A la veille de l’ouverture des portes du FIC 2020, les experts sont unanimes : il est grand temps de privilégier l’humain avant de penser à l’action.

Avant de penser failles ou menaces, ne devrait-on pas remettre l’humain au coeur de la cybersécurité ? Pour le général Watin – Augouard, directeur du Centre de Recherche de l’École des Officiers de la Gendarmerie Nationale et fondateur du FIC, la question ne se pose même pas. C’est un préalable. 

«L’humain, en tant que tel, a été oublié dans la cybersécurité !» Sans revalorisation du statut et des tâches des professionnels de la cybersécurité, il est peu de chance que le fossé qui s’est creusé sur le marché du travail entre l’offre et la demande s’amenuise.

«Pour atteindre cet objectif, il faudra passer par une automatisation des tâches répétitives, abêtissantes et peu gratifiantes. Cette revalorisation passe également par l’évolution de la culture, donc par le dialogue entre les acteurs de la cybersécurité et les sciences humaines. La cybersécurité a besoin de juristes, de sociologues, de philosophes, voire d’historiens,. C’est la condition pour garantir une sécurité de tous au service de la liberté de chacun. Il est temps de replacer l’humain au cœur du discours et de l’action !»

Le cloud, premier vecteur de vulnérabilité

C’est l’humain qui est vulnérable, l’humain avant les machines. «La criminalité s’est depuis longtemps orientée vers le terrain cyber, plus lucratif et moins risqué, permettant d’agir à distance pour espionner, voler et saboter, explique Guillaume Tissier, président de CEIS, un spécialiste de l’intelligence économique. À mesure que la transformation numérique avance -songez au cloud, à la mobilité, à l’ère du tout numérique- et que la technologie évolue avec l’IoT ou la 5G, nous devenons de plus en plus vulnérables…»

Dans le collimateur, le cloud. La migration dans le cloud s’est largement accélérée en 2019. «Le cloud modifie l’infrastructure informatique des entreprises. Celles-ci utilisent plusieurs clouds et les utilisateurs sont de plus en plus mobiles, détaille Yogi Chandiramani, CTO EMEA, Zscaler. D’un point de vue sécuritaire, cette ouverture du périmètre réseau de l’entreprise lui impose de repenser son architecture de sécurité… L’une des grandes tendances actuelles est le Zero-Trust. Il  permet de sécuriser les accès des utilisateurs aux applications métiers et au réseau de manière directe et individualisée. Il permet aussi de  s’affranchir des traditionnels VPN qui ne sont aujourd’hui absolument plus une garantie de sécurité.»

En 2020, les menaces découleront en partie d’un manque de visibilité sur toutes les données et actifs applicatifs hébergés sur ces clouds. «Malgré un modèle de responsabilité partagée et la médiatisation des vulnérabilités sur les services cloud, de nombreuses entreprises continueront de manquer à leur devoir de vigilance», s’inquiète Hicham Bouali, EMEA Pre-Sales Manager, One Identity.

Données, applications, failles humaines… toujours au menu 2020

En moyenne, 22 % des fichiers d’une entreprise sont accessibles à l’ensemble des employés. Et dans 53 % (41 % en 2017) des entreprises, ce sont au moins 1000 fichiers contenant des données sensibles qui sont laissés en accès libre à tous les employés selon le Data Risk Report de Varonis. C’est dire, encore, la vulnérabilité de l’humain.

«Les cybermenaces sont devenues omniprésentes -menaces internes et externes, chiffrage, perte ou altération des données, etc. Et pourtant, nous constatons que les entreprises ne connaissent, ni ne protègent mieux leurs données», alerte Norman Girard, VP Europe, Varonis. «Les fichiers et les actifs applicatifs étant disponibles pour la plupart des utilisateurs, les usurpations de comptes légitimes -notamment l’utilisation abusive de comptes privilégiés- sont des menaces conséquentes. Elles vont le rester tant que les pratiques de gestion des identités et des accès n’évoluent pas», ajoute Hicham Bouali.

L’application fait désormais partie des principaux actifs de l’entreprise, ce qui en fait une cible de choix. Voici un an, il existait 700 millions d’applications à travers le monde. Tout indique que le seuil des 4 milliards sera franchi à fin 2023… La transformation numérique engagée, la plupart des services deviennent des services en ligne.

