C'est le moins que l'on puisse dire, 2017 a été une année bien remplie pour les professionnels de la cybersécurité. Elle a en effet été marquée par les fuites de données sensibles de la NSA — l’agence de sécurité nationale aux États-Unis —, le rançongiciel WannaCry, sans oublier le gigantesque assaut sur la société Equifax.
Que nous réserve 2018 ? Les experts en sécurité de GlobalSign ont scruté leur boule de cristal pour nous livrer leurs prévisions pour 2018.
Lila Kee, Directrice générale et Responsable produit, et membre du conseil d’administration du NAESB
Pas d’attaque majeure en 2018 sur le réseau électrique américain
En dépit de l’augmentation des cyberintrusions comme Dragonfly dans le secteur de l’énergie, je prends le contre-pied de ne prévoir aucune attaque majeure de type « 11 septembre » sur le réseau électrique américain en 2018.
Pourquoi ?
Tout d’abord, le renforcement de la coordination au niveau fédéral sur la prise en charge de la cybersécurité dans le secteur énergétique contribue à la résilience du réseau. Ensuite, l’intégration au smart grid d’une approche de type « security by design » progresse.
Je vois par ailleurs d’un très bon œil l’adoption accrue et la dépendance aux micro-grids. Ces micro-réseaux musclent en effet le grid en nous permettant de puiser plus rapidement et plus proprement dans les sources d’énergies renouvelables lors des phases de restauration du réseau principal. Les municipalités devraient s’inspirer de certains modèles précurseurs mis en place en Californie pour réduire les problèmes liés aux pannes provoquées par les catastrophes naturelles ou les cyberattaques.
J’ajouterais que l’absence de rupture de service majeure, à la suite de DragonFly, ne peut que nous conforter dans l’idée que nous sommes sur la bonne voie (du moins me semble-t-il). En effet, si ça n’était pas le cas, les conséquences de cette attaque auraient été autrement plus lourdes.
Nadim Farah, Manager, Services de signature numérique
Augmentation des recours juridiques pour les signatures électroniques simples en 2018
En décembre 2016, un recours juridique sur la valeur des signatures électroniques simples s’est soldé par un premier succès. Avec l’évolution actuelle vers des signatures numériques de confiance publique standardisées, je pense que l’année 2018 pourrait voir naître d’autres contestations juridiques sur la valeur des signatures électroniques simples.
Cela tient au fait que de grands éditeurs américains d’applications de gestion et signature documentaire continuent d’investir dans la création d’écosystèmes intégrés entre fournisseurs de confiance, services de vérification d’identité et éditeurs d’applications — à l’instar des programmes Cloud Signature Consortium d’Adobe et Trust Service Provider de DocuSign.
Attendez-vous par ailleurs à des mises à jour de la part des éditeurs de racines de confiance comme Microsoft et Mozilla, en plus des mises à jour des conditions du programme de la liste AATL (Adobe Approved Trust List) annoncées en juillet. Le but : renforcer les exigences de conformité de ces programmes pour être en phase avec la loi eIDAS sur les services électroniques d’identification, d’authentification et de confiance dans l’Union européenne concernant la vérification des identités.
La reconnaissance faciale pourrait jouer un rôle dans la vérification des identités
L’iPhone X, dernier smartphone dévoilé par Apple, intègre des fonctionnalités de reconnaissance faciale avec une solution de stockage sécurisée en local pour les données. Une technologie similaire serait également en cours de développement chez Facebook.
Si ces technologies ne sont pas encore reconnues pour leur précision et n’offrent pas de garanties de fiabilité suffisantes pour vérifier les identités préalablement à l’émission de certificats de signatures numériques de confiance publique, elles pourront toujours être utilisées pour la première phase de 2018 pour authentifier des signatures électroniques simples. Mais les futurs développements de cette technologie — surtout celle utilisée par Apple et prise en charge par plusieurs capteurs matériels et appareils photo/caméra — pourraient conduire, d’ici deux à quatre ans, à la reconnaissance d’une valeur équivalente à celle des vérifications d’identité effectuées en face-à-face.
