute l’importance de bien comprendre ses dépendances logicielles. Suite à ces événements, le président des États-Unis a publié en 2021 un ordre exécutif visant à renforcer la cybersécurité des institutions du pays. Lorsqu’ils répondront à un appel d’offre du gouvernement fédéral, les éditeurs de logiciels devront désormais accompagner leur dossier d’une nomenclature de ses composants logiciels (SBOM). Cette liste répertorie l’intégralité des composants logiciels d’une application et comprend chaque bibliothèque du code applicatif, ainsi que les services, les dépendances, les compositions et les extensions.
Les SBOM s’imposent également de plus en plus dans le secteur privé. Nombre de grandes entreprises les inscrivent désormais au contrat-cadre de services avec leurs fournisseurs de logiciels. Selon des analystes indépendants, les SBOM deviendront bientôt une procédure systématique du processus d’achat.
Un récent mémorandum émanant de l’Office of Management and Budget (OMB) américain va encore plus loin en édictant de nouvelles exigences pour l’ensemble des agences gouvernementales américaines en matière de sécurité de la supply chain logicielle. Selon ce document, les éditeurs de logiciels candidats aux marchés publics devront évaluer et attester de leur conformité aux directives du NIST.
En conséquence, il leur faudra s’impliquer davantage dans la sécurité de leurs produits. Un processus dans lequel la visibilité joue un rôle clé. C’est justement en raison des précieuses informations et de la visibilité qu’elle offre sur la supply chain logicielle que la SBOM fera l’objet d’une adoption massive en 2023. Même si les exigences proviennent principalement des pouvoirs publics, la nomenclature des composants logiciels devrait s’imposer très prochainement dans le secteur privé.
Quiconque possède un smartphone connaît le principe de la SIM (Subscriber Identity Module), cette carte amovible qui doit être échangée avec une autre à chaque changement d’opérateur réseau. Plus récemment, l’eSIM (Embedded SIM) a fait son entrée pour concurrencer la technologie SIM traditionnelle. L’eSIM est également une carte physique, mais à la différence d’une SIM classique, elle est incorporée à l’appareil et par conséquent inamovible. Pour actualiser les données d’une eSIM, il suffit de passer par une solution de provisionnement de SIM à distance (RSP).
Dernière arrivée sur le marché, l’iSIM (Integrated SIM) propose une alternative plus compacte et plus sécurisée aux cartes SIM matérielles. Beaucoup plus petite, elle ne requiert aucun processeur distinct au sein de l’appareil, ce qui représente un gain de place considérable. L’iSIM se trouve dans un espace sécurisé de l’architecture du système sur puce (SoC) de l’appareil. La fonctionnalité SIM est ainsi intégrée au processeur même de l’appareil.
Certains grands noms du secteur comme Qualcomm et Vodafone ont présenté une preuve de concept iSIM rendant le compartiment SIM superflu. La prochaine génération de smartphones marquera la fin de la carte SIM traditionnelle et l’avènement de l’eSIM et de l’iSIM comme racine de confiance.
Initiative de la Commission européenne dans le cadre du règlement eIDAS, le portefeuille européen d’identité numérique créera un système unifié d’identification numérique au sein de l’UE. Les citoyens européens pourront transporter leurs pièces d’identité dans une application mobile sécurisée et ainsi s’authentifier en ligne ou apposer leur signature électronique. Outre l’identité en tant que telle, ces portefeuilles pourront contenir des « attestations d’attribut électroniques », comme des qualifications professionnelles. Ces documents pourront être présentés conjointement ou séparément de la pièce d’identité personnelle. D’importants projets transfrontaliers dans les secteurs des services financiers, de l’enseignement et de la santé sont en préparation dans l’Union européenne.
À l’instar des modes de paiement électroniques Apple Pay et Google Pay, le portefeuille européen d’identité numérique devrait s’imposer comme le nouveau modèle d’identité numérique dont le reste du monde cherchera à s’inspirer. La mise en place d’un cadre juridique par les instances européennes encouragera les utilisateurs à adopter ce portefeuille numérique pour conserver et partager leurs papiers d’identité. Il va sans dire qu’une adoption généralisée du portefeuille numérique va de pair avec l’expansion de l’écosystème de confiance numérique.
En 2023, le DNS continuera de se développer parallèlement à l’essor continu de l’automatisation du DevOps et de l’Infrastructure as Code (IaC).
À l’heure où les membres des équipes de développement sont dispersés aux quatre coins du globe, jamais le pipeline d’intégration et de développement continus (CI/CD) n’a revêtu une telle importance pour respecter leurs objectifs de productivité. Ainsi, la capacité d’automatiser les changements DNS s’avère cruciale pour des développeurs qui se connectent aux déploiements et aux systèmes partout dans le monde.
Dans le même temps, l’IaC continuera de s’imposer comme l’infrastructure de facto pour les entreprises de toutes tailles. De vastes environnements de serveurs seront déployés pour conjuguer automatisation et prévisibilité.
Disponibilité, vitesse, propagation rapide… ces trois atouts vont devenir indispensables aux services DNS des entreprises. Les efforts de ces dernières pour gagner en productivité et en fiabilité passeront par des API, SDK et intégrations clairement définies.
À l’heure où le Zero Trust est en passe de devenir l’approche standard de sécurité pour les systèmes IT, il faut s’attendre à ce que les acteurs cyber malveillants s’adaptent pour contourner les remparts du Zero Trust.
Pour mettre toutes les chances de leur côté, les cybercriminels recourront à de nouvelles technologies. Ainsi, l’intelligence artificielle et l’Adversarial Machine Learning, qui consiste à détourner le ML à des fins malveillantes, pourraient les aider à détecter les failles d’une implémentation lacunaire du Zero Trust. Preuve s’il en est que l’arrivée d’un nouveau framework ne siffle pas pour autant la fin de la partie côté attaquants. Vu la capacité des acteurs cyber offensifs à changer de tactique dès lors qu’un nouveau modèle de défense apparaît, les cadres de sécurité doivent eux aussi évoluer en permanence.
Nous savons par expérience que les acteurs cyber peuvent s’appuyer sur l’IA et le ML pour neutraliser des solutions de sécurité clé en main ou mener des attaques IA visant à prendre en défaut les systèmes de détection par logique floue. L’avenir nous dira si une approche dynamique du Zero Trust peut nous mettre à l’abri de l’inventivité débordante des attaquants.