Greg Day, CSO et VP EMEA chez Palo Alto Networks, livre ses prédictions pour la zone EMEA.
Prenons un peu de recul… Revenons sur l’année écoulée et prenons nos bonnes résolutions en matière de cybersécurité pour celle à venir. Il est temps de faire un point sur les défis et les opportunités qui nous attendent en 2020.
1 — L’IA va faciliter la cybersécurité
Nous avons beaucoup discuté de la façon dont l’intelligence artificielle (ou IA) générerait de nouvelles méthodes de détection des menaces et de la façon dont les cybercriminels cherchent à détourner les capacités de l’IA. Tout cet emballement continuera certainement, mais l’impact de l’IA sur la cybersécurité en 2020 sera sur un autre point : simplifier les processus.
Les systèmes SOAR (Security Orchestration, Automation and Response – outils d’automatisation de la détection et de réponse aux incidents de sécurité) n’en sont qu’un exemple : utiliser l’IA pour rassembler la connaissance humaine détenue par l’équipe responsable de la sécurité avec du NLP (Natural Language Processing – interprétation automatique et génération du langage humain) et lui permettre d’être réutilisée par l’ensemble de l’équipe. Cette approche fournit les premiers blocs qui permettront l’automatisation de tâches simples, répétitives et en grande quantité qu’aucun expert en sécurité n’aime exécuter. Cela permettra également de s’assurer que la bonne personne avec les connaissances adéquates est affectée au bon projet.
2 — Quelle est l’étendue des falsifications digitales ?
Avoir un contact ou une source numérique fiable est de moins en moins facile avec la multiplication des faux comptes et documents. Ces dernières années, nous avons constaté une hausse des faux courriels professionnels (BEC pour Business Email Compromise), utilisant des identifiants volés pour accéder aux systèmes. Et ces contrefaçons continuent de s’étendre aux vidéos, à l’audio et aux autres formats numériques. Nous voyons ces faux passer d’une simple falsification d’adresse à un réseau complexe de mensonges se développant sur plusieurs plateformes. Nous devons nous attendre à voir apparaître des contrefaçons plus approfondies et plus recherchées pour pousser les utilisateurs à faire ce que veulent les cybercriminels.
Pour des tâches critiques, les entreprises ont déjà commencé à mettre en place des contrôles secondaires pour essayer d’identifier et d’arrêter ces faux, que ce soit des BEC ou autres. Mais comme ceux-ci se diversifient, nous devons surveiller de façon plus large les communications numériques et les processus pour déterminer comment atteindre le niveau de confiance requis. Ou alors nous devenons sceptiques et nous travaillons – par défaut – sans jamais accorder notre confiance, limitant ainsi les risques associés et leurs impacts. Avec la tendance à la contrefaçon qui n’est pas prête de se ralentir, nous ne pouvons que constater le développement de réseaux Zero-Trust.
3 — Le Cloud se spécialise
Ce qui était le « Cloud d’abord » est devenu le « adapté au Cloud », « Cloud hybride » et le « Cloud unique », et désormais le « multi-Cloud ». Quelle sera la prochaine étape du voyage dans le Cloud ? La réponse la plus probable sera l’avènement de plus de Clouds spécialisés. Pourquoi ? Plus particulièrement dans la zone EMEA, il semble que les frontières virtuelles pour les données augmentent ; de nombreux acteurs de ces politiques encouragent la migration vers le Cloud, mais à condition que la donnée reste dans leur région ou leur pays. Ce qui s’explique par une importance toujours plus grande accordée à la vie privée et à la confidentialité.
Dans le même temps, l’IoT (Internet of Things) et les autres générateurs de Big Data poussent à avoir de l’edge computing (ou informatique en périphérie de réseau) toujours plus efficaces. Ces deux besoins impliquent de prendre la donnée et de lui faire subir un certain nombre de traitements (que ce soit pour retirer les informations permettant d’identifier l’utilisateur, pour lui ajouter des métadonnées, ou pour réduire le grand volume de données circulant sur le réseau en utilisant des résumés analytiques, qui seront eux-mêmes traités à l’étape suivante).