Doug Beattie, Vice-président des services de certification
85 % de toutes les pages Web seront protégées en HTTPS d’ici la fin 2018
Nous avons noté une forte hausse du nombre de chargements de pages HTTPS et de sites sécurisés cette année, principalement sous l’impulsion de Google et Mozilla qui encouragent l’utilisation du HTTPS. Depuis la version Chrome 56, le navigateur considère les sites HTTP qui collectent des mots de passe ou des cartes de crédit comme n’étant pas sécurisés. La version Chrome 62 marque désormais tous les sites HTTP avec des champs de saisie comme non sécurisés. Ce n’est qu’une question de temps avant que l’ensemble des sites HTTP ne soient déclassés pour leur manque de sécurité.
La disponibilité de certificats SSL à validation de domaine (DV) gratuits ou peu coûteux minimise l'impact financier pour les opérateurs de sites Web. Google et Mozilla les encouragent donc à sécuriser leur sites, en raison du changement du comportement des navigateurs basé sur le contenu du site. Avec Google et Mozilla ajoutant de plus en plus d'avertissements sur les pages HTTP et l’affichage éventuel sur ceux-ci d’un point d'exclamation rouge dans un triangle, nous nous attendons à voir les taux d'adoption continuer à augmenter de manière significative. D'ici la fin 2018, je prédis que 85% de l’ensemble du trafic web sera protégé en HTTPS.
TLS 1.0 et les protocoles plus anciens vont (enfin) appartenir au passé
La sécurité ne peut être garantie qu’à hauteur de son maillon le plus faible. Avec la généralisation du HTTPS, il est temps de se débarrasser des protocoles obsolètes comme le SSLv3 (et ses versions antérieures) et le TLS 1.0. Ces protocoles comportent des vulnérabilités majeures et devraient être désactivés de tous les sites Web.
Avec la généralisation du TLS1.2, et la version 1.3 en cours de développement, les protocoles plus anciens seront progressivement retirés en 2018. Je prédis donc une prise en charge du TLS 1.2 sur la plupart des sites d’ici la fin 2018, et la quasi-disparition du TLS 1.0 et de ses versions antérieures.
Lancen Lachance, Vice-président, Business Unit IoT
Plus d’attaques par botnets à prévoir dans l’Internet des Objets
L’année 2018 devrait voir se développer les exploits qui prennent pour cible les objets connectés en vue d’alimenter l’activité des botnets. Beaucoup d’équipements ne sont toujours pas sécurisés — une tentation à laquelle les hackers auront du mal à résister.
Plus de législations, mais peu d’orientations
Le cadre réglementaire et législatif évolue, mais reste insuffisamment contraignant. Plusieurs secteurs devraient proposer et adopter de nouvelles législations et réglementations pour la cybersécurité appliquée à l’Internet des Objets. Mais, en raison du manque d’expérience du système judiciaire vis-à-vis de l’IoT et de l’application des lois correspondantes, ces réglementations et directives ne constitueront pas encore un socle suffisant pour orienter le marché.
Les assaillants continueront à cibler les failles de sécurité de base
Certains continueront à ignorer les principes de sécurité élémentaires… pour le plus grand bonheur des hackers. Il s’agira moins d’attaques perfectionnées contre l’Internet des Objets, que de l’exploitation de failles élémentaires au niveau des objets connectés, faute d’avoir intégré la sécurité dès la conception (« security by design ») – comme avec des mots de passe partagés ou des communications non chiffrées.
Dawn Illing, Chef de produit pour la région EMEA
Les entreprises s’intéresseront de plus près aux cyberassurances, mais les primes s’envoleront
Malgré les attaques qui ont ponctué l’année 2017, le secteur de la cyberassurance continuera à croître assez régulièrement, malgré une prise de conscience du caractère inéluctable, et non plus hypothétique, des attaques. Les attaques catastrophiques de 2017 ont contribué à inscrire le risque cyber au rang de menace majeure. Une attaque « réussie » peut avoir de lourdes conséquences, pas uniquement sur les résultats financiers de l’entreprise, mais aussi en termes d’image de marque et de capital confiance auprès des consommateurs. Malgré une prise de conscience surestimée du marché, le rythme de souscription reste lent. Les entreprises peinent en effet à endiguer les risques rapidement et à comprendre comment intégrer un niveau de résilience approprié.
