Alors que l’année 2016 vient tout juste de démarrer, les experts de Symantec et Norton, éditeurs de solutions de sécurité informatique, partagent leurs prévisions et recommandations pour l’année, voire les années à venir. De nouvelles tendances émergent comme la cyberassurance, qui n’est déjà plus un concept et deviendra clairement une réalité, obligeant particuliers et entreprises à revoir la sécurité de leurs données. Certaines tendances déjà observées devraient se confirmer telles que l’Internet des Vulnérabilités ou la cybercriminalité sur mobile. En revanche, d’autres évoluent. Comme l’extorsion numérique qui devrait toucher de plus en plus d’entreprises, d’administrations et de particuliers. Ou les attaques ciblées et personnalisées avec de nouveaux développements technologiques. Ces menaces imposent une adaptation des particuliers et des entreprises, comme la nécessaire prise en compte des réglementations concernant la vie privée. Enfin, les experts de Symantec ont voulu regarder au-delà de la sécurité et de l’année 2016, avec le développement de la robotique et de la conceptualisation des villes du futur. Revue de détails.
Internet des vulnérabilités. Sans une « sécurité dès la conception » (Security by Design, en anglais), l’Internet des Objets (IoT) restera l’Internet des Vulnérabilités. Un concept que doivent s’approprier les particuliers, les industriels et le secteur de la sécurité. Du côté des particuliers, face à des pirates opportunistes et à l’explosion des appareils connectés, les attaques contre ces derniers sont appelées à se multiplier. Si des offensives à grande échelle ne sont pas à redouter, il convient néanmoins d’avertir les premiers adeptes de ces objets que des attaques ponctuelles de faible ampleur sont à prévoir. Les attaques par liens publicitaires et par Ransomware (rançongiciel) devraient représenter le premier type réel de danger pour les équipements connectés. Quant à celles qui viseront les voitures ou les appareils médicaux connectés, elles constituent une véritable menace à la sécurité et devraient déclencher la mise en place de réglementations sur la responsabilité. Si les certificats électroniques et codes pour signature électronique devront jouer un rôle majeur dans la protection des équipements, la sécurité doit s’inscrire dans la conception de ces appareils.
Quant aux industriels et aux acteurs de la sécurité informatique, malgré les immenses gains de productivité annoncés par l’industrie des objets connectés, les innombrables vecteurs d’attaque créés par ces derniers laissent présager des difficultés. Les interruptions d’activité dues aux attaques externes ou aux pannes informatiques freineront l’adoption et le développement de l’Industrie 4.0. Malgré tout, Symantec et Norton prévoient un mouvement inexorable vers la connectivité. Cependant, les stratégies de protection des données et la télémétrie des menaces (système des mesure des menaces) devront évoluer. Les responsables de la sécurité, maillon indispensable au sein de toute entreprise, adopteront une approche complète de la sécurité pour leur infrastructure informatique ainsi que des couches de protection dédiées.
Sécurité dès la conception. Les prochaines années seront marquées par l’intégration du principe de »Sécurité dès la conception » (Security by Design) dans les modes de production des nouvelles technologies. Que ce soit pour le développement de Smart Cities, de Smart Grid, d’infrastructures ou de robots intelligents qui endosseront des rôles de plus en plus importants dans notre quotidien, nous devrons veiller à sécuriser leur programmation, leur mise à jour et leur identification.
Données personnelles. Qu’en est-il d’ailleurs de la protection des données dans les accessoires connectés ? Ces dernières années, l’indifférence et la commodité ont dominé la bataille pour la confidentialité. Le débat sera d’autant plus houleux que ces accessoires connectés tendent à se démocratiser. Alors que les données collectées sont de plus en plus nombreuses et que la concurrence se durcit dans le domaine des systèmes et des équipements, les clients, entreprises et institutions vont-ils commencer à se poser les bonnes questions? A savoir : où vont mes données ? À quelles fins sont-elles utilisées ? La sécurité est-elle garantie ? Il y a une impérieuse nécessité à revoir la sécurité de ses données en adoptant les bons comportements.
Cyberassurance. Face à la recrudescence des attaques en 2015, la cyberassurance pour les entreprises et les particuliers est inéluctable. L’utilisation du préfixe « cyber » et de clauses spécifiques vont se généraliser. Les assureurs n’hésiteront probablement pas non plus à inviter particuliers et entreprises à adopter des pratiques de sécurité pour limiter leur exposition aux attaques. Du côté entreprises, cela se traduira par des processus de formation du personnel. Côté particuliers, cela impliquera une plus grande vigilance à l’égard des contenus partagés et des destinataires. « Au final, ce nouveau développement dans le secteur des assurances permettra d’encourager les pratiques de sécurité », confirme Laurent Heslault, directeur des stratégies de sécurité de Symantec Europe du Sud.
