Sécurité informatique : un œil dans le rétro 2022, le pied sur l’accélérateur en 2023

Tous les ans c’est la même chose : on a droit à une carte de Vœu et aux prédictions alarmistes de nos vendeurs de solutions de sécurité informatique : équipez-vous, qu’ils disent ! Il y en a bien quelques-uns parmi eux qui poussent (ou ont poussé) l’exercice jusqu’à vérifier a posteriori leurs prédictions, mais la plupart préfèrent s’en tenir aux chiffres de leurs ventes. Alors voici, en exclusivité pour Next INpact, la synthèse ultime pour 2023 : ça ne va pas s’arranger.

Retour en 2022 avec le Gartner

Prenons un exemple au hasard (presque), le Gartner. Bien que cet organisme ne soit pas spécialisé dans la sécurité informatique, il fait référence (avec le Forrester) dans le domaine informatique. Regardons ses prédictions de (début) 2022 pour l’année 2022 (sans forcément reprendre la structuration du document initial).

• Les gouvernements vont accentuer la pression sur la régulation des données personnelles.

Le RGPD était déjà en vigueur, mais d’autres pays ont emboité le pas à ce règlement. Notons au passage l’excellente carte de la CNIL pour comparer le niveau de protection de ces données, à l’aune de l’invalidation du Privacy Shield et du Safe Harbor. Fin 2021, la Chine a également emboité le pas à l’Europe (même s’il y a quelques nuances par rapport au RGPD), tout comme la Californie en 2018, donc forcément cela influe aussi sur les prévisions.

• D’ici 2025, 80 % des entreprises utiliseront des solutions SSE.

Comme moi, vous ignorez totalement ce que sont les solutions SSE, je venais à peine de me familiariser avec les « sassi » (SASE). Comme Netskope l’explique, une solution SASE permet grosso modo d’accéder au cloud… via le cloud. Mais de façon sécurisée. En clair, comme il devient de plus en plus complexe de sécuriser ses accès au cloud par soi-même, on fait appel à un service externe de cloud. Une solution SASE est architecturée en deux parties :

• La partie réseau (pour suivre la charge liée à l’usage de l’entreprise et de ses employés de services externes) ;
• La partie sécurité, qui est appelée SSE, qui comporte les pare-feu (en tant que service), les « Next Generation Secure Web Gateway » (appelés autrefois proxies web), outils de lutte contre la fuite d’information, etc.

Il faut donc attendre 2-3 ans avant de pouvoir le vérifier, et c’est l’avantage de ce type de prédiction : dans 3 ans, tout le monde l’aura oubliée.

• Plein de Zero Trust.

Gartner nous suggère que beaucoup d’entreprises s’engageront dans une démarche Zero Trust, mais que la moitié n’y gagnera rien. Autant la vague Zero Trust est une lame de fond liée à l’atomisation (de façon générale) des systèmes informatiques, autant l’échec de sa mise en place est plausible vu la complexité de la chose et parfois son inutilité. Faire du Zero Trust, c’est bien, mais quand c’est pertinent : allez faire du Zero Trust pur et dur sur du mainframe…

• Surveiller ses fournisseurs, tiers et autres supply chains.

Là, ils ont mis dans le mille, les attaques via les tiers sont désormais monnaie courante. D’un autre côté, l’ANSSI l’avait déjà pressenti en 2021.

• Ransomware.

Il était aussi prévu une intervention plus forte des États pour la régulation du paiement des rançons liées au cybercrime. Mais ils n’avaient sans doute pas prévu que notre administration irait jusqu’à l’encourager de fait, en autorisant les assurances à payer pour cette rançon.

Rappels utiles : les chiffres varient bien évidemment selon les études, mais 92 % de ceux qui paient ne récupèrent pas leurs données, 80 % des victimes de ransomware sont de nouveau attaquées, seuls 32 % ont récupéré la totalité de leurs données, et 24 % (.pdf) n'ont récupéré que la moitié (voire moins) de leurs données.

• Les organisations vont s’adapter.

Sans détailler, la gestion des risques et la culture de la résilience seront des priorités dans les entreprises, ce qui pourra aller jusqu’à s’introduire sous forme de clause de performances pour certains dirigeants et managers, sous la forme de bonus indexés sur la réussite de la mise en place de la résilience de leur SI.

Rien que de très prévisible, somme toute, seule la partie quantitative pourrait prêter à discussion, mais aujourd’hui on sait bien qu’il ne faut plus se demander si on va subir une attaque, mais combien de fois. Les organisations ont déjà commencé à s’adapter, mais hélas les plus petites resteront les plus fragiles car cette adaptation entraîne un coût et un investissement que tout le monde ne peut pas se permettre.

La critique est aisée mais la prédiction est difficile

Oui, la critique est facile, surtout après coup, mais retenons plusieurs choses : d’abord l’exercice n’est pas simple, même en y mettant des moyens comme les grands cabinets d’analystes. Personne n’avait vu venir la guerre en Ukraine ni mesuré correctement son impact une fois qu’elle fut déclenchée.

Ensuite, si les éditeurs sont enclins à présenter les choses en faveur de la vente de leurs outils, beaucoup d’entre eux sont malgré tout bien documentés sur les sujets qu’ils traitent. Quand Cloudflare nous présente son radar 2022 (ce ne sont pas des prédictions, mais un rapport sur ce qu’ils ont vu en 2022) ou quand Splunk publie ses prédictions et sa stratégie pour survivre (informatiquement) à 2023, ça a du sens : savoir ce qui s’est passé peut servir à alimenter la réflexion pour préparer le futur.

