Alors que le Forum International de la Cybersécurité (FIC) va ouvrir ses portes à partir du 28 janvier à Lille, plusieurs experts en cybersécurité dressent ici le bilan des principales vulnérabilités exploitées par les attaquants en 2019 et évoquent les grands enjeux cyber pour les années à venir.
« La criminalité s’est depuis longtemps orientée vers le terrain cyber, plus lucratif, moins risqué, permettant d’agir à distance pour espionner, voler, saboter. À mesure que la transformation numérique avance (Cloud, mobilité, ère du tout numérique, de la data) et que la technologie évolue (IoT, 5G, etc.) nous devenons de plus en plus vulnérables », explique Guillaume Tissier, président de CEIS.
La cuirasse des entreprises présente de trop nombreux points faibles
La migration dans le Cloud s’est largement accélérée en 2019. Yogi Chandiramani, CTO EMEA de Zscaler, détaille : « Le Cloud modifie l’infrastructure informatique des entreprises, celles-ci utilisent plusieurs Clouds et les utilisateurs sont de plus en plus mobiles. D’un point de vue sécuritaire, cette ouverture du périmètre réseau de l’entreprise lui impose de repenser son architecture de sécurité : l’une des grandes tendances actuelles est le Zero-Trust, permettant de sécuriser les accès des utilisateurs aux applications métiers et au réseau de manière directe et individualisée et de s’affranchir des traditionnels VPN qui ne sont aujourd’hui absolument plus une garantie de sécurité ».
En 2020, les menaces découleront en partie d’un manque de visibilité sur toutes les données et actifs applicatifs hébergés sur ces Clouds. « Malgré un modèle de responsabilité partagée et la médiatisation des vulnérabilités sur les services cloud, de nombreuses entreprises continueront de manquer à leur devoir de vigilance » s’inquiète Hicham Bouali, directeur Avant-Ventes EMEA de One Identity.
Données, applications, failles humaines, toujours au menu 2020
En moyenne, 22 % des fichiers d’une entreprise sont accessibles à l’ensemble des employés, et dans 53 % (41 % en 2017) des entreprises, ce sont au moins 1000 fichiers contenant des données sensibles qui sont laissés en accès libre à tous les employés selon le Data Risk Report de Varonis.
Norman Girard, VP Europe de Varonis alerte : « Les cybermenaces sont devenues omniprésentes – menaces internes et externes, chiffrage, perte ou altération des données, etc. – et pourtant nous constatons chaque année que les entreprises ne connaissent, ni ne protègent, pas mieux leurs données ». « Les fichiers et les actifs applicatifs étant disponibles pour la plupart des utilisateurs, les usurpations de comptes légitimes – notamment l’utilisation abusive de comptes privilégiés – sont des menaces conséquentes et vont le rester tant que les pratiques de gestion des identités et des accès n’évoluent pas », ajoute Hicham Bouali, de One Identity.
L’application fait désormais partie des principaux actifs de l’entreprise ce qui en fait une cible de choix. Il existait il y a un an 700 millions d’applications dans le monde, elles devraient être 4 milliards en 2023… La transformation numérique engagée, la plupart des services deviennent des services en ligne. Exemple : les bureaux de banque traditionnels deviennent des hubs. Arnaud Lemaire, directeur technique de F5 Networks France, explique : « L’application est donc la ressource principale à protéger, mais nous observons que depuis 2013 les vulnérabilités exploitées par les cybercriminels sont quasiment les mêmes et les entreprises ne les mettent pas à jour ! De la même manière, les principales attaques qui ciblent les applications, DDoS, exploitation de failles existantes, compromission d’identités, vont très certainement demeurer les mêmes en 2020 ».
