Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité : les prévisions pour 2021

décembre 2020 par GlobalSign

De nouveaux records ont été franchis en 2020. Malgré la pandémie qui s’est abattue sur le monde sans que personne n’ait rien vu venir, la plupart de nos prévisions de cybersécurité pour 2020 se sont réalisées. Étonnant ! Nous n’aurions en effet pas imaginé que #Coronavirus arriverait en tête des recherches Internet en 2020. Nous avions en revanche prévu le succès croissant du DevOps et des outils DevSecOps.

Ces derniers ont en effet profité de l’essor des applications développées pour accompagner la transformation numérique du secteur marchand. Les dispositifs médicaux et les structures de santé ont également été victimes d’un nombre inédit de cyberattaques. Quant à l’informatique quantique, même si des progrès ont sans doute été accomplis par rapport à l’an dernier à la même époque, il reste encore du chemin à parcourir.

Et ensuite ? Difficile de savoir tant nous vivons une époque étrange et remplie d’incertitudes. Nous avons interrogé quelques-uns de nos experts maison pour savoir quels enseignements l’on pouvait tirer de ces derniers mois de montagnes russes et avoir une idée de ce à quoi nous attendre en 2021.

Sortir des sentiers battus pour commencer à résorber la pénurie de ressources Lila Kee — Chef de produit
Pour combler rapidement la pénurie de talents dans le domaine de la cybersécurité, des mesures concertées seront mises en place pour recruter, intéresser et mentorer des profils aux parcours non conventionnels. Les femmes et les personnes issues des minorités sont, à ce titre, particulièrement concernées. Pour attirer des candidats sans formation classique en cyber intelligence, les recruteurs mobiliseront les communautés de professionnels de la cybersécurité, mais aussi des organismes du secteur public et privé. Tous ont conscience des atouts qu’offre un tel vivier de talents, souvent inexploité, pour pourvoir de nombreux postes vacants. Pour les responsables cybersécurité, l’intérêt d’un tel investissement est double : d’une part, les entreprises conservent leurs collaborateurs, en fidélisant les talents, et de l’autre elles recrutent des personnes extrêmement motivées. La démarche permet de combler le manque criant d’expertise pour couvrir le champ cyber. Devant l’ampleur de la pénurie, les organisations sont fragilisées. Celles-ci sont alors exposées à des problèmes de conformité, notamment sur les sujets liés aux réseaux d’infrastructures critiques, aux informations d’identification personnelle (IIP) et à la protection des adresses IP. Autre conséquence : l’absence de personnels compétents à des postes clés fait naître des vulnérabilités de sécurité bien réelles.

Arvid Vermote — RSSI
Les deepfakes vont continuer à déstabiliser le paysage des identités en ligne En 2021, les deepfakes – ces vidéos truquées à l’IA – et d’autres formes sophistiquées d’usurpation et de fraudes à l’identité continueront sur leur lancée. Ces nouvelles techniques rendent la supercherie quasiment impossible à repérer dans les vidéos et les enregistrements vocaux trafiqués. Les humains vont donc devoir se former en profondeur pour être en mesure de distinguer le vrai du faux. Il nous faut en réalité innover pour créer des outils de prévention et de détection à la hauteur de ces techniques d’attaque actuelles. Les dispositifs de vérification et d’authentification de l’identité, comme les infrastructures à clés publiques et les autorités centrales d’identité (à savoir les autorités de certification), seront en première ligne pour contrôler que les identités numériques fortes ne sont délivrées qu’aux détenteurs légitimes de ces identités.

Le Zero Trust gardera le rythme
Présent depuis dix ans dans le monde de la sécurité informatique, le concept d’architecture Zero Trust commence enfin à faire parler de lui, notamment depuis la publication spéciale du NIST SP-800-207 en août dernier. Cette dynamique va se poursuivre l’an prochain. Dans le domaine de la cybersécurité, le principe du « Zero Trust » consiste à ne faire confiance à rien ni personne. L’accent est mis sur la légitimité de l’utilisateur, que l’on établit grâce à l’authentification multi facteur, plutôt que la catégorie à laquelle il appartient. Dans une démarche Zero Trust, on ne cherche pas à savoir si l’utilisateur est un client en ligne ou un employé qui utilise le matériel de l’entreprise, ou le sien pour effectuer son travail. Il importe peu de connaître sa localisation et de savoir s’il se trouve au bureau ou chez lui.

