2022, quelles tendances sont à suivre en matière de sécurité ?

janvier 2022 par André Schindler, DG EMEA chez NinjaOne

La sécurité IT a fait couler beaucoup d’encre en 2021. La menace cyber est omniprésente, plus complexe et récurrente que jamais, touchant aussi bien les entreprises, les administrations que les salariés et particuliers. Quelles leçons tirer de 2021 ? Comment se protéger des menaces en 2022 pour passer l’année en toute (cyber)sécurité ?

2021 : les leçons à tirer

Pour les entreprises, la sécurité ne peut plus être prise à la légère. Sans surprise, le maillon faible reste l’ingénierie sociale, avec notamment le phishing et l’espionnage sur les réseaux sociaux. Sur ces réseaux sociaux, il est en effet possible d’établir des connexions et des liens en vue de tentatives de phishing. Il est très facile d’être pris pour cible, , puis de rédiger un e-mail à votre nom pour demander un service. Dans la plupart des cas, la demande provient d’une personne se faisant passer pour le PDG, ou qui prétend occuper un poste important. Pour cela, le cyber malfaiteur utilise une adresse e-mail jetable, c’est-à-dire à usage unique. Si vous ne prenez pas garde et n’examinez pas l’e-mail, vous pourriez passer à côté de cette information. Dans la mesure où nous tentons de nous protéger, il existe un nombre infini d’e-mails pouvant être utilisés, et il n’est pas forcément possible de bloquer toutes les communications venant d’untel ou d’untel. Pour lutter contre ce phénomène, vous pouvez essayer de combiner règles et politiques de sécurité. Filtrage, gestion stricte des droits d’accès, approche Zero Trust, formation et conseils en hygiène numérique et cyber, sont parmi les approches vivement recommandées. Car le risque cyber est partout et les hackers regorgent d’imagination pour s’infiltrer dans le système d’information, voler et/ou faire du chantage aux données (phising, malware, ransomware).

Autre leçon : la cybersécurité est vraiment l’affaire de tous.Tout le monde veut assurer sa sécurité et préserver sa confidentialité, mais savons-nous vraiment ce que cela signifie ? Les gouvernants élaborent des projets de loi qui tâchent de prendre en compte ces points cruciaux. Pour certains, les mesures prises sont suffisantes. Pour d’autres, ce n’est pas assez. Il est ainsi pratiquement impossible de déterminer ce qui est « suffisant ».

Peut-on seulement fixer un cadre qui définit ce que les gens doivent faire ? C’est un peu comme de se demander : « Quelle serrure devrais-je installer sur ma porte ? Quelle voiture est la plus sûre à conduire ? » Ce sont des questions dont la réponse dépend du contexte. Par ailleurs, il existe tout un tas de ressources qui vous renseigneront sur la meilleure manière de sécuriser votre réseau d’entreprise ou domestique. Le site cybermalveillance.gouv.fr est une mine d’information en matière de conseils et bonnes pratiques . Toutes ces informations sont disponibles, et en quantité. C’est pourquoi je trouve frustrantes les questions que se posent certains sur ce qu’ils devraient faire, parce que les informations sont véritablement à portée de main. La sécurité est vraiment l’affaire de tous, chacun devant faire l’effort nécessaire pour l’assurer, pour se tenir au courant des dernières lois/directives et les appliquer

S’agit-il alors de responsabilité personnelle, professionnelle ? Ou bien est-ce une responsabilité politique de protéger les individus ? De fait, la cybersécurité ne concerne plus seulement le monde numérique. Elle a envahi la sphère physique et sociale. En fin de compte, tout se résume aux objectifs de l’acteur malveillant : intrusion dans les données professionnelles, usurpation d’identité, etc. Les objectifs sont donc basés sur ce que le hacker souhaite obtenir. Dans le fond, la cybersécurité a toujours été un problème social. En ce sens, sa création précède celle du monde numérique. La mentalité, la psychologie et les objectifs de ces hackers existent depuis la nuit des temps. Si les moyens employés évoluent, les problèmes auxquels nous faisons face aujourd’hui ne sont cependant pas bien différents des problèmes d’hier. D’où la question : comment faire face à ce qui dévie des normes sociétales ? La cybersécurité et le paysage numérique sont peut-être des canaux différents, mais le reste n’a pas changé.

Tenir compte de ces leçons pour 2022

En matière de sécurité, tout le monde se berce d’illusions, au point de relâcher la vigilance. Dans le monde entier, les cyberattaques de SolarWinds et Kaseya ont été rapidement oubliées. Pour rappel, SolarWinds concerne 18 agences gouvernementales différentes. Depuis, avons-nous le sentiment ou l’espoir d’être plus en sécurité ? En l’absence de communication du gouvernement pour s’assurer du niveau de sécurité mis en place, comment pouvons-nous le savoir ?

Les acteurs du pouvoir devraient avoir conscience de la situation et être en mesure de répondre à la question. Combien de personnes dans le monde suivent ces questions, et se documentent sur le sujet ? Quels sont les points qui devraient retenir l’attention du public à ce propos ? La cybersécurité n’est qu’un symptôme : il est impossible de connecter tout le monde. Ironiquement, pourtant, ces problèmes sont au fond l’affaire des individus.

Il n’est possible de résoudre que les problèmes que nous voyons. La stratégie vise en partie à créer une session ouverte par semaine pour aborder les questions de sécurité, le but étant d’adopter une approche différente afin d’intégrer la sécurité dans la culture de l’entreprise. À l’heure actuelle, il n’existe d’ailleurs pas de culture des changements et de la sécurité, puisque ce ne sont pas des préoccupations constantes. Ici, deux visions s’opposent : la sécurité comme étant l’affaire de tous et la sécurité comme étant une affaire personnelle. La sécurité n’est donc pas un outil de mesure des performances, et ne joue pas dans les primes/augmentations des employés. La sécurité ne peut s’appliquer uniquement à coup de règlements ; elle ne doit pas venir que d’en haut.

Cadre législatif : ce qu’il faudra surveiller en 2022

● Les Etats et leurs gouvernants continueront de s’inscrire en faveur d’une surveillance et d’une protection renforcées. Pour preuve, en France, la question cybersécurité est remontée au plus haut de l’Etat qui investit massivement dans la cybersécurité en formant, en créant des campus dédiés, en s’appuyant sur des organisations de lutte contre la cybercriminalité (ANSSI, forces de polices, Cybermalveillance.gouv.fr. Le président Emmanuel Macron a annoncé un plan d’investissement d’un milliard d’euros dédié à la cybersécurité. la création de 1500 postes de « cyber-patrouilleurs » supplémentaires et d’une école de formation cyber pour lutter contre les attaques numériques. Une école de formation sera créée au sein du ministère de l’Intérieur pour former les policiers, les gendarmes et les agents des services de renseignement. En parallèle, les législateurs continueront sûrement de discuter la pertinence de certains éléments, ce qui ralentira le processus.

● Aussi et surtout, comme “on ne peut pas plaire à tout le monde”, ces mêmes législateurs argueront, à tort ou à raison, des éventuelles conséquences négatives pour les grandes entreprises et pour des intérêts partagés par un grand nombre.

● Les entreprises, organisations, dirigeants et, plus généralement, toute personne n’ayant pas de lien direct avec la sécurité, retrouveront un sentiment global de sécurité. La vigilance baissera, ainsi que les dépenses dans l’informatique, notamment la sécurité. Dans ce contexte, le secteur s’expose à au moins une, voire deux autres attaques de grande ampleur, ce qui relancera un nouveau cycle d’inquiétude, de prise de conscience et d’hyper-vigilance dans le monde entier.