Renforcement des lois. La future directive européenne sur la protection des données transformera clairement la gouvernance des données dans l’Union européenne. Les entreprises doivent respecter de nouvelles exigences en matière de traitement des données personnelles et des règles de conformité plus strictes seront introduites. L’enjeu est de taille, même pour les mieux informées, et apporte son lot de questions sur les nouveaux processus de gestion des informations et l’augmentation des coûts. Mais ces mesures sont indispensables pour pouvoir exploiter tout le potentiel d’Internet et des nouvelles technologies et assurer la protection des données confidentielles.
Évolution des menaces. Le degré de sophistication jusqu’ici associé aux attaques financées par les États se retrouvera dans celles menées par les loups solitaires. Le nombre de groupes malveillants organisant des attaques extrêmement complexes et ciblées dissipera la frontière entre les actes courants de cybercriminalité et les attaques ciblées. De plus en plus de conflits émergeront de cette cybercriminalité avec la multiplication d’acteurs motivés par des ambitions politiques.
Attaques personnalisées. Les attaques visant les gouvernements et les entreprises seront de plus en plus ciblées, en raison du professionnalisme croissant des groupes d’attaquants. Pour ne pas être repérés et contourner les systèmes de sécurité, ces derniers réaliseront des attaques bien définies. Pour chaque victime, ils exploiteront un serveur unique, des logiciels malveillants inédits et différents vecteurs d’attaque. Tout cela en compliquera la détection par le simple partage d’indicateurs de compromission (IOC) et nécessitera des méthodes de corrélation avancées entre les différents secteurs d’activité et pays.
« Les groupes d’attaquants réussiront de mieux en mieux à couvrir leurs traces et à brouiller les pistes. Ils renforceront la sécurité opérationnelle de leur infrastructure back-end pour éviter de se faire prendre et compliquer l’identification des données volées. Pour contrer toute tentative de détection anticipée, les communications seront cryptées au moyen du standard SSL. Des chevaux de Troie courants seront déployés pour se fondre dans le paysage de la cybercriminalité classique », explique Candid Wueest, chercheur en cybercriminalité chez Symantec. « Cette évolution favorisera l’ouverture et la collaboration dans le domaine de l’analyse de la sécurité. Certes, il faudra du temps pour que tout cela se mette en place mais l’année 2016 devrait être marquée par une augmentation du partage de données anonymes issues de la télémétrie des menaces. Des partenariats intéressants verront alors le jour », commente Darren Thomson, directeur technique de Symantec pour l’Europe, le Moyen-Orient et l’Afrique.
Recrudescence des rançons numériques. « Les tentatives d’extorsion seront de plus en plus fréquentes. Outre l’aspect lucratif, ce type d’attaque est relativement simple à mettre en œuvre et peut être utilisé à des fins vindicatives. Les « crypto-ransomwares », qui permettent de soutirer de l’argent aux victimes en échange de données piratées, se développeront. Les menaces de diffusion publique vont également se multiplier. Elles seront similaires aux dernières attaques du ransomware Chimera ou aux cas de chantage survenus après la faille Ashley Madison. Le chantage justement devrait prendre davantage d’ampleur du côté des entreprises. Les attaquants les menaceront de divulguer leurs données ou de les utiliser à mauvais escient si elles ne leur versent pas une certaine somme d’argent », reprend Candid Wueest.
Brèche dans la protection mobile. Le nombre de variantes dans chaque famille de logiciels malveillants sur les smartphones de la plate-forme Android restera élevé ou continuera de progresser. Mais les entreprises réagiront. De plus en plus sophistiqués (jetons d’authentification, applications d’entreprise, systèmes de paiement, etc.), les terminaux mobiles constitueront une cible de choix pour les pirates. Les contrôles seront renforcés sur les marchés des applications bureautiques, notamment pour empêcher le piratage des fonctions Système.
L’authentification mise à mal. En raison des nombreuses failles décelées en 2015, les entreprises reconnaissent que le système d’authentification actuel basé sur la combinaison identifiant/mot de passe est devenu obsolète et doit être rapidement abandonné. L’authentification à deux facteurs, qui exige une information que seul le véritable propriétaire connaît (un mot de passe, par exemple) mais aussi une information que lui seul est censé détenir (un numéro de téléphone portable, par exemple) va se démocratiser. Même si cette méthode obligera l’utilisateur à retenir une multitude de combinaisons d’identifiants. La biométrie commencera également à évoluer et à offrir des solutions plus complètes et plus abouties. Les empreintes digitales ne seront plus la panacée. Les systèmes d’identification par électrocardiogramme (ECG) et par reconnaissance des veines de la main se développeront.
Au-delà de 2016 et de la sécurité. Les robots qui nous assisteront largement dans les dix années à venir sont en cours de conception. Le principe de »Sécurité dès la conception » devrait leur être appliqué afin de sécuriser leur programmation, leur mise à jour et leur identification mais aussi leur production et l’environnement dans lequel ils évolueront. Ce principe devrait également permettre d’éviter toute attaque potentielle sur le long terme.
Eliane Kan
Commentez