Laurence Pauling — Vice-président des opérations Monde
Le paradigme mondial du travail à distance exigera que les équipes informatiques et de cybersécurité conçoivent de nouveaux produits Alors que petites et grandes entreprises continuent à s’adapter à la culture du « télétravail par défaut », les équipes IT et cybersécurité vont devoir élaborer des outils entièrement nouveaux pour gérer et surveiller la sécurité. Le choc ressemblera au séisme du BYOD (Bring Your Own Device) il y a dix ans… mais en sens inverse : il s’agira ici de matériel contrôlé par l’entreprise et utilisé dans un environnement physiquement et logiquement dangereux. Par conséquent, une refonte totale du paradigme de sécurité s’impose. Si certaines entreprises ne sont pas concernées, les autres (notamment les grands groupes qui ont toujours considéré leur périmètre comme étant vaste et fixe) vont devoir entièrement repenser leurs contrôles et leurs processus. Attention à ne manquer aucune étape lors de cette mue, car les cybercriminels ne feront pas de quartiers. Ce nouveau monde s’apprête à accueillir en bonne place les signatures numériques de toutes formes en remplacement des signatures manuscrites sur les documents papier. Quant aux certificats sur les e-mails et les appareils, ils joueront également un rôle majeur, prouvant l’identité lorsque l’emplacement physique ne garantit plus la provenance.
La décentralisation de la main d’œuvre se répercutera également sur l’infrastructure interne et SaaS des entreprises. Le transfert de la puissance de calcul à la « périphérie » s’accélérera à mesure que l’efficacité de traitement des grands serveurs centralisés sera remise en cause. On peut espérer que cela se traduise par de nouveaux standards et de nouvelles garanties pour la sécurité du stockage en mode SaaS. Un plus grand nombre d’utilisateurs seraient ainsi en mesure de déplacer en toute sécurité les emplacements de stockage de leurs fichiers/données d’entreprise vers des environnements plus distribués. Avec des ordinateurs portables de plus en plus puissants, mais des connexions Internet plus lentes au domicile qu’au bureau, les modèles d’applications plus classiques (et donc probablement flexibles) devraient revenir en force. Les applications s’exécuteraient principalement sur les terminaux utilisateur, plutôt qu’en périphérie de réseau ou centre de données — de quoi donner encore bien des maux de tête au département informatique !

Lancen LaChance — Vice-président, Solutions IoT
Quatre prévisions pour les IoT en 2021
Avec la reprise économique en 2021, les équipementiers (OEM) et les opérateurs IoT dépasseront de plus en plus la preuve de concept (PoC) et les versions bêta. Ils vont donc pouvoir commencer à planifier des opérations complètes. Alors que l’adoption des IoT entre dans une nouvelle phase, les questions d’échelle deviennent un enjeu clé. Les équipementiers et opérateurs IoT pourront compter sur les plateformes IoT basées sur le cloud et les fournisseurs de sécurité pour atteindre les échelles et la rentabilité requises. Les problématiques IoT, devops et infosec vont se télescoper et engendrer des débats houleux marqués par des exigences déconnectées, mais connexes. Une entreprise qui englobe tous les domaines voudra économiser sur ses coûts et unifier sa posture de sécurité. Mais plusieurs facteurs comme l’hétérogénéité des entrepreneurs, le cloisonnement des technologies et l’émergence de nouveaux modèles de réussite viendront compliquer l’unification. Avec l’expansion de l’automatisation des processus robotiques en entreprise, les travailleurs de la connaissance gagneront en efficacité. Cette évolution se heurtera cependant à des obstacles sur le plan de la sécurité et soulèvera des interrogations. On se demandera ainsi comment gérer les identités et les accès des robots à grande échelle conjointement à ceux de leurs homologues biologiques.

