Ce que 2018 peut nous apprendre sur 2019

Des attaques sponsorisées par l’État aux systèmes industriels vulnérables en passant par une pénurie persistante de professionnels de la sécurité, 2018 nous a apporté des violations plus importantes, des attaques DDoS plus importantes et le défi croissant auquel les organisations sont confrontées pour défendre leur infrastructure contre les criminels. Ce fut une année de premières : des attaques DDoS d’une semaine et de plusieurs téraoctets, la surveillance des systèmes compromis pour le minage de cryptomonnaies et des motivations politiques et militaires accrues pour lancer des attaques. Les réglementations obligatoires en matière de protection des données et de confidentialité du RGPD sont également entrées en vigueur, modifiant les droits individuels en matière de protection des données personnelles avec des répercussions dans le monde entier.

Les applications ont notamment été la première cible, en dehors des utilisateurs eux-mêmes, des cybercriminels en 2018 et à l’approche de la nouvelle année, une chose est sûre : ce phénomène restera inchangé. Les applications et leurs utilisateurs resteront exposés à des risques et, à l’approche de 2019, nous devons nous préparer à l’évolution continue de la cybercriminalité.

Voici quelques-uns des principaux domaines dans lesquels nous observons de nouvelles tendances et des risques persistants :

Sécurité du cloud – Une double responsabilité entre le client et le fournisseur de cloud émergera en matière de sécurité des applications, ce qui entraînera une augmentation des services de sécurité gérés.

Il existe une responsabilité partagée pour sécuriser les systèmes dans le cloud. Alors que le fournisseur de cloud est responsable de son infrastructure et des services achetés par un client, la sécurisation de l’application elle-même relève de la responsabilité du client. Alors que de plus en plus d’organisations s’appuient sur des services cloud, les fournisseurs de cloud tracent une ligne pour aider les organisations à comprendre où s’arrête leur responsabilité. La plupart des premières solutions de sécurité cloud ont été conçues par nécessité, mais à mesure que des applications plus critiques migrent vers le cloud, il appartiendra au client de s'assurer que les politiques, la gestion des identités et des accès et d'autres protections de sécurité appropriées sont en place pour répondre aux besoins uniques de ses applications. Il pourrait y avoir une augmentation du nombre de fournisseurs de services de sécurité gérés (MSSP) au cours de l'année à venir, offrant des services nécessaires dont un fournisseur de cloud traditionnel ne dispose pas... avec la tendance continue selon laquelle le personnel de sécurité reste en nombre limité.

La sécurité devient véritablement l’affaire de tous

À mesure que de plus en plus d’unités commerciales (RH, Finances, etc.) déploient leurs services dans le cloud, elles devront elles aussi adopter des mesures de sécurité. Souvent, cela se fait en collaboration avec leur service informatique, ou au moins en suivant certaines « bonnes pratiques », mais nombreux sont ceux qui, en se précipitant vers le cloud, oublieront ou renonceront à la sécurité dans leur quête d’agilité. Pour l’entreprise dans son ensemble, une adoption accrue du cloud signifie une augmentation des budgets pour la sécurité de l’infrastructure cloud, les services gérés, l’IAM, l’analyse du comportement des utilisateurs et les solutions de type orchestration/automatisation.

Les organisations peuvent également chercher à intégrer davantage de sécurité dans le code, mais doivent également tenir compte de la sécurité dans les fonctions DevOps. Quelle que soit la mesure de sécurité (WAF, IPS, IAM, proxy), ces services doivent être pris en compte et testés pendant le développement.

En 2019, davantage de budget sera finalement alloué à la sécurité des applications. C’est une bonne chose puisque toutes nos vies dépendent de ces applications.

IoT – Le nombre d’appareils IoT compromis va augmenter à mesure que les attaquants se concentreront sur la couche applicative, et la détection des robots sera essentielle.

Il existe aujourd’hui des milliards d’appareils connectés et des milliards d’autres devraient le faire dans les années à venir. Beaucoup d'entre eux disposent d'une sécurité intégrée limitée, voire inexistante, ce qui les rend propices à une prise de contrôle. Dans le passé, les botnets IoT n'étaient considérés que comme théoriques jusqu'à l'arrivée de Mirai en 2016 . Aujourd'hui, les ThingBots qui lancent des attaques DDoS sont monnaie courante.