Tout cela signifie que bien que le Cloud soit connecté, il va devenir plus spécialisé et fragmenté pour s’adapter à tous ces impératifs. Les experts en sécurité s’habituaient à des modèles à responsabilités partagés ; ils devront vite comprendre comment normaliser la supervision à travers plusieurs Clouds et anticiper l’arrivée de plusieurs Clouds spécialisés.
L’agilité liée à l’informatique à la demande sera toujours source de complications pour la sécurité. Les décisions devront être prises en fonction de ce qui sera réalisé en mode SaaS , de ce qui sera fait “on premise”, ou plus important, comme le faire de façon cohérente alors que les services cloud se spécialisent de plus en plus.
4 — Les RSSI retournent à l’école apprendre le DevOp
Dans les années qui viennent, la 5G va générer une explosion de données liées à l’IoT, dont les entreprises vont chercher à tirer un avantage commercial. Et pourtant, alors que tous ces problèmes à venir nécessitent une approche agile, de nombreux RSSI ont du mal à insérer la sécurité dans une approche DevOps qui, pour eux, est comme apprendre un langage totalement inconnu.
La plupart des RSSI ont toujours utilisé des scripts et des interfaces graphiques pour piloter la sécurité informatique. Toutefois, le DevOps replace tout dans le code, en le réduisant à la plus petite portion possible réutilisable, puis nécessite plusieurs niveaux d’orchestration pour fonctionner dans des conteneurs et des environnements serverless. Certains RSSI essaient déjà de comprendre comment intégrer la sécurité dans le code et comment l’adapter à ce nouveau monde numérique. Les autres devront s’y mettre, en 2020 et au-delà. La mutation est en cours. Pour faire simple, les vieilles méthodes et les outils liés n’ont plus cours dans cet environnement ; les RSSI doivent apprendre les nouveaux langages, processus et capacités nécessaires pour rejoindre cet écosystème.
5 — Les ralentissements actuels de la 5G entraîneront une vague encore plus importante d’IoT
La 5G a déjà été déployée dans quelques villes pilotes en Europe. Et pourtant, la situation politique actuelle semble en freiner le déploiement, entraînant des retards pouvant aller de 12 à 24 mois. Toutefois, cela ne ralentit pas la quantité d’objets connectés conçus pour utiliser la 4G existante. Du coup, quand la 5G sera complètement déployée, il y aura beaucoup plus d’objets connectables en 5G déjà en place.
Pour les responsables sécurité, la vague attendue n’en sera que plus grande. Objets liés à la santé, domotique, véhicules autonomes ou opérations boursières ne sont qu’une partie des domaines qui pourront en tirer avantage. Quand la 5G sera là, le délai dans le déploiement signifiera juste que le RSSI et son équipe auront plus de paramètres à prendre en compte comme ce retard n’aura servi qu’à apporter de nouveaux appareils sur le marché et que beaucoup voudront alors avoir un retour sur investissement rapide pour effacer les pertes qui lui sont dues. Les sociétés ne devraient pas reléguer la planification liée à l’IoT et à la 5G au second plan, mais au contraire profiter de ce délai supplémentaire pour affiner la façon dont ils vont identifier ces futurs appareils connectés, et définir les bonnes mesures de sécurité à mettre en place avec quelles fonctionnalités. Si nous pensons qu’avoir un modèle partagé entre le Cloud et les entreprises est compliqué en 2019, nous ne devons pas oublier que l’IoT et la 5G contribueront à la création de chaînes technologiques et de responsabilités associées bien plus complexes.
6 — Des conseils d’administration mieux informés sur la sécurité
Historiquement, la plupart des entreprises veulent comprendre les risques informatiques et les impacts qu’ils peuvent avoir sur elles. Plus elles sont informées, plus il y a de chances pour qu’elles aient une discussion sur le bon niveau d’investissement en cybersécurité pour leurs besoins. Typiquement, les RSSI veulent la solution haut de gamme pour diminuer autant que possible les risques. Pourtant les décisionnaires vont choisir une solution meilleure marché, car ils estiment que l’impact sur leur business est assez bas et ne justifie pas une dépense plus élevée.