L’assurance passera d’une approche de « protection contre les risques » à une logique de « prévention »
Sensibilisés aux conséquences des cyberattaques tout au long de l’année 2017, les entreprises commenceront à envisager la sécurité comme un risque commercial critique plutôt qu’un problème informatique pour chacun de leurs métiers. Pour changer les mentalités et prendre, à l’échelle de l’entreprise, des mesures de protection concrètes des systèmes numériques, les directions devront impulser un processus global qui redescendra ensuite à tous les échelons.
Le taux de violations de sécurité continuera à progresser, avec des conséquences sur l’assurance et la complexité des demandes d’indemnisation
On assistera à une vague d’attaques, mais aussi de déploiements de technologies et de processus de prévention — ce qui ne fera qu’ajouter à la confusion des entreprises. Ces dernières seront par conséquent en demande de conseils et de recommandations. Auparavant, l’utilisateur était toujours plus ou moins montré du doigt en cas d’intrusion. Les entreprises mettront cependant en place des règles permettant de signaler plus facilement les violations en interne. L’accent sera davantage mis sur « la détection » que sur « la réaction ». Ensuite, avec de meilleures données et de meilleurs outils pour soutenir la croissance du marché, le secteur de la réassurance (l’assurance des compagnies d’assurances) devrait continuer à se développer.
Cybersécurité, une formidable opportunité pour le secteur de l’assurance
Alors que les attaques de grande envergure s’installent durablement dans le paysage, les courtiers et départements de vente directe des sociétés d’assurances ont là l’occasion de s’imposer en tant que conseillers de confiance des entreprises. Aussi, malgré un rythme de souscription qui reste lent dans le domaine de la cyberassurance, les primes vont augmenter (du fait de la hausse des sinistres), avec une éventuelle « ruée » au deuxième semestre 2018. Autre conséquence, face à des entreprises en quête de conseils, les courtiers et commerciaux devront également approfondir leurs connaissances du sujet. Les assureurs, mais aussi dans bien des cas, les courtiers, sont donc en passe de devenir des prescripteurs de poids sur les décisions d’achat à venir.
Richard Hancock, Responsable technique de la protection des données et spécialiste en sécurité
L’impact du règlement général sur la protection des données (RGPD) dans l’Union européenne
En 2017, la sécurité de l’information aura amorcé son plus gros virage de la décennie avec la question de la protection des données. Le règlement général européen sur la protection des données aura fait grincer bien des dents, pas uniquement dans le secteur, mais à tous les niveaux. Alors qu’à ce jour, je n’ai eu vent d’aucune publicité d’envergure dans le grand public sur ce changement de législation, le sujet passionne de nombreuses communautés « business ». À six mois seulement de son entrée en vigueur, chaque jour compte !
En 2018, nous devrions voir affluer des entreprises impatientes de mettre leurs affaires en ordre à l’approche du 25 mai — date au-delà de laquelle elles risquent de devoir rédiger un chèque à sept ou huit chiffres à l’ordre de l’organisme régulateur. La façon dont nos données sont collectées, stockées, traitées, manipulées et utilisées pour l’établissement de rapports ne sera plus jamais la même. Nous n’avons jamais eu autant de pouvoirs et de contrôle sur nos données personnelles qu’aujourd’hui.
En matière de protection des données, l’Europe semble définir la tendance mondiale. Pour l’année 2018, les démarches d’harmonisation des législations nationales avec l’Union européenne devraient se multiplier. Je table sur la stabilisation du bouclier de protection de la vie privée et parie sur le soutien de l’administration américaine sur ce sujet. Je prévois une adoption massive de règles d’entreprises contraignantes visant à « libérer » les transferts de données des entreprises à l’intérieur de leurs frontières. À mon avis, le processus de ce type d’accréditation devrait être simplifié pour le rendre beaucoup plus accessible qu’aujourd’hui.
Vivement 2018 !
Et vous, que vous inspirent ces prédictions ? Partagez-vous notre opinion ou pas ? Auriez-vous aimé voir aborder un autre sujet ? N’hésitez pas à me faire part de vos remarques dans la section commentaires, ou sur Twitter.