Compte tenu de cela, la défense proactive contre les robots sera cruciale l’année prochaine. Même si vous disposez peut-être déjà d'un pare-feu d'application Web (WAF), de nombreux WAF traditionnels n'offrent pas cette fonction importante et n'ont pas la capacité d'atténuer les menaces évolutives ciblant la couche applicative. Des protections plus avancées sont nécessaires pour faire face aux menaces qui progressent dans la pile d'applications.

La responsabilité de la sécurité de l'IoT peut incomber au fabricant

Pour remédier aux fonctionnalités de sécurité limitées des appareils IoT, la Californie a récemment adopté une loi ( SB 327 ) qui confère davantage de responsabilités aux fabricants. Bien que légère sur les détails spécifiques, elle impose que « à compter du 1er janvier 2020, le fabricant d'un appareil connecté, tel que défini dans ces termes, soit tenu d'équiper l'appareil d'une ou de plusieurs fonctions de sécurité raisonnables, adaptées à la nature et à la fonction de l'appareil, adaptées aux informations qu'il peut collecter, contenir ou transmettre, et conçues pour protéger l'appareil et toute information qu'il contient contre tout accès, destruction, utilisation, modification ou divulgation non autorisés, comme spécifié. »

Il s’agit d’une première étape importante dans la réglementation législative concernant ces appareils pas si intelligents. Cela pourrait également créer un précédent que d’autres États suivront bientôt. La loi oblige les fabricants à révéler les informations/données que l'appareil collecte, contient et transmet. Il faut également que chaque appareil dispose d’un mot de passe unique que les utilisateurs peuvent modifier avant utilisation. Ceci est important car de nombreux appareils IoT compromis n’ont pas de mot de passe ou le mot de passe par défaut est bien connu et donc exploité.

Mobile – La gestion de la mobilité d’entreprise continue de progresser à mesure que de plus en plus d’organisations adoptent une stratégie « Bring Your Own Device ».

Nous ne parlons pas ici de nouveaux modèles d’iPhone, d’Android, de Samsung ou d’autres modèles, mais plutôt de domaines tels que l’accès basé sur des politiques, la biométrie comportementale, la 5G et la mobilité d’entreprise/BYOD.

L'accès basé sur des politiques permettra aux employés utilisant n'importe quel appareil d'accéder aux données tandis que ces données sont protégées par un cryptage ou des conteneurs de travail virtuels et isolés qui peuvent être effacés si l'appareil est perdu, volé ou si un employé quitte l'entreprise.

Les appareils seront également plus performants pour identifier et authentifier le propriétaire. Les logiciels de reconnaissance faciale les plus récents peuvent déterminer les contours du visage ou évoluer pour reconnaître la voix, les mouvements ou le style de frappe de la personne afin de déverrouiller le téléphone. C’est certainement important car de plus en plus de travailleurs accèdent aux ressources de l’entreprise à partir de leurs appareils personnels.

Les individus et la société – L’ingénierie sociale et le phishing continueront d’être des moyens très efficaces de fraude, et la confidentialité deviendra encore plus difficile à saisir.

Le phishing est le vecteur d'attaque numéro 1 selon les recherches sur les menaces de F5 Labs. Les tactiques d’ingénierie sociale ont rendu les escroqueries par phishing beaucoup plus sophistiquées et difficiles à repérer. Les attaquants profitent du piratage grâce à la monétisation, ce qui détermine le type et la fréquence des incidents qui se produisent. Souvent, les attaques de phishing sont un moyen de voler une identité pour ensuite l’utiliser pour une attaque d’application. Selon Symantec, l’utilisateur moyen recevait 16 e-mails malveillants par mois l’année dernière. Si vous êtes victime d’une attaque de phishing, surveillez attentivement les éventuelles intrusions supplémentaires. Même si préserver une confidentialité totale à l’ère numérique est presque impossible – et devient encore plus complexe avec la pléthore d’appareils personnels intelligents – n’oubliez pas que la plupart d’entre nous partagent volontiers des informations nous concernant au quotidien. Même si nos données et informations sont dispersées partout sur Internet, nous devons néanmoins prendre toutes les précautions possibles en matière de sécurité et de confidentialité. Le RGPD européen vise à protéger chaque élément de données personnelles et toute violation pourrait démanteler une organisation en raison d'amendes liées au RGPD. Avec le RGPD, l’atteinte à la réputation d’une organisation victime d’une violation peut avoir des conséquences durables.

Nous devons être intelligents, rester vigilants et surveiller ce que nous donnons. On ne sait jamais quand ce vieil ami du lycée apparaît soudainement dans un e-mail pour vous demander si vous allez au bal de fin d'année. Conseil de pro : Ne cliquez pas sur le lien !!