Face à un contexte économique complexe, Fortra constate une érosion et une fatigue autour de la sécurité au sein des entreprises : « Alors que les Directions s’inquiètent du contexte économique en 2023, les incessantes tentatives d’attaques des cyber assaillants épuisent les entreprises qui luttent pour maintenir leur niveau de sécurité. Plus que jamais, les offres de sécurité managées dans les domaines de la prévention de pertes de données (DLP), de la surveillance des fichiers, de la messagerie électronique, du MDR (détection et réponse à incident managée) et de la gestion des risques numériques se démocratisent. En effet, les équipes de sécurité ne peuvent plus répondre à leurs besoins de gestion. Les CISO réalisent que c’est le moment opportun pour se tourner vers une offre managée. Tom Huntington, Executive Vice President of Technical Solutions.
 
Des services managés qui doivent englober des outils de sécurité mais aussi des pratiques plus spécifiques insiste Donnie MacColl, Senior Director of Technical Support / GDPR Data Protection officer, « Tout comme pour les opérations il y a quelques années, l’externalisation du management de la sécurité va se démocratiser. Les organisations se rendent compte que l’IT mobilise des ressources sur des tâches éloignées de leur cœur de métier, au regard de la sécurité et de la protection des données, difficiles à maintenir. En outre, les services managés de sécurité finiront également par englober la gestion des vulnérabilités, la détection et la réponse à incident, les tests de pénétration et le Red Teaming, des services proposés plutôt selon un modèle à la demande en fonction des besoins.
 
Notamment dans un contexte où l’utilisation l’open source se banalise ce qui accroît d’autant la surface d’attaque affirme Tom Huntington, Executive Vice President of Technical Solutions : « L’augmentation du nombre d’organisations déployant des logiciels libres dans le monde augmente la surface d’attaque au profit des hackers qui cherchent des failles dans des modules mal conçus. Les résultats des scans de vulnérabilité et des pentests doivent être pris au sérieux pour trouver les vulnérabilités dans le code fragilisant les entreprises. Des processus d’automatisation du déploiement de correctifs par le biais de RPA (Automatisation Robotisée des Processus) peuvent contribuer à pallier le manque de personnel. »
 
Une stratégie qui va dans le sens de l’adoption d’une politique Zero Trust. « La notion de gestion de la surface d’attaque, explique John Grancarich, EVP, Strategy, va évoluer vers la gestion de la surface critique. Nous connaissons tous le terme "gestion de la surface d’attaque", qui consiste à évaluer et à améliorer en permanence la sécurité des actifs d’une organisation. Cependant, cela ne correspond pas à la manière dont la valeur est créée dans ladite organisation - par exemple, un serveur de test de développement dans un bureau distant a-t-il autant de valeur que la propriété intellectuelle associée à la nouvelle invention d’une entreprise ? Les organisations passeront d’une approche du type "combien puis-je protéger" à une approche du type "qu’est-ce qu’il est le plus important à protéger en priorité ?", améliorant ainsi l’allocation de ressources et la préservation de la valeur. L’architecture "Zero Trust" jouera un rôle essentiel dans cette évolution. »
 
A l’instar de la sécurité, la gestion des données elle-même revêt en 2023 une importance capitale. Pour Wade Barisoff, Director of Product - Data Protection, il faut en 2023 centrer la sécurité sur les données : « Lorsque les entreprises ont commencé à collaborer avec des fournisseurs de services Cloud, leur réflexe naturel a été d’étendre ce qu’elles avaient l’habitude de faire : contrôler les accès aux conteneurs stockant les données plutôt que de contrôler les données elles-mêmes. Avec la généralisation de l’usage du Cloud, les entreprises se sont retrouvées avec d’importants volumes de données mal compris, dans des environnements avec un certain contrôle d’accès. Aujourd’hui, les organisations se concentrent sur l’accès aux données plutôt que sur les conteneurs car c’est une notion plus facile à appréhender par les métiers. Les outils qui aident à sécuriser les données, indépendamment de leur lieu de stockage font l’objet d’une attention toute particulière. En effet, les listes de contrôle d’accès à ces ressources sont de nos jours poussées vers le Cloud alors qu’elles se sont avérées faillibles depuis des décennies. »
 
