Cybersécurité : les prévisions pour 2021

Quel sera le prochain grand sujet dans le domaine de la cybersécurité ?
Nous avons demandé l'avis de nos experts.

 

De nouveaux records ont été franchis en 2020. Malgré la pandémie qui s'est abattue sur le monde sans que personne n’ait rien vu venir, la plupart de nos prévisions de cybersécurité pour 2020 se sont réalisées. Étonnant ! Nous n’aurions en effet pas imaginé que #Coronavirus arriverait en tête des recherches Internet en 2020. Nous avions en revanche prévu le succès croissant du DevOps et des outils DevSecOps. Ces derniers ont en effet profité de l’essor des applications développées pour accompagner la transformation numérique du secteur marchand. Les dispositifs médicaux et les structures de santé ont également été victimes d'un nombre inédit de cyberattaques. Quant à l’informatique quantique, même si des progrès ont sans doute été accomplis par rapport à l’an dernier à la même époque, il reste encore du chemin à parcourir.

Et ensuite ? Difficile de savoir tant nous vivons une époque étrange et remplie d’incertitudes. Nous avons interrogé quelques-uns de nos experts maison pour savoir quels enseignements l'on pouvait tirer de ces derniers mois de montagnes russes et avoir une idée de ce à quoi nous attendre en 2021.

Leurs opinions, vous le verrez, couvrent un large éventail de sujets autour de la cybersécurité. Nous espérons que vous aurez le temps de tout lire et de partager leurs éclairages avec votre entourage. Nous serions par ailleurs curieux de savoir ce qui vous préoccupe le plus à l’approche de la nouvelle année… Avons-nous oublié certaines vulnérabilités ou certains risques majeurs ? Avons-nous omis d’aborder certaines avancées technologiques révolutionnaires ou certains événements en passe de marquer l’histoire ? Retrouvez-nous sur LinkedIn  ou tweetez-nous à @globalsign_FR sous le hashtag #Prévisions2021 pour nous faire part de votre avis.

 

Sortir des sentiers battus pour commencer à résorber la pénurie de ressources

Lila Kee — Chef de produit

Pour combler rapidement la pénurie de talents dans le domaine de la cybersécurité, des mesures concertées seront mises en place pour recruter, intéresser et mentorer des profils aux parcours non conventionnels. Les femmes et les personnes issues des minorités sont, à ce titre, particulièrement concernées. Pour attirer des candidats sans formation classique en cyber intelligence, les recruteurs mobiliseront les communautés de professionnels de la cybersécurité, mais aussi des organismes du secteur public et privé. Tous ont conscience des atouts qu’offre un tel vivier de talents, souvent inexploité, pour pourvoir de nombreux postes vacants. Pour les responsables cybersécurité, l’intérêt d’un tel investissement est double : d’une part, les entreprises conservent leurs collaborateurs, en fidélisant les talents, et de l’autre elles recrutent des personnes extrêmement motivées. La démarche permet de combler le manque criant d’expertise pour couvrir le champ cyber. 

Devant l'ampleur de la pénurie, les organisations sont fragilisées. Celles-ci sont alors exposées à des problèmes de conformité, notamment sur les sujets liés aux réseaux d’infrastructures critiques, aux informations d’identification personnelle (IIP) et à la protection des adresses IP. Autre conséquence : l’absence de personnels compétents à des postes clés fait naître des vulnérabilités de sécurité bien réelles. Personnellement, j’ai pour objectif de proposer un accompagnement de type mentorat à des personnes qui, malgré un parcours non conventionnel, souhaitent amorcer avec courage une carrière dans la cybersécurité. Ma démarche s’adresse aussi aux personnes qui envisagent une réorientation à un stade ultérieur de leur vie professionnelle dans l’univers fascinant et très gratifiant de la cybersécurité. Je me suis ainsi engagée à soutenir l’association WiCyS New England qui s’attache à nouer un dialogue avec les femmes pour les encourager et les soutenir dans le monde de la cybersécurité.

