Puis, en mars, une nouvelle souche de logiciels de rançon, LockerGoga, a infecté l’un des plus grands producteurs d’aluminium au monde, Norsk Hydro. Les conséquences furent suffisamment graves pour interrompre le système d’automatisation pendant plusieurs jours et forcer le passage en mode manuel. Résultat : l’entreprise a dû acheter plusieurs centaines de nouveaux ordinateurs. La société a annoncé au mois d’avril le montant qu’il lui faudrait débourser pour réparer les dommages causés par l’attaque : au moins 52 millions de dollars.

En mai, la ville de Baltimore aux Etats-Unis a été la cible de hackers qui ont gelé plusieurs milliers d’ordinateurs de la ville et exigé une rançon de 76 ?000 $ en bitcoins. La ville n’a pas payé, mais l’attaque lui a coûté 18 millions de dollars, avec des conséquences sur de nombreux systèmes essentiels — perturbations du service de messagerie des employés, interruption de la facturation de l’eau et même, suspension des transactions immobilières. Début octobre, la ville a par ailleurs contracté une police d’assurance contre le cyberrisque de 20 millions de dollars.

Pendant l’été, l’état du Texas a été fortement touché par une vague d’attaques au rançongiciel contre 23 entités gouvernementales locales ciblées. Si l’État a refusé de céder au chantage des agresseurs lors de leur attaque du mois d’août, l’incident a tout de même coûté au bas mot 12 millions de dollars.
Début octobre, des révélations ont fait état d’une attaque massive lancée contre que plusieurs hôpitaux de l’État de l’Arkansas. Les hackers ont chiffré les fichiers et restreint l’accès aux systèmes informatiques du Centre médical régional du système de santé DCH, du Northport Medical Center et du Fayette Medical Center. Le personnel médical a dû passer en mode manuel et se fier aux dossiers papier plutôt qu’aux dossiers numériques pendant la réparation du système informatique.

Suite à cela et à d’autres activités malveillantes, le département de la Défense des États-Unis (DoD) a récemment publié un rapport très attendu sur un nouveau projet de normes de cybersécurité. Ce projet vise à renforcer les règles que les sous-traitants de la fonction publique doivent respecter afin de se protéger des hackers. D’après FedScoop, le DoD devrait publier la version définitive de son référentiel de normes de cybersécurité en janvier.
À quoi peut-on s’attendre en 2020 ? Seul l’avenir nous le dira. En attendant, nous avons demandé à certains des esprits les plus brillants de GlobalSign de nous livrer leurs pronostics.
Lila Kee, Directrice générale de GlobalSign, Amériques

Le nombre de communautés de confiance autour des infrastructures PKI privées devrait augmenter

Face au succès croissant des infrastructures à clés publiques (PKI) dans les entreprises et les communautés d’intérêts fermées pour permettre une authentification forte des utilisateurs et dispositifs, le nombre de PKI hébergées par des entreprises privées devrait augmenter. Les navigateurs et les programmes de magasins de racines publiques continueront à servir de socle de confiance publique pour les sites de commerce électronique (SSL/TLS), les exécutables associés à des applications externes (signature de code) et les e-mails sécurisés (S/MIME) où les identités sont validées par les clients de messagerie, les navigateurs et les systèmes d’exploitation les plus connus. Les usages traditionnels et émergents auront cependant de plus en plus besoin de confiance privée :
• Authentification des utilisateurs d’accès à distance
• Authentification des équipements (IoT, mobiles, machines)
• DevOps — à la fois SSL et signature de code
• Signatures numériques associées aux consortiums, secteurs d’activité et gouvernements

Dans un contexte porteur pour le cloud computing, l’hébergement de ces PKI privées sera orienté vers le cloud par des fournisseurs d’AC qui apporteront leur expertise en matière de sécurité, d’agilité de certificats et de performance. En allégeant la pression financière, ces fournisseurs d’AC en mode cloud contribueront à lever les réticences de ces organisations et communautés privées à investir.
Lancen LaChance, Vice-président, Solutions IoT

L’informatique quantique n’est pas encore une menace de risque réel. Ignorez le battage médiatique.

Les entreprises parlent de plus en plus d’informatique quantique, y compris Google. Or, dans les faits, si le « quantique » aura bien un impact sur notre secteur, ça ne sera pas en 2020, et certainement pas avant au moins une bonne décennie. Beaucoup de questions restent en suspens : Quel est le meilleur algorithme pour la résistance quantique ? Personne n’a la réponse et tant que le secteur ne sera pas parvenu à un consensus, aucune solution quantique ne sera mise en place.