Ces discussions ne disparaîtront pas, même si les décisionnaires bien informés poseront de plus en plus la question « et si ? ». Et si cela se produit ? Quelle est la réponse stratégique à avoir ? Combien de temps prendra le retour à la normale ? Quelle est notre solution de secours ? Quels sont les protocoles pour continuer notre activité ? Comme de plus en plus de processus sont numérisés, les décisionnaires sont conscients que, pour un grand nombre de raisons, des problèmes peuvent survenir : la définition d’une bonne sécurité, comme le disent les RSSI, ne se limite pas à l’identification et à la gestion des risques. De plus en plus, elle englobe la stratégie de reprise d’activité développée en relation avec les métiers pour être sûr de minimiser l’impact commercial du « et si ? », et ce d’un bout à l’autre de l’année et 24 h sur 24, dans un environnement s’appuyant sur le Cloud. Vous pourriez avancer que les changements réglementaires expliquent ce changement d’orientation, ce qui est en partie vrai, mais la principale motivation reste la dépendance numérique de la plupart des activités économiques critiques. Les RSSI cherchent toujours à se faire entendre des conseils d’administration. Ils devront désormais faire face à un interrogatoire plus coriace.
7 — Le Edge computing s’accélère
L’edge computing n’en est qu’à ses débuts ; les exemples les plus courants sont certainement son utilisation dans les assistants numériques personnels comme Alexa ou Cortana. Nous avons déjà vu des cas très divers où ces outils peuvent être compromis. De nouvelles fonctionnalités génèrent de nouvelles pistes de compromission, et l’occasion fait le larron. L’edge computing est un point d’entrée. Donc, attendez-vous à voir des exemples où il sera attaqué et à voir les stratégies de sécurité évoluer rapidement dans ce domaine.
8 — Les politiques de réponse aux incidents évoluent, et les vieux SOC sont responsables de plus d’échecs
Dans chaque entreprise, l’étendue des opérations numériques a doublé voire triplé. Le Cloud est désormais intégré dans la vie courante et pourtant, pour beaucoup, la politique de réponse aux incidents reste bloquée trois ou quatre ans en arrière, voire plus. Vous pourriez penser que le RGPD a entraîné des changements dans ce domaine, mais il n’a fait que tester les capacités existantes. Alors que le volume des incidents de sécurité continue à croître, la plupart des RSSI n’ont tout simplement pas le personnel ou les compétences pour suivre le rythme. Beaucoup ont déjà externalisé au moins les premiers filtres depuis des années. Beaucoup réalisent que leurs politiques de réponse aux incidents ne sont pas adaptées au Cloud, qui est plus complexe en demandant des retours du prestataire de Cloud et de l’entreprise. Ce sont ces facteurs qui poussent les responsables sécurité à revoir ce que sera le SOC du futur et comment l’adapter à la croissance sans fin des alertes.
Aujourd’hui, d’un côté, nous avons vu des prestataires de Cloud annoncer 100 % d’automatisation ; et de l’autre, des responsables sécurité dire que rien n’est fait sans une validation humaine préalable. Avec une telle étendue des possibilités, et des besoins toujours plus importants, nous ne pouvons que nous attendre à plus d’échecs qui, à leur tour, impliqueront de repenser les fonctionnalités du SOC ainsi que les compétences et les ressources qui lui sont allouées.
9 — La Terre est ronde, mais le réseau reste trop plat
Avec toujours plus de chaînes logistique, des systèmes de connexion par API, de données et de processus migrant dans le Cloud et, bien sûr, avec des réglementations toujours plus présentes, les entreprises redéfinissent leurs infrastructures réseaux. Beaucoup parlent du concept de réseau Zero Trust (Zero Trust Network ou ZTN) et pourtant constatent que le fossé entre leur état des lieux et l’idéal du ZTN est trop grand à franchir. Ils ont donc retardé toute action en ce sens. En 2020, nous verrons d’autres actions que des simples prises de paroles, beaucoup vont aller dans cette direction avec de nouveaux processus, ou avec ceux qui sont les plus critiques pour leur activité. La clé étant qu’en continuant à numériser et connecter les processus, nous devons mieux limiter les risques qui y sont liés.