Ressources connexes :

Le Zero Trust gardera le rythme

Arvid Vermote, RSSI

Présent depuis dix ans dans le monde de la sécurité informatique, le concept d’architecture Zero Trust commence enfin à faire parler de lui, notamment depuis la publication spéciale du NIST SP-800-207 en août dernier. Cette dynamique va se poursuivre l’an prochain. Dans le domaine de la cybersécurité, le principe du « Zero Trust » consiste à ne faire confiance à rien ni personne. L’accent est mis sur la légitimité de l’utilisateur, que l’on établit grâce à l’authentification multi facteur, plutôt que la catégorie à laquelle il appartient. Dans une démarche Zero Trust, on ne cherche pas à savoir si l’utilisateur est un client en ligne ou un employé qui utilise le matériel de l’entreprise, ou le sien pour effectuer son travail. Il importe peu de connaître sa localisation et de savoir s’il se trouve au bureau ou chez lui.

Ressources connexes :

Le paradigme mondial du travail à distance exigera que les équipes informatiques et de cybersécurité conçoivent de nouveaux produits

Laurence Pauling, Vice-président des opérations Monde

Alors que petites et grandes entreprises continuent à s'adapter à la culture du « télétravail par défaut », les équipes IT et cybersécurité vont devoir élaborer des outils entièrement nouveaux pour gérer et surveiller la sécurité. Le choc ressemblera au séisme du BYOD (Bring Your Own Device) il y a dix ans… mais en sens inverse : il s’agira ici de matériel contrôlé par l’entreprise et utilisé dans un environnement physiquement et logiquement dangereux. Par conséquent, une refonte totale du paradigme de sécurité s’impose. Si certaines entreprises ne sont pas concernées, les autres (notamment les grands groupes qui ont toujours considéré leur périmètre comme étant vaste et fixe) vont devoir entièrement repenser leurs contrôles et leurs processus. Attention à ne manquer aucune étape lors de cette mue, car les cybercriminels ne feront pas de quartiers. Ce nouveau monde s'apprête à accueillir en bonne place les signatures numériques de toutes formes en remplacement des signatures manuscrites sur les documents papier. Quant aux certificats sur les e-mails et les appareils, ils joueront également un rôle majeur, prouvant l'identité lorsque l'emplacement physique ne garantit plus la provenance.

La décentralisation de la main d’œuvre se répercutera également sur l’infrastructure interne et SaaS des entreprises. Le transfert de la puissance de calcul à la « périphérie » s'accélérera à mesure que l’efficacité de traitement des grands serveurs centralisés sera remise en cause. On peut espérer que cela se traduise par de nouveaux standards et de nouvelles garanties pour la sécurité du stockage en mode SaaS. Un plus grand nombre d'utilisateurs seraient ainsi en mesure de déplacer en toute sécurité les emplacements de stockage de leurs fichiers/données d’entreprise vers des environnements plus distribués. Avec des ordinateurs portables de plus en plus puissants, mais des connexions Internet plus lentes au domicile qu’au bureau, les modèles d’applications plus classiques (et donc probablement flexibles) devraient revenir en force. Les applications s’exécuteraient principalement sur les terminaux utilisateur, plutôt qu’en périphérie de réseau ou centre de données — de quoi donner encore bien des maux de tête au département informatique !

Ressources connexes :

Quatre prévisions pour les IoT en 2021

Lancen LaChance, Vice-président, Solutions IoT

Avec la reprise économique en 2021, les équipementiers (OEM) et les opérateurs IoT dépasseront de plus en plus la preuve de concept (PoC) et les versions bêta. Ils vont donc pouvoir commencer à planifier des opérations complètes. Alors que l'adoption des IoT entre dans une nouvelle phase, les questions d'échelle deviennent un enjeu clé. Les équipementiers et opérateurs IoT pourront compter sur les plateformes IoT basées sur le cloud et les fournisseurs de sécurité pour atteindre les échelles et la rentabilité requises.

Les problématiques IoT, devops et infosec vont se télescoper et engendrer des débats houleux marqués par des exigences déconnectées, mais connexes. Une entreprise qui englobe tous les domaines voudra économiser sur ses coûts et unifier sa posture de sécurité. Mais plusieurs facteurs comme l’hétérogénéité des entrepreneurs, le cloisonnement des technologies et l’émergence de nouveaux modèles de réussite viendront compliquer l'unification.

Avec l’expansion de l’automatisation des processus robotiques en entreprise, les travailleurs de la connaissance gagneront en efficacité. Cette évolution se heurtera cependant à des obstacles sur le plan de la sécurité et soulèvera des interrogations. On se demandera ainsi comment gérer les identités et les accès des robots à grande échelle conjointement à ceux de leurs homologues biologiques.

