Les défis sécurité en 2023 vu par notre expert
Eh oui, c'est de saison ! Nous essayons de prédire ce qui nous attend en termes de cybersécurité et ainsi identifier quelles pourraient être les défenses que nous pourrions activer. L'année 2022 a déjà battu tous les records en termes de nombre d'escroqueries par hameçonnage, de cyberattaques, de violations de données et de vols de cryptomonnaies. On a également constaté une augmentation des cas d'hacktivismes, où des cyberlégions parrainées par des États ont perturbé des infrastructures et des services essentiels, défiguré des sites web, lancé des attaques par déni de services et volé des informations. La Suisse n'a hélas pas fait exception...
A qui se tient informé sur ces menaces, il n'est guère difficile d'imaginer que 2023 dépassera les records en matière de cybercriminalité. Globaz en tant que tier de confiance dans les domaines des assurances sociales, pourrait être identifié comme un opérateur essentiel au bon fonctionnement de la confédération. Nous n'avons pas encore, à l'instar de UE, de directive NIS devant réguler nos activités. Mais nous ne devons pas nous croire hors du monde actuel ! Il nous faut en effet nous montrer prêt pour relever les défis de la cybercriminalité et faire partager nos compétences en la matière à nos clients. Je vais donc ici me plier à l'exercice d'identification des menaces et des tendances auxquelles nous pouvons certainement nous attendre en 2023.
Plus de confidentialité par plus de pressions réglementaires
Les gouvernements du monde entier redoublent d'efforts pour protéger la confidentialité des données des citoyens. Gartner prédit que d'ici 2023, "65% de la population mondiale aura des données personnelles couvertes par des réglementations modernes en matière de confidentialité, contre 10% en 2020." Rien qu'aux États-Unis, cinq grands États auront de nouvelles lois complètes sur la confidentialité des données en 2023. Une obligation fédérale de déclaration publiée en mars 2022 impose aux organisations d'infrastructures essentielles de signaler les cybers incidents et les paiements de rançons. La Suisse se dote d’une nouvelle législation pour mieux protéger les données de ses habitants (la NLPD : La Nouvelle Loi sur la Protection des Données). Vous aurez noté que, comme pour le RGPD, le législateur n'a pas restreint le nom de cette loi aux seules données personnelles (NLPDP)... Les entreprises du pays devront s’y conformer à partir du 1er septembre 2023.
Le Zéro Trust remplacera-t-il le VPN ?
La tendance du télétravail va probablement se poursuivre. Les réseaux privés virtuels sont de moins en moins en mesure de répondre aux exigences d'évolutivité, la technologie elle-même peut être sujette à des cyberattaques et à des vulnérabilités. Le Zéro Trust, bien qu'en phase de "maturation", est une approche à plusieurs niveaux qui est à la fois évolutive et hautement sécurisée. La stratégie de confiance zéro repose sur le concept "ne jamais faire confiance, toujours vérifier", ce qui signifie que ce n'est pas parce que les utilisateurs peuvent être identifiés et authentifiés qu'il faut leur accorder un accès général à toutes les ressources. Dans un environnement Zero Trust, les utilisateurs sont continuellement validés, réévalués et autorisés à nouveau à l'aide de plusieurs méthodes d'authentification.
Les outils de détection et de réponse aux menaces se généralisent
Les cyberattaques ne sont pas une question de "si", mais de "quand". La seule façon pour les entreprises de stopper une attaque ou d'en réduire l'impact est d'identifier toute activité inhabituelle dans l'ensemble de leur écosystème d'utilisateurs, d'applications et d'infrastructures. Les outils de détection et de réponse aux menaces, tels que la détection et la réponse au niveau des terminaux (EDR), la détection et la réponse étendues (XDR) et la détection et la réponse gérées (MDR), peuvent analyser les données historiques à l'aide d'algorithmes d'intelligence artificielle et d'apprentissage automatique afin de repérer les schémas inhabituels. Ils peuvent également exploiter les renseignements sur les menaces et l'analyse avancée des fichiers pour détecter et bloquer les menaces avancées conçues pour échapper aux défenses traditionnelles.
Demande accrue de gestion des risques liés aux entreprises tiers
De nombreux acteurs malveillants contournent les défenses sophistiquées que les entreprises matures déploient en piratant de plus petites organisations de la chaîne d'approvisionnement qui pourraient avoir accès aux mêmes informations mais ne disposent pas d'un niveau de protection équivalent. Les attaques de la chaîne d'approvisionnement ont été multipliées par quatre en 2021. Les organisations utilisent depuis longtemps des applications tierces pour améliorer leur productivité, mais ces outils peuvent présenter un certain nombre de vulnérabilités que les attaquants peuvent exploiter pour accéder aux environnements des victimes.
Gartner prévoit que d'ici 2025, 45% des organisations subiront des attaques sur leurs chaînes d'approvisionnement en logiciels, soit trois fois plus qu'en 2021. Les conseils d'administration et les CEO exigent des améliorations de la sécurité dans leurs chaînes d'approvisionnement, c'est pourquoi nous pouvons nous attendre à une demande accrue d'outils, de services et de questionnaires de fournisseurs qui peuvent aider à cataloguer et à surveiller les cyber risques chez les tiers et les fournisseurs.
De plus en plus d'organisations vont externaliser la cybersécurité
La cybersécurité est devenue beaucoup trop complexe pour que les entreprises puissent la gérer seules. La plupart d'entre elles ne sont pas expertes en cybersécurité et ne disposent ni des compétences ni des ressources nécessaires pour gérer un centre d'opérations de sécurité (SOC) à part entière. Les équipes de sécurité sont débordées, et une importante pénurie de compétences en cybersécurité rend difficile le recrutement et la fidélisation des experts en sécurité. Pour ces raisons, de nombreuses organisations seront obligées de faire preuve de créativité et pourraient décider de confier leurs opérations de sécurité quotidiennes à une société de conseil expérimentée ou de faire appel aux services d'un CISO virtuel.
Auteur de l'article
Luc Porchon
CISO chez Globaz depuis avril 2022
Après un BTS en Informatique industrielle en 1989, Luc Porchon évolue pendant une dizaine d'années dans les télécommunications. Il poursuit ensuite sa carrière dans le domaine bancaire pour devenir, en 2008, expert sécurité dans le domaine monétique.
En 2011, il obtient le brevet "Certified Information System Security Professional", une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information et exerce pendant plus de 6 ans le poste de responsable sécurité des systèmes d'information pour un grand groupe français. Il enchaine ensuite avec le poste de responsable de la protection des données et comme consultant senior en cybersécurité.