Pour Arnaud Lemaire, directeur technique, F5 Networks France, l’application est devenue la ressource principale à protéger. L’est-elle concrètement ? Non. «Depuis 2013, nous observons que les vulnérabilités exploitées par les cybercriminels sont quasi les mêmes. Or, les entreprises ne les mettent pas à jour ! De la même manière, les principales attaques qui ciblent les applications, DDoS, exploitation de failles existantes, compromission d’identités, vont très certainement demeurer les mêmes à l’avenir…» 

Le phishing… dans plus de 90 % des cyberattaques

Alors que les attaques deviennent de plus en plus sophistiquées, il y a des méthodes simples qui ne changent pas beaucoup. Le phishing -en constante évolution dans sa forme- reste le vecteur le plus utilisé pour tromper la vigilance d’un collaborateur.

«Touchant entreprises et particuliers sans distinction, l’e-mail va rester le premier vecteur d’infection, prévient Sébastien Gest, Tech Evangelist, Vade Secure. Cette année, nous avons constaté un retour en force de la sextorsion, la multiplication des campagnes de phishing et des failles de données. Il est fort à parier que rien ne changera en 2020.»

Les TPE-PME, les plus vulnérables

Le fossé entre les niveaux de préparation face aux attaques se creuse énormément entre les grands groupes qui ont les moyens et les TPE-PME. Ces dernières n’ont pas les ressources -disposer d’un expert en interne est bien au-dessus de leurs moyens; elles allouent en moyenne 1 000 EUR à la sécurité. Elles n’ont pas davantage la culture cyber. Or, les petites entreprises représentent la part la plus importante de notre tissu économique. Et elles se font attaquer quotidiennement par des ransomwares, des botnets, du vol de propriété intellectuelle. Pour Pascal Le Digol, Director, WatchGuard, «si nous n’accélérons pas la sensibilisation des petites entreprises et des employés, les conséquences pour notre économie vont finir par être graves.» 

Boris Sharov, President & CEO, Doctor Web, va dans ce sens. Pour lui, «les TPE-PME ont besoin d’être accompagnées, de disposer de technologies de protection simples d’utilisation et, surtout, de connaître les menaces qui les ciblent.» Norman Girard (Varonis) appuie également sur le fait que «les TPE-PME sont également attaquées pour servir d’accès aux grands groupes dont elles sont prestataires ou fournisseurs -c’est ce qui est arrivé à Airbus récemment, ou au géant américain Target.»

Professionnalisation des cybercriminels : des attaques ciblées à fort impact

«Au cours de l’année 2019, nous avons pu constater une évolution dans les attaques de type ransomwares. Historiquement peu sophistiquées et à effet instantané, ces attaques s’appuyaient sur une large diffusion pour permettre la collecte de sommes importantes à partir d’un grand nombre de rançons de faible valeur, affirme Cyrille Badeau, VP Europe, ThreatQuotient. L’année 2019 a connu l’avènement d’un nouveau type de ransomware pensé pour bloquer globalement les capacités d’organisations de très grande importance. Ces attaques sont beaucoup plus sophistiquées, nécessitant plusieurs mois pour arriver à leurs fins. Elles sont capables de déployer des outils de désactivation des capacités de sécurité ou de back-up. Elles semblent être prévues pour permettre aux cybercriminels de réaliser un blocage à très fort impact. Cette logique du blocage laisse craindre une évolution vers le monde des réseaux industriels, permettant ainsi la paralysie de chaines de productions entières…» 

Trop de menaces, trop de données à traiter, trop peu de professionnels

«Selon les dernières études, près d’un million d’emplois en cybersécurité sont actuellement vacants. On parle de 3,5 millions de postes d’ici à 2022. Chaque année, trop peu de candidats sont diplômés d’une filière spécialisée en cybersécurité», regrette Pascal Le Digol (Watchguard).

En 2020, sans surprise, l’écart entre les besoins des entreprises en experts et la main d’œuvre qualifiée disponible va encore s’accroître. Les prédictions prévoient une augmentation de 15 % de ce déficit. La transition numérique en sus, il n’y a pas suffisamment de professionnels disponibles pour pallier à la demande grandissante des entreprises. Trois entreprises sur quatre affirment que cette pénurie de compétences dans le domaine de la cybersécurité les affecte. Et a, de fait, influé sur leur sécurité…

Le volume des données à traiter allant croissant, il pose un défi de taille aux professionnels de la cybersécurité. Au-delà de la pénurie de compétence dans la cybersécurité sur le marché du travail, «le capital humain ne suffit plus pour traiter les dits flux de données», affirme Sohrob Kazerounian, Senior Data Scientist, Vectra.

«Seul le machine learning peut extraire du trafic ce qui est pertinent !» Raison pour laquelle il pense que les besoins en Data Scientists vont s’intensifier dans le futur. L’humain, toujours ! L’expert en AI ajoute que «seront automatisées les tâches répétitives et chronophages afin d’optimiser la valeur ajoutée du capital humain dans les départements cyber…».