Enfin, après le chaos électoral autour du système de vote par correspondance aux États-Unis, les moyens de mettre à niveau les technologies existantes à l’aide de systèmes sécurisés de vote électronique à distance connaîtront un regain d’intérêt.

Patrick Nohe, Responsable marketing produit Senior
La dépendance accrue au commerce en ligne incitera les cybercriminels à intensifier leurs efforts
Le Covid-19 a eu des répercussions vastes et immédiates sur nos modes de travail et nos interactions. En 2021, le succès du commerce en ligne et notre dépendance vis-à-vis de ce nouveau canal d’achat devraient perdurer. Ce sera là l’un des effets résiduels majeurs de la pandémie. Essentiellement ressenties par les personnes plus âgées, les barrières technologiques à l’entrée ont été balayées lorsque des pans entiers de la population se sont retrouvés isolés et confinés pendant la crise sanitaire. Subitement, commander du papier hygiénique sur Amazon n’était plus si ridicule.
Nous retournerons, dans une certaine mesure, en magasin lorsque nous nous sentirons à nouveau en sécurité. Toutefois, les choses ne reprendront pas leur cours normal ; celui d’avant le Covid, et les cybercriminels en profiteront probablement pour intensifier leurs actions dans cette sphère. Cela semble logique au vu de la fréquentation record des sites marchands, où de nombreux acheteurs se précipitent la fleur au fusil. Pour les cybercriminels, c’est du pain bénit. Ils exploitent ainsi les dernières modifications apportées aux navigateurs, comme la minimisation visuelle des signes de confiance dans leurs interfaces utilisateur, mais pas seulement. En effet, les pirates n’hésitent pas à se procurer des certificats SSL gratuits, très accessibles au demeurant, pour donner à leurs sites une apparente légitimité. Et sur les écrans de nos terminaux mobiles, la mise en avant des signes de confiance accroît leur force de persuasion…

On comprend donc l’importance qu’il y a à sensibiliser le public à la fraude et à inciter à la vigilance sur les sites marchands pour que les consommateurs sachent distinguer le bon grain de l’ivraie.

Mohit Kumar — Chef de produit du service de signature numérique
La pandémie va imposer une transformation numérique à l’échelle planétaire assortie d’un renforcement des réglementations
La pandémie a obligé les entreprises à hâter leur transformation numérique. En cherchant à accélérer l’adoption de processus numériques, elles se tourneront vers des formes de standards plus performants, plus sûrs et plus fiables. Élément intrinsèque de toute transformation numérique, la signature de documents séduira davantage d’entreprises qui, en adoptant des signatures numériques basées sur une PKI, se délesteront du poids de la conformité dans divers pays.
Pour élaborer leurs lignes directrices, les autorités de régulation des quatre coins du globe seront encore plus nombreuses en 2021 à s’inspirer du modèle de l’eIDAS — un règlement spécifique de l’UE qui donne aux signatures numériques une place plus importante en termes de garantie et de valeur juridique. C’est déjà le cas déjà cette année en 2020 dans plusieurs régions du monde, comme certains pays d’Amériques du Sud. Devant la nécessité d’accélérer la transformation digitale et de faciliter l’adoption des pratiques numériques, les entreprises de certaines économies conservatrices seront également contraintes de s’ouvrir à des solutions de signature basées sur le cloud.

