Les cyber-risques liés aux nouvelles technologies deviendront monnaie courante en 2020, selon la communauté des RSSI, alors qu'Infosecurity Europe célèbre son 25e anniversaire
Publié le 08/01/2020 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Richmond, Surrey, Royaume-Uni, 8 janvier 2020 – Alors que nous abordons la troisième décennie du 21e siècle, Infosecurity Europe, le plus grand évènement de sécurité en Europe qui entre dans sa 25e année, a demandé à sa communauté de professionnels de la sécurité de niveau C de décrypter l'année à venir, notamment en termes de défis, d'opportunités et de tendances générales, que ce soit dans l'univers de la technologie, du travail ou du monde en général.
La plupart des RSSI ont mis en exergue les risques posés par les technologies émergentes qui seront adoptées de façon plus large en 2020. Partenaire de Deloitte pour les cyber-risques, Peter Gooch explique : « Le déploiement des outils d'automatisation de la sécurité va augmenter en 2020. Lorsque cela se déroule correctement, les organisations pourront s'adapter rapidement aux changements de tactiques d'attaque. Sinon, ces dernières seront plus difficiles à dévoiler.
La transparence sera un facteur majeur lors de la passation de contrats de services cloud, car les fournisseurs devront mettre davantage de données et d'évènements à la disposition des outils SIEM, et démontrer que leurs pratiques et systèmes de sécurité sont proches du temps réel. Les pirates ont tendance à cibler les données non structurées pour s'introduire dans les systèmes et lancer des attaques, et il est donc essentiel de mettre en place une gouvernance solide.
Plus de 100 entreprises de différents pays testeront la 5G privée d'ici la fin de 2020, ce qui risque d'élargir la surface d'attaque, de rendre les flux de données plus difficiles à suivre et de compliquer la tâche des professionnels de la sécurité. »
Mark D. Nicholls, directeur de la sécurité des informations et de la gouvernance pour Peabody, une association de logement, pointe les vulnérabilités de l'intelligence artificielle et de l'IoT. « Le Machine Learning est devenu une pratique courante en 2019, et nous devrions évoluer vers une véritable intelligence artificielle en 2020, mais il ne faut jamais perdre de vue que la technologie est neutre et peut tout aussi bien être détournée par des criminels. Imaginez une attaque par déni de service appuyée par une véritable intelligence artificielle. », prévient-il.
« Alors que les clients recherchent un univers toujours plus intelligent et connecté, le nombre d'attaques ciblant les appareils connectés à d'autres fins ne peut qu'augmenter. Cela n'a rien de nouveau, mais la surface d'attaque va s'élargir. Nous devons poursuivre l'effort de sensibilisation, afin de nous assurer que les humains restent notre meilleure ligne de défense. »
Les vecteurs d'attaque les plus à même de prendre l'ascendant en 2020 ont également fait l'objet de discussions. Becky Pinkard, RSSI, d'Aldermore, une banque primée, s'attend à davantage d'attaques en relation avec la dette technique. « Portées par la demande des consommateurs et le potentiel technologique, les entreprises tendent plus à alourdir leur dette technique qu'à la rembourser. Je pense qu'il faut s'attendre à davantage d'attaques spectaculaires en relation avec cette dette croissante et les “risques furtifs" qu'elle génère. L'intégration à marche forcée de l'open banking dans les services financiers, l'incorporation des API, de la technologie de registre distribué (DLT) et de l'intelligence artificielle en succession rapide, et surtout la priorité donnée à la capture de l'attention des clients, signifient trop souvent que la sécurité est négligée au nom de la production. »
« Le credential stuffing est une véritable épidémie, et je me demande si le pire est vraiment derrière nous compte tenu du nombre de paires de mots de passe et de noms d'utilisateur en circulation » avance Troy Hunt, directeur régional chez Microsoft fondateur de Have I Been Pwned et membre 2019 du Hall of Fame européen d'Infosecurity. « Il est également possible que nous ayons atteint un point de non-retour, où les organisations doivent bloquer certaines tentatives de connexion qui comportent le bon nom d'utilisateur et le bon mot de passe, mais ne proviennent pas de la bonne personne. Aux États-Unis, des actions en justice sont instruites contre des entreprises pourtant victimes du credential stuffing. La situation va empirer ou les organisations vont s'adapter. »