Enfin, en multipliant ses sources, on peut arriver à dessiner les grandes tendances, comme les modifications de stratégie des opérateurs de ransomwares ou la multiplication des attaques dites de supply chain. L'histoire de SolarWinds pourrait se répéter et devenir une méthode très à la mode.

Qui dit quoi pour 2023 ?

Splunk nous annonce que les entreprises seront confrontées au défi de la résilience. Avec la vague de ransomwares qui ne va pas retomber, on se doute qu’il faudra y faire face et savoir résister, voire reconstruire son SI si besoin. Le modèle Cybercrime-as-a-Service désormais bien établi va alimenter cette tendance… Sans compter le modèle fourni malgré lui par l’Ukraine qui résiste aux attaques informatiques russes, grâce à Amazon Snowflake (entre autres) mais surtout grâce à une préparation de longue date (depuis l’annexion de la Crimée en 2014).

De façon plus téméraire, Splunk pense également que les secousses sur le marché des cryptomonnaies ne vont pas affecter le système des ransomwares, les cryptos n’étant qu’un intermédiaire dans le circuit de blanchiment de l’argent des rançons.

D’ailleurs, malgré la chute des cryptos, l’activité ransomware ne faiblit pas ou, si c’est le cas pour certains autres analystes, la raison pourrait bien être plutôt la hausse de la rentabilité des attaques, de mieux en mieux préparées et ciblées (sauf pour Lockbit). En tout cas, les dirigeants ayant répondu à l’étude de PwC pensent que les attaques de ce type augmenteront en 2023.

Parmi ses autres prévisions, Splunk pense que tout ce qui est IA et machine learning va aider les cyberdéfenseurs. Là, ils sont un peu en retard, car si au FIC 2021 vous n’aviez pas votre stand avec un de ces mots, vous étiez « has been ». Par contre, ils pensent que cela servira aussi les attaquants, et là, on sait qu’il ne s’agit que d’une question de temps avant que cela n’arrive en masse : les technologies ne sont ni bonnes ni mauvaises, il n’y a aucune raison qu’un cybercriminel n’en tire pas profit également.

Côté Gartner, on ne se mouille pas trop : attaques supply chain, risques géopolitiques (dont personne ne parlait avant 2022, pour rappel, alors qu’ils étaient déjà prégnants), architecture Zero Trust, un peu de DevSecOps et d’automatisation et hop ! le tour est joué. Notez que tout peut se mélanger, avec une compromission de supply chain via des attaquants étatiques (selon CrowdStrike).

Plus intéressant : l’éditeur SentinelOne note la nécessité de collaborations pour mieux traiter les menaces, ce qui n’est pas sans rappeler les propos de Google comme quoi la cybersécurité est un sport d’équipe. Il s’agit plus d’un besoin que d’une prédiction, mais cette demande est intéressante à plus d’un titre, car les menaces se propagent et ce qui touche une organisation un jour touchera une autre organisation par la suite : les marqueurs, le renseignement en source ouverte (OSINT), l’interopérabilité seront sûrement des outils clés pour la lutte contre les cybercrimes.

Ici, on est à l’inverse du machine learning (où les attaquants ne sont pas encore pointus sur le sujet), car les différents groupes malveillants collaborent déjà, et c’est aux « gentils » d’accorder un peu leurs violons. Parmi leurs autres points d’attention, ils notent une forte augmentation des attaques portant sur l’écosystème MacOS : « on ne peut plus se cacher derrière son Mac », nous préviennent-ils.

Côté ingénierie sociale, deep fakes, propagande, désinformation et manipulation de l’information, il va falloir vivre avec et surtout agir en fonction de la menace, par exemple en période d’élections. Mandiant voit même le paysage géopolitique influer fortement sur les cyberattaques, entre l’Iran qui va espionner, la Corée du Nord qui cherchera des revenus pour sa survie économique ou les Chinois qui sont capables de tout faire, il ne nous reste plus qu’à nous méfier de tous nos voisins.

Enfin, on ne peut pas passer à côté du « règlementaire », qui semble faire consensus (tout comme le risque géopolitique). En Europe, il faudra prévoir la mise en œuvre de la directive Digital Operational Resilience Act (DORA) pour la résilience (plutôt à destination des organismes financiers, qui sera un des secteurs les plus touchés avec l’industrie, selon Wavestone), la directive Network and Information Security (NIS2) et le Cyber Resilience Act pour les objets connectés. Les services juridiques et informatiques vont avoir du boulot, cette année. À condition de pouvoir s’organiser et recruter, ce qui sera certainement un grand défi pour cette année car la ressource humaine reste rare.

Que retenir ?

Comme dit en introduction, la situation ne va pas s’arranger. Mais si on en croit nos augures, un bon coup de Zero Trust, du MFA, du monitoring (proactif) d’Active Directory et un bon EDR. Mixez avec un peu de cloud critique et de souveraineté, et vous arriverez jusqu’en 2024 où vous pourrez prendre connaissance en toute tranquillité des futures menaces auxquelles vous devrez faire face.

Et en vraie conclusion : bonne année à tous les lecteurs !