Nous n’occultons pas pour autant l’informatique quantique et ne refusons pas de réfléchir à ses perspectives pour l’avenir — nous y pensons, bien entendu. Mais en attendant, c’est sur la cryptoagilité que nous nous concentrerons, car le sujet devrait faire davantage s’inviter dans les discussions autour de la sécurité.
Nisarg Desai, Director, Solutions IoT

Les IoT connaissent un succès croissant, mais le manque de sécurité continue à poser problème

L’Internet des Objets est un succès, mais le manque de sécurité retarde un certain nombre de déploiements. En 2020, les fournisseurs de services cloud fourniront ou s’associeront à des sociétés de sécurité pour fournir à leurs clients les moyens de provisionner et de gérer de manière sécurisée leurs équipements, ainsi qu’un écosystème IoT général sécurisé.
Sur le volet réglementaire, je m’attends également à ce que l’Union européenne continue à ouvrir la voie, notamment sur le sujet de la fabrication et des déploiements d’IoT, même si les États-Unis devraient progressivement entrer dans la danse. Malheureusement, les attaques, les violations et les piratages contre les IoT vont aussi se poursuivre. À cela s’ajoute le fait que les normes de sécurité ne seront pas respectées et que le pourcentage d’équipements sécurisés ne devrait pas augmenter. Pourquoi ? Les fabricants d’équipement d’origine (OEM) ne sont toujours pas disposés à en supporter les coûts ou à les répercuter sur les consommateurs, de peur de perdre des ventes.
Diane Vautier, directrice du marketing IoT

La santé restera une cible prioritaire de cyberattaques

L’introduction de dispositifs de santé connectés à l’Internet des Objets et la valeur élevée des informations contenues dans les dossiers médicaux partagés (DMP) créent une surface d’attaque unique absolument irrésistible pour les pirates informatiques. C’est une manne lucrative en plein essor. Pour les chercheurs et les prévisionnistes, les IoT dans le domaine de la santé vont poursuivre leur croissance rapide.
Mais avec plus d’appareils, le nombre d’attaques est potentiellement plus élevé. D’après le magazine Health IT Security, « la majorité des organismes de santé, des fabricants d’objets connectés (IoT) et des entreprises qui exploitent des IoT ont déjà subi une cyberattaque sur leurs IoT au cours des 12 derniers mois ». Le phénomène concerne des entreprises en Allemagne, au Royaume-Uni, aux États-Unis, au Japon et en Chine.
Ces attaques et leurs coûts mettent tout le monde en alerte. Les fabricants de dispositifs médicaux et les organismes de santé chercheront à réduire la surface d’attaque. Les plateformes d’identités traditionnelles basées sur des PKI leur apporteront un certain soulagement, en fournissant des identités uniques aux appareils permettant d’authentifier les utilisateurs, les dispositifs, les réseaux et les passerelles. Ces identités propres aux équipements forment alors un réseau d’identités de confiance qui garantit la sécurité des échanges.
Patrick Nohe, Responsable marketing produit Senior

L’abandon des protocoles TLS 1.0 et TLS 1.1 sur Internet ne se passera pas aussi bien que prévu.
Espérons que cette prédiction s’apparente en définitive plutôt à un cri d’alarme qu’à une vision prémonitoire de l’avenir. Mais au printemps dernier, dans une annonce conjointe assez inédite, certains des plus grands acteurs d’Internet comme Google, Mozilla, Microsoft et Apple ont annoncé leur décision d’abandonner la prise en charge des versions 1.0 et 1.1 du protocole TLS devenues obsolètes. Malheureusement, l’actualité SSL ne fait pas la une très longtemps et depuis, l’abandon des protocoles n’a pas suscité de débat particulièrement passionné.

Début 2019, près du quart des 100 ?000 premières unités d’Alexa n’était pas encore compatible avec le TLS 1.2. Mais au-delà de ça : les applications Web et mobiles utilisent aussi le SSL/TLS. Par conséquent, une fois la date d’abandon officiel arrivée, nul besoin d’être devin pour annoncer que des milliers de sites Web et d’applications seront inutilisables sur les ordinateurs fixes et les téléphones. La décision de décommissionner les anciennes versions du protocole est une bonne décision. Mais face aux changements technologiques à venir, la concertation semble difficile au niveau sectoriel sur les modalités qui permettraient de faciliter et de simplifier ces transitions. J’espère que l’abandon du TLS 1.0 et 1.1 ne viendra pas renforcer ce triste constat.
Lea Toms, Directrice Marketing, EMEA’

Attendez-vous à une augmentation des piratages de données biométriques
Si le piratage des mots de passe non chiffrés et des données personnelles est toujours une mauvaise nouvelle pour les victimes, les dégâts sont, dans une certaine mesure, réparables. Demain, on parlera davantage de cas de piratage des données biométriques et des conséquences pour les entreprises et les particuliers. Une fois que des données biométriques ont été exposées, il n’y a aucun moyen de les modifier. Vous pouvez mettre à jour votre mot de passe, mais pas votre empreinte digitale. Vous pouvez changer d’adresse e-mail, mais vous ne pouvez pas changer vos yeux. Les entreprises vont devoir prendre les devants et en faire plus pour protéger les informations les plus sensibles et les plus personnelles, à savoir les données biométriques ! Je m’attends à des amendes record pour les entreprises qui feront l’objet de piratage de données biométriques. Les récits de victimes de tels actes de malveillance vont se multiplier. Il sera de plus en plus important de protéger les données à l’aide d’une combinaison de deux ou plusieurs types d’informations — avec un mot de passe ou un code PIN modifiable en plus des informations biométriques permanentes.