Concernant les approches de sécurité qui permettront d'atténuer les risques dominants en 2020, David Boda, directeur de la sécurité des informations, Camelot Group pense qu'il faut revenir aux fondamentaux. « En faisant porter l'effort principalement sur des procédures d'accès robustes et réactives, ainsi que les correctifs, nous devrions pouvoir gérer les risques pour la majorité des organisations quel que soit leur domaine. Il est important que les fournisseurs, les consultants et les organisations des utilisateurs finaux discutent sérieusement de ces deux points. »
Killian Faughnan, RSSI divisionnaire de William Hill pense lui aussi que le contrôle d'accès sera important, surtout dans l'espace de travail de nouvelle génération. « Il est difficile d'établir un équilibre entre restrictions et laxisme pour le contrôle d'accès. Sachant qu'en 2020, 35 % de nos effectifs seront nés après 2000, il est important de trouver un compromis acceptable pour les employés. »
Certains RSSI pensent que les solutions viendront d'une plus grande intégration de l'industrie. « Je pense que les entreprises de sécurité vont se rapprocher, ce qui devrait se traduire par une meilleure sécurisation à tous les échelons », avance Mark Nicholls.
Dans la même ligne, Peter Gooch pense que la convergence sera une tendance clé : « Un plus grand nombre de fusions/acquisitions de haut niveau devrait se produire en 2020, ainsi qu'une expansion et une formalisation des éditeurs dans le cadre d'un univers plus convergent. Cela devrait ressembler à la révolution ERP qui a transformé le mode de fonctionnement de nombreuses équipes financières et opérationnelles, et pourrait déboucher sur un modèle opérationnel plus efficace pour tous les intervenants du cyber-espace. »
Deux sujets qui ont fait la une en 2018/2019, ne sont plus d'une actualité brûlante pour les RSSI cette année. L'un d'eux est la pénurie de compétences. « Le problème n'a pas disparu »; précise Killian Faughnan, « bien que je pense que nous ayons atteint un point critique et que davantage de sociétés vont recruter à partir de pools de professionnels de la sécurité potentiels et non plus de pools établis. Il est plus facile de former un développeur à la sécurité des informations que l'inverse. »
Le RGPD semble également ne plus être un sujet d'actualité, sans doute à cause du fait que les réglementations et leur impact sont désormais mieux connus. Paul Watts, CISO, Dominos Pizza Royaume-Uni et Irlande, a constaté des signes « d'apathie face aux violations » et se demande si cette tendance va se maintenir en 2020. « Si cela peut s'expliquer en partie par des distractions politiques, je reste convaincu que le nombre de signalements par les professionnels augmente, mais peut-être que le public se lasse ? Je ne sais pas encore s'il s'agit d'une bénédiction ou d'une malédiction pour les RSSI alors que la prochaine décennie se profile… »
L'une des questions qui revient souvent à cette période de l'année est si nous allons voir une « méga violation » qui risque de reléguer des incidents aussi retentissants que celui d'Equifax au second plan. « Une inconnue subsiste : allons nous être témoins d'une violation de données hors normes qui va remettre le monde sens dessus dessous ? », s'interroge Troy Hunt. « S'il se produit un autre incident, tel que celui d'Ashley Madison ou d'Equifax, qui ont eu un impact profond sur des dizaines de millions de vies, cela risque d'occuper la une des journaux pendant pas mal de temps. Mais tout cela est incroyablement difficile à prévoir. »
Nicole Mills, directrice senior d'exposition chez Infosecurity Group explique : « Une partie des tendances lourdes, des défis et des risques de sécurité subsistera en 2020. Différentes technologies en vue depuis déjà quelque temps se répandront et nous devons nous tenir prêts à les implémenter, les utiliser et les protéger de façon adéquate.