Enfin, après le chaos électoral autour du système de vote par correspondance aux États-Unis, les moyens de mettre à niveau les technologies existantes à l’aide de systèmes sécurisés de vote électronique à distance connaîtront un regain d’intérêt.

Ressources connexes :

La dépendance accrue au commerce en ligne incitera les cybercriminels à intensifier leurs efforts

Patrick Nohe, Responsable marketing produit Senior

Le Covid-19 a eu des répercussions vastes et immédiates sur nos modes de travail et nos interactions. En 2021, le succès du commerce en ligne et notre dépendance vis-à-vis de ce nouveau canal d’achat devraient perdurer. Ce sera là l'un des effets résiduels majeurs de la pandémie. Essentiellement ressenties par les personnes plus âgées, les barrières technologiques à l’entrée ont été balayées lorsque des pans entiers de la population se sont retrouvés isolés et confinés pendant la crise sanitaire. Subitement, commander du papier hygiénique sur Amazon n’était plus si ridicule.

Nous retournerons, dans une certaine mesure, en magasin lorsque nous nous sentirons à nouveau en sécurité. Toutefois, les choses ne reprendront pas leur cours normal ; celui d’avant le Covid, et les cybercriminels en profiteront probablement pour intensifier leurs actions dans cette sphère.

Cela semble logique au vu de la fréquentation record des sites marchands, où de nombreux acheteurs se précipitent la fleur au fusil. Pour les cybercriminels, c'est du pain bénit. Ils exploitent ainsi les dernières modifications apportées aux navigateurs, comme la minimisation visuelle des signes de confiance dans leurs interfaces utilisateur, mais pas seulement. En effet, les pirates n’hésitent pas à se procurer des certificats SSL gratuits, très accessibles au demeurant, pour donner à leurs sites une apparente légitimité. Et sur les écrans de nos terminaux mobiles, la mise en avant des signes de confiance accroît leur force de persuasion… On comprend donc l’importance qu'il y a à sensibiliser le public à la fraude et à inciter à la vigilance sur les sites marchands pour que les consommateurs sachent distinguer le bon grain de l’ivraie.

Cet été encore, mon père me racontait s’être fait délester de 100 dollars après avoir tenté d’acheter des haltères sur Instagram et avoir dû demander une nouvelle carte bancaire. Je ne tiens pas à expliquer pourquoi mon pater sexagénaire possède un compte Instagram. Cadre retraité d’une entreprise du Fortune 500, il n’entre pas dans la catégorie des personnes sans instruction. Le fait est qu’à moins de mieux sensibiliser les internautes aux dangers du Web, la mésaventure de mon père risque de concerner aussi vos parents et vos proches. Certes, la solution idéale consisterait à éradiquer complètement ce type de fraude, mais le jeu de la confiance est vieux comme l’humanité. Le mieux reste donc d'informer correctement le public — l’augmentation des risques pouvant être envisagée comme le prix à payer pour la praticité qu'offre l'e-commerce. Les entreprises de commerce en ligne pourraient commencer par enseigner à leurs propres clients comment vérifier qu'ils se trouvent sur le bon site. Mais pour fonctionner, la démarche doit être commune à plusieurs secteurs et fédérer les acteurs de la filière.

Ressources connexes :

La pandémie va imposer une transformation numérique à l’échelle planétaire assortie d’un renforcement des réglementations

Mohit Kumar, Chef de produit du service de signature numérique

La pandémie a obligé les entreprises à hâter leur transformation numérique. En cherchant à accélérer l’adoption de processus numériques, elles se tourneront vers des formes de standards plus performants, plus sûrs et plus fiables. Élément intrinsèque de toute transformation numérique, la signature de documents séduira davantage d’entreprises qui, en adoptant des signatures numériques basées sur une PKI, se délesteront du poids de la conformité dans divers pays.

Pour élaborer leurs lignes directrices, les autorités de régulation des quatre coins du globe seront encore plus nombreuses en 2021 à s’inspirer du modèle de l'eIDAS — un règlement spécifique de l'UE qui donne aux signatures numériques une place plus importante en termes de garantie et de valeur juridique. C’est déjà le cas déjà cette année en 2020 dans plusieurs régions du monde, comme certains pays d’Amériques du Sud.

