Pour la plupart, les cyber-risques sont connus. Mais seront-ils approchés et gérés autrement en 2020 ? Infosecurity Europe a interrogé sa communauté.

S’ils ne seront pas fondamentalement différents en 2020, les cyber-risques évoluent. Pour son 25ème anniversaire, Infosecurity a cherché à en savoir plus. Et d’interroger sa communauté de CISO et autres C-Level. Objectif : décrypter l’avenir, notamment en termes de défis, d’opportunités et de tendances générales, que ce soit dans l’univers de la technologie, du travail ou du monde en général.

Dans leur majorité, les CISO ont mis en exergue les risques posés par les technologies émergentes qui seront adoptées de façon plus large en 2020. «Le déploiement des outils d’automatisation de la sécurité va augmenter en 2020, commente Peter Gooch, Partner, Cyber Risks Services, Deloitte. Lorsque cela se déroule correctement, les organisations pourront s’adapter rapidement aux changements de tactiques d’attaque. Sinon, ces dernières seront plus difficiles à dévoiler…»

Cloud, 5G, IoT…

Premier centre d’intérêt, le cloud. En apparence, rien de nouveau. N’empêche. La transparence sera un facteur majeur lors de la passation de contrats de services cloud. Les fournisseurs devront mettre davantage de données et d’évènements à la disposition des outils SIEM. Ils devront démontrer que leurs pratiques et systèmes de sécurité sont proches du temps réel. Les pirates ont tendance à cibler les données non structurées pour s’introduire dans les systèmes et lancer des attaques. Il est donc essentiel de mettre en place une gouvernance solide.

Ensuite, la 5G. Plus d’une centaine d’entreprises de différents pays testeront la 5G privée au cours de cette année 2020. Ce qui risque d’élargir la surface d’attaque. Et induire de nouveaux cyber-risques. De rendre les flux de données plus difficiles à suivre. Et de compliquer la tâche des professionnels de la sécurité.

Surface d’attaque étendue

Plus d’intelligence avec la 5G, donc de nouveaux cyber-risques. C’est le cas, aussi, de l’IoT. Et de l’AI. «Le Machine Learning est devenu une pratique courante en 2019; nous devrions évoluer vers une véritable AI en 2020. Ne perdez pas de vue que la technologie est neutre, prévient Mark D. Nicholls, CISO, Peabody. Elle peut tout aussi bien être détournée par des criminels. Imaginez une attaque par déni de service appuyée par une véritable intelligence artificielle…»

Et de poursuivre : «Alors que les clients recherchent un univers toujours plus intelligent et connecté, le nombre d’attaques ciblant les appareils connectés à d’autres fins ne peut qu’augmenter. Rien de nouveau, sauf que la surface d’attaque va s’élargir. Nous devons poursuivre l’effort de sensibilisation. Nous assurer que les humains restent notre meilleure ligne de défense !»

Sur l’autel de la production

Les vecteurs d’attaque les plus à même de prendre l’ascendant en 2020 ont également fait l’objet de discussions. Becky Pinkard, CISO, Aldermore, une banque privée, s’attend à davantage d’attaques en relation avec la dette technique. «Portées par la demande des consommateurs et le potentiel technologique, les entreprises tendent plus à alourdir leur dette technique qu’à la rembourser. Je pense qu’il faut s’attendre à davantage d’attaques spectaculaires en relation avec cette dette croissante et les ‘risques furtifs’ qu’elle génère. L’intégration à marche forcée de l’open banking dans les services financiers, l’incorporation des API, de la technologie de DLT et de l’intelligence artificielle en succession rapide, et surtout la priorité donnée à la capture de l’attention des clients, signifient trop souvent que la sécurité est négligée au nom de la production.»

Pour Troy Hunt, Regional Director, Microsoft, nous devrions nous intéresser davantage au credential stuffing, «une véritable épidémie ! D’ailleurs, je me demande si le pire est vraiment derrière nous compte tenu du nombre de paires de mots de passe et de noms d’utilisateur en circulation !»

A l’entendre, il est également possible que nous ayons atteint un point de non-retour, où les organisations doivent bloquer certaines tentatives de connexion qui comportent le bon nom d’utilisateur et le bon mot de passe, mais ne proviennent pas de la bonne personne. «Aux États-Unis, des actions en justice sont instruites contre des entreprises pourtant victimes du credential stuffing. La situation va empirer ou les organisations vont s’adapter.»

Le contrôle d’accès, toujours plus sensible

Concernant les approches de sécurité qui permettront d’atténuer les cyber-risques dominants en 2020, David Boda, CISO, Camelot Group, pense qu’il faut revenir aux fondamentaux. «En faisant porter l’effort principalement sur des procédures d’accès robustes et réactives, ainsi que les correctifs, nous devrions pouvoir gérer les risques pour la majorité des organisations quel que soit leur domaine. Il est important que les fournisseurs, les consultants et les organisations des utilisateurs finaux discutent sérieusement de ces deux points.»

Killian Faughnan, CISO, William Hill pense lui aussi que le contrôle d’accès sera important, surtout dans l’espace de travail de nouvelle génération. «Il est difficile d’établir un équilibre entre restrictions et laxisme pour le contrôle d’accès. Sachant qu’en 2020, 35 % de nos effectifs seront nés après 2000, il est important de trouver un compromis acceptable pour les employés…»

Certains CISO estiment que les solutions viendront d’une plus grande intégration de l’industrie. «Je pense que les entreprises de sécurité vont se rapprocher, ce qui devrait se traduire par une meilleure sécurisation à tous les échelons», avance Mark Nicholls.

Dans la même ligne, Peter Gooch pense que la convergence sera une tendance clé. «Un plus grand nombre de fusions/acquisitions de haut niveau devrait se produire en 2020, ainsi qu’une expansion et une formalisation des éditeurs dans le cadre d’un univers plus convergent. Cela devrait ressembler à la révolution ERP qui a transformé le mode de fonctionnement de nombreuses équipes financières et opérationnelles, et pourrait déboucher sur un modèle opérationnel plus efficace pour tous les intervenants du cyber-espace.»

La pénurie de compétences ? On fait avec !

Deux sujets, qui ont fait la une en 2018/2019, ne sont plus d’une actualité brûlante pour les CISO. L’un d’eux est la pénurie de compétences. «Le problème n’a pas disparu, bien que je pense que nous ayons atteint un point critique, précise Killian Faughnan. Davantage de sociétés vont recruter à partir de pools de professionnels de la sécurité potentiels et non plus de pools établis. Il est plus facile de former un développeur à la sécurité des informations que l’inverse.»

De même, le GDPR semble également ne plus être un sujet d’actualité, sans doute à cause du fait que les réglementations et leur impact sont désormais mieux connus. Paul Watts, CISO, Dominos Pizza United Kingdom, a constaté des signes d’apathie face aux violations et se demande si cette tendance va se maintenir en 2020. «Si cela peut s’expliquer en partie par des distractions politiques, je reste convaincu que le nombre de signalements par les professionnels augmente, mais peut-être que le public se lasse ? Je ne sais pas encore s’il s’agit d’une bénédiction ou d’une malédiction pour les RSSI alors que la prochaine décennie se profile…»

L’une des questions qui revient souvent à cette période de l’année est si nous allons voir une «méga violation» qui risque de reléguer des incidents aussi retentissants que celui d’Equifax au second plan. «Une inconnue subsiste : allons-nous être témoins d’une violation de données hors normes qui va remettre le monde sens dessus dessous ?», s’interroge Troy Hunt.