« La pénurie de compétences et le RGPD ne font plus partie des préoccupations immédiates des RSSI pour l'année à venir, mais il est important de se rappeler qu'elles n'ont pas disparu pour autant. Les « écarts de compétences » continuent à se creuser et il est important de mutualiser nos efforts pour trouver des solutions. Et si le RGPD n'est plus d'une actualité brûlante comme l'année dernière, les organisations ne doivent pas se reposer sur leurs lauriers. La tâche reste considérable pour assurer la conformité. Ce n'est pas simplement une question de paiement d'amendes, la marque et la réputation peuvent prendre des années à se redresser. »
Elle ajoute : « Les menaces et les piratages ont conditionné l'évolution de la cybersécurité au cours des 25 dernières années, et cela n'est pas prêt de s'arrêter. La principale préoccupation concernant le futur porte sur la perte des données. Les données sont capitales et devraient rester la cible principale des cyber-attaques. Nous devons tenter d'anticiper les prochaines attaques majeures et de mettre en place des contre-mesures. En tant que professionnels, nous avons le devoir de conserver une longueur d'avance sur les attaquants. »
Infosecurity Europe 2020 donnera aux visiteurs de nombreuses possibilités de perfectionnement de leurs compétences et stratégies en cybersécurité, et d'explorer les innovations et les entreprises les plus en pointe. Cela inclut FutureSec, une série d'évènements et de sessions qui portent sur l'avenir de l'industrie de la sécurité des informations en donnant la priorité aux personnes et aux innovations, une partie inaugurale consistante avec des intervenants sur la stratégie et la technologie, des présentations d'innovations et différents évènements spéciaux entourant une conférence et une exposition sur trois jours.
La 25e édition d'Infosecurity Europe aura lieu à l'Olympia, Hammersmith, Londres, du 2 au 4 juin 2020. Ce salon attire 19 500 professionnels de la sécurité des informations issus de toutes les branches de ce secteur, ainsi que plus de 400 exposants présentant leurs produits et services, des analystes de l'industrie, des journalistes et des experts en stratégie. Plus de 200 intervenants prendront part à la conférence, aux séminaires et aux ateliers gratuits. Pur plus d'informations, voir https://www.infosecurityeurope.com.
La plupart des RSSI ont mis en exergue les risques posés par les technologies émergentes qui seront adoptées de façon plus large en 2020. Partenaire de Deloitte pour les cyber-risques, Peter Gooch explique : « Le déploiement des outils d'automatisation de la sécurité va augmenter en 2020. Lorsque cela se déroule correctement, les organisations pourront s'adapter rapidement aux changements de tactiques d'attaque. Sinon, ces dernières seront plus difficiles à dévoiler.
La transparence sera un facteur majeur lors de la passation de contrats de services cloud, car les fournisseurs devront mettre davantage de données et d'évènements à la disposition des outils SIEM, et démontrer que leurs pratiques et systèmes de sécurité sont proches du temps réel. Les pirates ont tendance à cibler les données non structurées pour s'introduire dans les systèmes et lancer des attaques, et il est donc essentiel de mettre en place une gouvernance solide.
Plus de 100 entreprises de différents pays testeront la 5G privée d'ici la fin de 2020, ce qui risque d'élargir la surface d'attaque, de rendre les flux de données plus difficiles à suivre et de compliquer la tâche des professionnels de la sécurité. »
Mark D. Nicholls, directeur de la sécurité des informations et de la gouvernance pour Peabody, une association de logement, pointe les vulnérabilités de l'intelligence artificielle et de l'IoT. « Le Machine Learning est devenu une pratique courante en 2019, et nous devrions évoluer vers une véritable intelligence artificielle en 2020, mais il ne faut jamais perdre de vue que la technologie est neutre et peut tout aussi bien être détournée par des criminels. Imaginez une attaque par déni de service appuyée par une véritable intelligence artificielle. », prévient-il.