Devant la nécessité d’accélérer la transformation digitale et de faciliter l’adoption des pratiques numériques, les entreprises de certaines économies conservatrices seront également contraintes de s’ouvrir à des solutions de signature basées sur le cloud.

Ressources connexes :

Les deepfakes vont continuer à déstabiliser le paysage des identités en ligne

Arvid Vermote, RSSI

En 2021, les deepfakes – ces vidéos truquées à l’IA – et d’autres formes sophistiquées d’usurpation et de fraudes à l’identité continueront sur leur lancée. Ces nouvelles techniques rendent la supercherie quasiment impossible à repérer dans les vidéos et les enregistrements vocaux trafiqués. Les humains vont donc devoir se former en profondeur pour être en mesure de distinguer le vrai du faux. Il nous faut en réalité innover pour créer des outils de prévention et de détection à la hauteur de ces techniques d'attaque actuelles. Les dispositifs de vérification et d'authentification de l'identité, comme les infrastructures à clés publiques et les autorités centrales d'identité (à savoir les autorités de certification), seront en première ligne pour contrôler que les identités numériques fortes ne sont délivrées qu'aux détenteurs légitimes de ces identités.

Ressources connexes :

Si vous n'avez pas encore eu de téléconsultation ni reçu de prescription électronique, vous y aurez sûrement droit en 2021

James Whitton, Directeur de programme, EMEA

Avec la propagation mondiale du Covid-19, de plus en plus de rendez-vous médicaux non urgents auront lieu à distance. L’utilisation de prescriptions électroniques assorties de signatures électroniques avancées ou qualifiées (AES ou QES) permettra de réduire le nombre de points de contact pour les patients potentiellement malades. Cette mesure permettra aux patients de recevoir leurs médicaments sans avoir à se rendre chez leur médecin ou en pharmacie. Les porteurs asymptomatiques du Covid qui n’auront pas été testés n'auront pas besoin de se déplacer en cabinet médical où ils risquent de propager le virus. Quant aux patients fragiles non infectés, ils auront moins besoin de se rendre dans des lieux susceptibles d'être « à risques ». Facile à mettre en œuvre pour les prestataires de santé et universellement accepté par les pharmaciens, ce changement devrait être adopté à grande échelle à partir de 2021. Alors que les mutations qui s’opèrent à marche forcée dans la santé sont en passe de devenir la nouvelle norme, les prescriptions électroniques et les téléconsultations ont un rôle déterminant à jouer. Elles contribueront à réduire la surmortalité sans rapport avec le Covid et les nombres de décès actuellement élevés, qui frappent les personnes qui ne se font pas soigner par peur d’être infectées.

Ressources connexes :

Le DevSecOps fera partie intégrante du cycle de vie du développement de logiciels

Siddharth Prasad, Product Owner technique, Inde

Deux sujets arriveront en tête des préoccupations des entreprises en 2021. D’un côté, la capacité à développer, déployer et mettre à jour des applications à un rythme soutenu pour prendre la concurrence de vitesse. Et de l’autre, l'amélioration de la sécurité dans le processus de développement des applications. Pour concilier des priorités contradictoires, le DevSecOps va devenir une partie intégrante du cycle de vie du développement des logiciels.

Les organisations vont devoir mettre l’accent sur l'adoption de chaînes d'outils appropriées et de bonnes pratiques. Elles vont également devoir accompagner le changement afin d’intégrer la sécurité à toutes les étapes du développement — de la compilation aux tests, en passant par le déploiement et l'exécution. De plus, pour pallier les vulnérabilités du framework de conteneurs et d’orchestration, des ajustements supplémentaires devront être apportés aux paramètres par défaut, et des solutions tierces devront être ajoutées afin de renforcer la sécurité.

Enfin, la sécurité devra être assurée au niveau du code déployé et de l’environnement dès les premières étapes du processus de développement.