Et pour que cela soit possible, il faut qu’un effort de normalisation de la classification des données soit réalisé dès 2023, afin d’assurer une interopérabilité de leur protection. « Au cours de la dernière décennie, la classification des données a connu une adoption lente, voire nulle, demeurant l’apanage des organisations gouvernementales notamment militaires. La classification des fichiers est, pour la plupart, une voie à sens unique, où les labels et autres balises n’ont de sens que pour celui qui a créé les données. Et lorsque ces dernières sont partagées, ces classifications perdent de leur sens pour toute autre organisation extérieure. De nombreux comités (le NIST notamment) discutent d’une normalisation des labels pour en étendre la valeur au-delà des seules frontières d’une entreprise. Ainsi des entreprises issues d’un même secteur d’activité pourront déployer une protection adaptée aux données partagées, évitant de multiplier les labels afin de permettre aux outils de prévention de perte de données d’agir efficacement. »
 
 
Des outils DLP qui seront indispensables pour assurer une conformité aux entreprises qui évoluent dans le Cloud comme le précise Nick Hogg, Director of Technical Training, « Les organisations vont profiter de la transformation numérique et de leurs initiatives de migration vers le cloud pour réévaluer leurs politiques DLP et de conformité existantes. L’objectif est d’assurer une protection plus forte des données sensibles et de répondre aux exigences réglementaires, tout en remplaçant une infrastructure et des politiques complexes pour réduire les frais généraux de gestion et les interruptions des processus métier critiques. Il est important de collecter des données pour renforcer la confiance dans les initiatives stratégiques et de s’assurer que les modifications apportées aux politiques et aux systèmes n’aient pas d’impact négatif sur les processus opérationnels notamment en matière de risques. »
 
 
Pour que les stratégies de sécurité mises en place soient efficaces en 2023, les entreprises doivent revoir leur copie en matière de sensibilisation à la sécurité pour Nick Hogg, « Les organisations réévalueront leurs programmes de sensibilisation et de formation à la conformité hors des exercices traditionnels du type « box ticking » réalisés une fois par an et peu efficaces. L’objectif est d’offrir une formation continue en conservant la sécurité au premier plan dans l’esprit des collaborateurs, leur permettant de mieux identifier les risques de phishing et de ransomware et ainsi de réduire les erreurs lors de la manipulation de données sensibles. »
 
 
Mais tout aussi important que ces aspects techniques, la sécurité doit être considérée comme un centre de profit et comme un catalyseur de business en 2023 pour Chris Reffkin, CISO. « Les personnes, les processus et l’IT sont tous essentiels à un bon programme de sécurité. Si l’humain et l’IT dépendent de la taille de l’entreprise, toutes les organisations peuvent se concentrer sur leurs processus pour impacter positivement les capacités des programmes de sécurité et obtenir ainsi des bénéfices directs pour toutes les fonctions internes - le support, la fabrication, la conception, les services, la livraison, etc. »
 
 
Prédictions en termes de menaces :
 
Pour Eric George, Director, Solutions Engineering, Digital Risk Protection and Email Security chez Fortra, les principaux risques à surveiller en 2023 sont :
 

Le Phishing As A Service - Les plateformes PaaS simplifient la création et l’exécution d’attaques de phishing par vol d’identifiants. Ces plateformes s’adressent à des pirates peu expérimentés et ont donc le potentiel d’augmenter considérablement le nombre d’intéressés et donc d’attaques.

Des escroqueries par usurpation d’identité plus difficiles à contrer. Elles deviendront plus complexes et plus plausibles. Si 2022 a vu une augmentation substantielle d’usurpations ciblant les marques et les identités personnelles, en 2023, elles augmenteront en volume et en complexité. Nous commençons déjà à voir les possibilités du "deep fake" sur les plateformes de médias sociaux et de l’Open Web, mais à mesure que la technologie s’améliore, ces escroqueries deviendront plus courantes et plus difficiles à combattre

3.Les plateformes MFA ciblées par les hackers
Le durcissement du contexte réglementaire a accéléré le développement de l’authentification multi facteur MFA dans les entreprises. Il est donc probable que les cyber assaillants suivent le mouvement pour potentiellement accéder à d’autres applications d’entreprise.
 
4.Le ciblage des appareils mobiles augmente
Si les attaques par SMS sont beaucoup plus difficiles à suivre et à contrer que celles de phishing traditionnelles, en 2023, ces attaques continueront probablement à augmenter en miroir par rapport à la croissance des smartphones.
 
 

2023, sera-t-elle l’année des escroqueries visant le Web3 et autres plateformes décentralisées (Blockchain par exemple) ? Pour l’heure, peu d’attaques de ce type ont ciblé les grandes marques de manière notable mais ce n’est qu’une question de temps ...