« Alors que les clients recherchent un univers toujours plus intelligent et connecté, le nombre d'attaques ciblant les appareils connectés à d'autres fins ne peut qu'augmenter. Cela n'a rien de nouveau, mais la surface d'attaque va s'élargir. Nous devons poursuivre l'effort de sensibilisation, afin de nous assurer que les humains restent notre meilleure ligne de défense. »
Les vecteurs d'attaque les plus à même de prendre l'ascendant en 2020 ont également fait l'objet de discussions. Becky Pinkard, RSSI, d'Aldermore, une banque primée, s'attend à davantage d'attaques en relation avec la dette technique. « Portées par la demande des consommateurs et le potentiel technologique, les entreprises tendent plus à alourdir leur dette technique qu'à la rembourser. Je pense qu'il faut s'attendre à davantage d'attaques spectaculaires en relation avec cette dette croissante et les “risques furtifs" qu'elle génère. L'intégration à marche forcée de l'open banking dans les services financiers, l'incorporation des API, de la technologie de registre distribué (DLT) et de l'intelligence artificielle en succession rapide, et surtout la priorité donnée à la capture de l'attention des clients, signifient trop souvent que la sécurité est négligée au nom de la production. »
« Le credential stuffing est une véritable épidémie, et je me demande si le pire est vraiment derrière nous compte tenu du nombre de paires de mots de passe et de noms d'utilisateur en circulation » avance Troy Hunt, directeur régional chez Microsoft fondateur de Have I Been Pwned et membre 2019 du Hall of Fame européen d'Infosecurity. « Il est également possible que nous ayons atteint un point de non-retour, où les organisations doivent bloquer certaines tentatives de connexion qui comportent le bon nom d'utilisateur et le bon mot de passe, mais ne proviennent pas de la bonne personne. Aux États-Unis, des actions en justice sont instruites contre des entreprises pourtant victimes du credential stuffing. La situation va empirer ou les organisations vont s'adapter. »
Concernant les approches de sécurité qui permettront d'atténuer les risques dominants en 2020, David Boda, directeur de la sécurité des informations, Camelot Group pense qu'il faut revenir aux fondamentaux. « En faisant porter l'effort principalement sur des procédures d'accès robustes et réactives, ainsi que les correctifs, nous devrions pouvoir gérer les risques pour la majorité des organisations quel que soit leur domaine. Il est important que les fournisseurs, les consultants et les organisations des utilisateurs finaux discutent sérieusement de ces deux points. »
Killian Faughnan, RSSI divisionnaire de William Hill pense lui aussi que le contrôle d'accès sera important, surtout dans l'espace de travail de nouvelle génération. « Il est difficile d'établir un équilibre entre restrictions et laxisme pour le contrôle d'accès. Sachant qu'en 2020, 35 % de nos effectifs seront nés après 2000, il est important de trouver un compromis acceptable pour les employés. »
Certains RSSI pensent que les solutions viendront d'une plus grande intégration de l'industrie. « Je pense que les entreprises de sécurité vont se rapprocher, ce qui devrait se traduire par une meilleure sécurisation à tous les échelons », avance Mark Nicholls.