Ressources connexes :

Les opérateurs de réseaux d’IoT s’adresseront aux fabricants d’équipements IoT pour la fourniture d’identités uniques et sûres

Diane Vautier, Responsable du marketing produit IoT, Amérique du Nord

Le nombre et le niveau de sophistication des attaques malveillantes contre les systèmes IoT sont en hausse. Les pirates sont intelligents et possèdent les compétences nécessaires pour exécuter des attaques complexes qui atteignent leurs objectifs et leur permettent d’accéder à des données lucratives, voire de prendre le contrôle des appareils. En 2021, les opérateurs de réseaux et de systèmes IoT chercheront à protéger leurs écosystèmes contre ces attaques. Ce sera plus particulièrement le cas des réseaux et des systèmes à forte valeur ajoutée ou à infrastructures critiques. Ces opérateurs se concentreront sur la sécurisation de leurs équipements – principal point d'attaque – à l’aide d’identités d’appareils pouvant être sécurisées par une authentification PKI basée sur des certificats. Ils s’adresseront alors aux fabricants d’équipements IoT pour la fourniture d’identités uniques et sûres dans le cadre du build du produit. Ils pourront même demander aux fabricants de puces d’inclure des identités attestables au niveau des puces/TPM (Trusted Platform Module) qui s'intègrent à la PKI afin de protéger le composant auquel elles sont intégrées, ou bien l'appareil entier, tout au long de son cycle de vie.

Ressources connexes :

La formation à la cybersécurité sera plus que jamais nécessaire

Lea Toms, Responsable marketing EMEA

Près de 70 % des professionnels IT et de la sécurité perfectionnent leurs compétences cyber en dehors de leur travail, et 43 % des employés manquent de formations régulières à l’hygiène numérique. Les chiffres cités dans ces articles sont éloquents. Ainsi, plus qu’un standard commun à l’échelle des organisations, les compétences en sécurité résultent davantage d’initiatives personnelles des employés, ce qui n’est pas si surprenant. L’année 2021 marquera-t-elle un tournant dans la formation à la cybersécurité pour les entreprises et leurs personnels ?

À l’heure où – Covid-19 oblige – le télétravail s’est imposé aux petites et grandes entreprises, beaucoup se sont retrouvées au pied du mur et ont dû relever leur niveau de jeu en matière de cybersécurité. L’intérêt pour l'authentification à distance s’est accru, de nombreux processus hors ligne ont dû migrer vers des canaux numériques… et plusieurs organisations ont été agréablement surprises par l’efficacité de leurs employés en télétravail. Certes, c’est encourageant, mais certains principes de sécurité de base demeurent un mystère pour bien des collaborateurs. C’est notamment le cas pour :

  • Le repérage des tentatives d’hameçonnage
  • La gestion sécurisée des mots de passe
  • L’authentification multifacteur
  • Le signalement d’activités suspectes

S’ils ont accéléré la transformation numérique, la pandémie et le travail à distance ont également contribué à la prolifération des données et multiplié le risque de cyberattaques. En 2021, on observera une augmentation des investissements dans la cybersécurité et des actions de formation dans ce domaine. Car une main d’œuvre compétente et bien formée constitue le point de départ d’une sécurité plus efficace.

Ressources connexes :

Les gouvernements chercheront à exercer encore plus de contrôle en ligne

Sebastian Schulz, Chef de produit régional, EMEA

La Chine disposant d'un intranet national depuis de nombreuses années déjà, d'autres pays cherchent à l’imiter. La Russie a déjà réalisé des tests en fin d'année dernière. Dans le même temps, l'Iran a perturbé Internet pour empêcher les manifestants d'échanger des informations entre eux.

Même les démocraties occidentales essaient d'exercer leur influence politique sur Internet. Au moment où nous écrivons ces lignes, le projet de loi EARN IT vient d'être présenté à la chambre des représentants des États-Unis. En résumé, cette loi permettrait aux législatures d’État ou du Congrès d'adopter d'autres réglementations visant à encadrer l’activité sur le Web. Dans l'Union européenne, des voix s'élèvent pour réglementer le chiffrement sécurisé de bout en bout, dans une démarche malavisée pour lutter contre la pédophilie.

À l’évidence, ces mesures politiques sont bien souvent prises sans avoir consulté d’experts indépendants qui maîtrisent les technologies. En 2021, les experts des technologies, de la protection de la vie privée et des données vont devoir se réunir pour éclairer le débat politique afin que les législations puissent atteindre leurs objectifs, tout en protégeant les valeurs fondamentales de la démocratie et de la liberté des citoyens.

Ressources connexes :