James Whitton — Directeur de programme, EMEA
Si vous n’avez pas encore eu de téléconsultation ni reçu de prescription électronique, vous y aurez sûrement droit en 2021 Avec la propagation mondiale du Covid-19, de plus en plus de rendez-vous médicaux non urgents auront lieu à distance. L’utilisation de prescriptions électroniques assorties de signatures électroniques avancées ou qualifiées (AES ou QES) permettra de réduire le nombre de points de contact pour les patients potentiellement malades. Cette mesure permettra aux patients de recevoir leurs médicaments sans avoir à se rendre chez leur médecin ou en pharmacie. Les porteurs asymptomatiques du Covid qui n’auront pas été testés n’auront pas besoin de se déplacer en cabinet médical où ils risquent de propager le virus. Quant aux patients fragiles non infectés, ils auront moins besoin de se rendre dans des lieux susceptibles d’être « à risques ». Facile à mettre en œuvre pour les prestataires de santé et universellement accepté par les pharmaciens, ce changement devrait être adopté à grande échelle à partir de 2021. Alors que les mutations qui s’opèrent à marche forcée dans la santé sont en passe de devenir la nouvelle norme, les prescriptions électroniques et les téléconsultations ont un rôle déterminant à jouer. Elles contribueront à réduire la surmortalité sans rapport avec le Covid et les nombres de décès actuellement élevés, qui frappent les personnes qui ne se font pas soigner par peur d’être infectées.

Lea Toms – Responsable marketing EMEA
La formation à la cybersécurité sera plus que jamais nécessaire Près de 70 % des professionnels IT et de la sécurité perfectionnent leurs compétences cyber en dehors de leur travail, et 43 % des employés manquent de formations régulières à l’hygiène numérique. Les chiffres cités dans ces articles sont éloquents. Ainsi, plus qu’un standard commun à l’échelle des organisations, les compétences en sécurité résultent davantage d’initiatives personnelles des employés, ce qui n’est pas si surprenant. L’année 2021 marquera-t-elle un tournant dans la formation à la cybersécurité pour les entreprises et leurs personnels ?

À l’heure où – Covid-19 oblige – le télétravail s’est imposé aux petites et grandes entreprises, beaucoup se sont retrouvées au pied du mur et ont dû relever leur niveau de jeu en matière de cybersécurité. L’intérêt pour l’authentification à distance s’est accru, de nombreux processus hors ligne ont dû migrer vers des canaux numériques… et plusieurs organisations ont été agréablement surprises par l’efficacité de leurs employés en télétravail. Certes, c’est encourageant, mais certains principes de sécurité de base demeurent un mystère pour bien des collaborateurs. C’est notamment le cas pour :

• Le repérage des tentatives d’hameçonnage
• La gestion sécurisée des mots de passe
• L’authentification multifacteur
• Le signalement d’activités suspectes

S’ils ont accéléré la transformation numérique, la pandémie et le travail à distance ont également contribué à la prolifération des données et multiplié le risque de cyberattaques. En 2021, on observera une augmentation des investissements dans la cybersécurité et des actions de formation dans ce domaine. Car une main d’œuvre compétente et bien formée constitue le point de départ d’une sécurité plus efficace.

Diane Vautier — Responsable du marketing produit IoT, Amérique du Nord
Les opérateurs de réseaux d’IoT s’adresseront aux fabricants d’équipements IoT pour la fourniture d’identités uniques et sûres
Le nombre et le niveau de sophistication des attaques malveillantes contre les systèmes IoT sont en hausse. Les pirates sont intelligents et possèdent les compétences nécessaires pour exécuter des attaques complexes qui atteignent leurs objectifs et leur permettent d’accéder à des données lucratives, voire de prendre le contrôle des appareils. En 2021, les opérateurs de réseaux et de systèmes IoT chercheront à protéger leurs écosystèmes contre ces attaques. Ce sera plus particulièrement le cas des réseaux et des systèmes à forte valeur ajoutée ou à infrastructures critiques. Ces opérateurs se concentreront sur la sécurisation de leurs équipements – principal point d’attaque – à l’aide d’identités d’appareils pouvant être sécurisées par une authentification PKI basée sur des certificats. Ils s’adresseront alors aux fabricants d’équipements IoT pour la fourniture d’identités uniques et sûres dans le cadre du build du produit. Ils pourront même demander aux fabricants de puces d’inclure des identités attestables au niveau des puces/TPM (Trusted Platform Module) qui s’intègrent à la PKI afin de protéger le composant auquel elles sont intégrées, ou bien l’appareil entier, tout au long de son cycle de vie.




Voir les articles précédents

    

Voir les articles suivants