AVIS D’EXPERT – 2023 a été une année particulière en matière de cybersécurité. Les discussions sur la cryptographie post-quantique (plusieurs algorithmes étant désormais à l’étude pour une normalisation par le NIST), sur l’utilisation des appareils IoT (et avec elle, les identités des machines), sur l’Intelligence Artificielle (IA) devenue plus accessible que jamais grâce à l’IA générative, … se sont intensifiées créant pléthore de défis de sécurité. Si beaucoup de ces tendances se concrétiseront au cours de la nouvelle année, des défis tout aussi importants vont émerger. Voici ce qui nous attend en 2024, selon Pierre Codis, Directeur Commercial France & Europe du Sud chez KeyFactor.
La continuité du Zero Trust
La confiance zéro sera la priorité de nombreuses entreprises en 2024. Mais face à des infrastructures IT obsolètes (serveurs Windows 2012 par exemple), à la migration vers le cloud, à un manque fonctionnel pour les nouveaux cas d’usage, à des autorités de certification racine à renouveler etc…, les entreprises vont devoir revoir leurs architectures de sécurité et procéder aux ajustements et mises à jour nécessaires pour exploiter tout le potentiel de cette approche. C’est le cas également en matière de PKI. Moderniser une PKI dans une démarche « zero trust », permettra, en effet, aux entreprises de renforcer efficacement leur posture de sécurité et d’atténuer les risques.
L’adoption de la directive NIS 2
L’application de la norme NIS 2, dont l’entrée en vigueur est prévue le 18 octobre prochain, approche à grand pas et il est grand temps pour les entreprises d’agir. Elles ne doivent pas prendre à la légère cette mise en conformité qui vise à harmoniser et à renforcer la cybersécurité des infrastructures critiques sur le marché européen. Certes, elles se sont informées et ont réfléchi au sujet en 2023 mais, cette année, elles vont devoir passer en mode adoption et implémentation. NIS2 encourage les entreprises à introduire une approche zero-trust, des mises à jour logicielles régulières, la gestion des risques, la gestion de l’identité et de l’accès, la signature de code, l’authenticité des logs d’audits, etc…, des mesures qui reposent toutes sur une PKI et une gestion appropriée des certificats.
La concrétisation du Post-Quantique
En juin 2024, le NIST (National Institute of Standards and Technology) va normaliser les protocoles et présenter tous les algorithmes officiels. Par ailleurs, l’IETF (Internet Engineering Task Force) va communiquer sur la mise en œuvre et la définition des certificats hybrides. Dans ce contexte et une fois que l’ensemble de la communauté cybersécurité aura échangé sur le sujet, les entreprises devront commencer à planifier et tester l’adoption de ces algorithmes mais aussi à évaluer le degré de préparation de l’ensemble de leur chaine d’approvisionnement. Si 2023 était l’année du questionnement et de la prise d’informations sur le post-quantique, 2024 sera l’année de l’action et dès le 2ème semestre, on assistera à une accélération importante de la préparation et de la budgétisation du post-quantique. Pour ce faire, les entreprises devront effectuer un inventaire de leurs assets cryptographiques existants, via des solutions CLM, puis mener des tests et des PoCs (Proof of concept) de “crypto-agilité”. D’une manière générale, lorsque les normes seront publiées, de plus en plus de solutions PKI et de signature, prêtes pour le quantique, seront probablement déployées.
L’IoT en pleine croissance posera des problèmes de sécurité persistants
Le risque que les attaquants se servent de l’IoT dans la cyberguerre va se préciser. De nombreux endpoints peuvent, en effet, être des vecteurs d’attaques s’ils ne sont pas correctement sécurisés. Pour certains de ces appareils intelligents destinés aux consommateurs, les entreprises contraintes de réduire les coûts de conception, peuvent avoir supprimé certaines fonctions de sécurité. Tous doivent donc être vigilants à ce sujet. Si l’on regarde encore plus loin dans la sécurité de l’IoT, les fabricants devront sérieusement explorer la cryptographie post-quantique pour les dispositifs IoT qui ont une longue durée de vie.
L’impact tant attendu de l’IA va se manifester
L’IA jouera un rôle important dans la sécurité de l’IoT, pour le meilleur et pour le pire. L’IA peut être utilisée pour le développement de codes ou la conception de produits afin de faire progresser le développement de produits et lancer plus efficacement de nouveaux concepts. Toutefois, l’IA facilitera tellement le décryptage des implémentations faibles des algorithmes qu’il n’y aura pas d’autre choix que d’utiliser des éléments ou des microcontrôleurs (MCU) sécurisés pour exécuter les algorithmes cryptographiques et de s’appuyer sur de fortes implémentations logicielles de ces algorithmes, telles que Bouncy Castle pour les serveurs et les HSM et TO-Protect de Trusted Objects pour les MCU.
La pénurie de talents en matière d’informatique et de sécurité persistera en 2024
La pénurie de talents sera toujours plus forte en 2024. Elle aura pour conséquence d’exercer une pression accrue sur les entreprises qui ne maintiennent pas à jour les compétences de leurs équipes en sécurité informatique. Grâce à l’assouplissement des conditions de travail, les employés qualifiés peuvent désormais travailler pour pratiquement n’importe quelle entreprise dans le monde, ce qui pose un problème considérable aux entreprises situées en dehors des grandes zones métropolitaines et à celles qui ne peuvent tout simplement pas s’aligner sur les rémunérations demandées. La tension ne fera que s’accroître avec la migration vers la cryptographie quantique et l’IA/ML. Les entreprises auront besoin de plus de personnel pour rester en sécurité. Or, le marché du travail n’est tout simplement pas en mesure de répondre à ce besoin.
Pierre Codis, Directeur Commercial France & Europe du Sud chez KeyFactor