Dans la même ligne, Peter Gooch pense que la convergence sera une tendance clé : « Un plus grand nombre de fusions/acquisitions de haut niveau devrait se produire en 2020, ainsi qu'une expansion et une formalisation des éditeurs dans le cadre d'un univers plus convergent. Cela devrait ressembler à la révolution ERP qui a transformé le mode de fonctionnement de nombreuses équipes financières et opérationnelles, et pourrait déboucher sur un modèle opérationnel plus efficace pour tous les intervenants du cyber-espace. »
Deux sujets qui ont fait la une en 2018/2019, ne sont plus d'une actualité brûlante pour les RSSI cette année. L'un d'eux est la pénurie de compétences. « Le problème n'a pas disparu »; précise Killian Faughnan, « bien que je pense que nous ayons atteint un point critique et que davantage de sociétés vont recruter à partir de pools de professionnels de la sécurité potentiels et non plus de pools établis. Il est plus facile de former un développeur à la sécurité des informations que l'inverse. »
Le RGPD semble également ne plus être un sujet d'actualité, sans doute à cause du fait que les réglementations et leur impact sont désormais mieux connus. Paul Watts, CISO, Dominos Pizza Royaume-Uni et Irlande, a constaté des signes « d'apathie face aux violations » et se demande si cette tendance va se maintenir en 2020. « Si cela peut s'expliquer en partie par des distractions politiques, je reste convaincu que le nombre de signalements par les professionnels augmente, mais peut-être que le public se lasse ? Je ne sais pas encore s'il s'agit d'une bénédiction ou d'une malédiction pour les RSSI alors que la prochaine décennie se profile… »
L'une des questions qui revient souvent à cette période de l'année est si nous allons voir une « méga violation » qui risque de reléguer des incidents aussi retentissants que celui d'Equifax au second plan. « Une inconnue subsiste : allons nous être témoins d'une violation de données hors normes qui va remettre le monde sens dessus dessous ? », s'interroge Troy Hunt. « S'il se produit un autre incident, tel que celui d'Ashley Madison ou d'Equifax, qui ont eu un impact profond sur des dizaines de millions de vies, cela risque d'occuper la une des journaux pendant pas mal de temps. Mais tout cela est incroyablement difficile à prévoir. »
Nicole Mills, directrice senior d'exposition chez Infosecurity Group explique : « Une partie des tendances lourdes, des défis et des risques de sécurité subsistera en 2020. Différentes technologies en vue depuis déjà quelque temps se répandront et nous devons nous tenir prêts à les implémenter, les utiliser et les protéger de façon adéquate.
« La pénurie de compétences et le RGPD ne font plus partie des préoccupations immédiates des RSSI pour l'année à venir, mais il est important de se rappeler qu'elles n'ont pas disparu pour autant. Les « écarts de compétences » continuent à se creuser et il est important de mutualiser nos efforts pour trouver des solutions. Et si le RGPD n'est plus d'une actualité brûlante comme l'année dernière, les organisations ne doivent pas se reposer sur leurs lauriers. La tâche reste considérable pour assurer la conformité. Ce n'est pas simplement une question de paiement d'amendes, la marque et la réputation peuvent prendre des années à se redresser. »
Elle ajoute : « Les menaces et les piratages ont conditionné l'évolution de la cybersécurité au cours des 25 dernières années, et cela n'est pas prêt de s'arrêter. La principale préoccupation concernant le futur porte sur la perte des données. Les données sont capitales et devraient rester la cible principale des cyber-attaques. Nous devons tenter d'anticiper les prochaines attaques majeures et de mettre en place des contre-mesures. En tant que professionnels, nous avons le devoir de conserver une longueur d'avance sur les attaquants. »
Infosecurity Europe 2020 donnera aux visiteurs de nombreuses possibilités de perfectionnement de leurs compétences et stratégies en cybersécurité, et d'explorer les innovations et les entreprises les plus en pointe. Cela inclut FutureSec, une série d'évènements et de sessions qui portent sur l'avenir de l'industrie de la sécurité des informations en donnant la priorité aux personnes et aux innovations, une partie inaugurale consistante avec des intervenants sur la stratégie et la technologie, des présentations d'innovations et différents évènements spéciaux entourant une conférence et une exposition sur trois jours.
La 25e édition d'Infosecurity Europe aura lieu à l'Olympia, Hammersmith, Londres, du 2 au 4 juin 2020. Ce salon attire 19 500 professionnels de la sécurité des informations issus de toutes les branches de ce secteur, ainsi que plus de 400 exposants présentant leurs produits et services, des analystes de l'industrie, des journalistes et des experts en stratégie. Plus de 200 intervenants prendront part à la conférence, aux séminaires et aux ateliers gratuits. Pur plus d'informations, voir https://www.infosecurityeurope.com.