Le phishing est toujours utilisé dans plus de 90 % des cyberattaques. Alors que les attaques deviennent de plus en plus sophistiquées, il y a des méthodes simples qui ne changent pas beaucoup : le phishing – en constante évolution dans sa forme – reste le vecteur le plus utilisé pour tromper la vigilance d’un collaborateur et/ou d’un dirigeant afin de créer une faille dans le réseau de l’entreprise en vue de la rançonner, de l’espionner ou de lui voler des informations précieuses. Sébastien Gest, Tech Evangelist de Vade Secure, prévient : « Touchant entreprises et particuliers sans distinction, l’email va rester le premier vecteur d’infection. Cette année, nous avons constaté un retour en force de la sextorsion, la multiplication des campagnes de phishing et des failles de données (Yahoo, Accor pour ne citer qu’elles). Il est fort à parier que 2020 suivra le même chemin. Il faut également rester vigilant concernant les tentatives de manipulations autour des élections. De hauts responsables comme Hilary Clinton ou Cédric O ont été la cible dans le passé d’attaques utilisant l’email comme vecteur d’infection. »
Les TPE-PME, les plus vulnérables
Le fossé entre les niveaux de préparation face aux attaques se creuse énormément entre les grands groupesn qui ont les moyensn et les TPE-PME qui éprouvent clairement des difficultés. Elles n’ont pas les ressources (disposer d’un expert en interne est bien au-dessus de leurs moyens – elles allouent en moyenne 1 000 euros à la sécurité…), ni la culture cyber. Les petites entreprises représentent la part la plus importante de notre tissu économique et elles se font attaquer aujourd’hui quotidiennement par des ransomwares, des botnets, du vol de propriété intellectuelle. Pour Pascal Le Digol, directeur France de WatchGuard, « si nous n’accélérons pas la sensibilisation des petites entreprises et des employés, les conséquences pour notre économie vont finir par être graves ».
Boris Sharov, PDG de Doctor Web, va également dans ce sens, et analyse les principaux besoins : « Les TPE-PME ont besoin d’être accompagnées, de disposer de technologies de protection simples d’utilisation, et surtout de connaître les menaces qui les ciblent ». Norman Girard, de Varonis, appuie également sur le fait que « les TPE-PME sont également attaquées pour servir d’accès aux grands groupes dont elles sont prestataires ou fournisseurs – c’est ce qui est arrivé à Airbus récemment, ou au géant américain Target – ou en amont d’une acquisition. La croissance externe représente une part importante de l’investissement total des entreprises en croissance, le problème de sécurité au sein des PME et TPE doit donc concerner tout le monde ».
Professionnalisation des cybercriminels : des attaques ciblées et à fort impact
« Au cours de l’année 2019, nous avons pu constater une évolution dans les attaques de type rançongiciels. Historiquement peu sophistiquées et à effet instantané, ces attaques s’appuyaient sur une large diffusion pour permettre la collecte de sommes importantes à partir d’un grand nombre de rançons de faible valeur. » affirme Cyrille Badeau, VP Europe de ThreatQuotient. « L’année 2019 a connu l’avènement d’un nouveau type de rançongiciel pensé pour bloquer globalement les capacités d’organisations de très grande importance. Beaucoup plus sophistiquées, nécessitant plusieurs mois pour arriver à leurs fins, capables de déployer des outils de désactivation des capacités de sécurité ou de back-up, ces attaques semblent être prévues pour permettre aux cybercriminels de réaliser un blocage à très fort impact et probablement de pouvoir exiger des rançons très importantes. Le rapport de l’ANSSI sur le ransomware LockerGoga détaille le mode opératoire suivi par ce rançongiciel et est révélateur de ce phénomène nouveau. Cette logique du blocage à très fort impact laisse craindre une évolution de ces techniques de rançonnage vers le monde des réseaux industriels, permettant ainsi la paralysie de chaines de productions entières. »
Trop de menaces, trop de données à traiter, trop peu de professionnels
« Selon les dernières études, près d’un million d’emplois en cybersécurité sont actuellement vacants et cela pourrait représenter 3,5 millions de postes d’ici 2022. Chaque année, trop peu de candidats sont diplômés d’une filière spécialisée en cybersécurité » affirme Pascal Le Digol, de Watchguard.
En 2020, sans surprise, l’écart entre les besoins des entreprises en experts et la main d’œuvre qualifiée disponible sur le marché va s’accroître. En effet, les prédictions prévoient une augmentation de 15 % de ce déficit. La transition numérique en sus, il n’y a pas suffisamment de professionnels disponibles pour pallier à la demande grandissante des entreprises. 3/4 des entreprises affirment que cette pénurie de compétences dans le domaine de la cybersécurité les affecte et a, de fait, influé sur leur sécurité. Les prédictions qui suivent découlent généralement de ce constat.
Le volume des données à traiter allant croissant, il pose un défi de taille aux professionnels de la cybersécurité. Au-delà de la pénurie de compétence dans la cybersécurité sur le marché du travail, « le capital humain ne suffit plus pour traiter lesdits flux de données, » affirme Sohrob Kazerounian, Senior Data Scientist de Vectra. « Seul le machine learning peut extraire du trafic ce qui est pertinent. » Raison pour laquelle il pense que les besoins en Data Scientists vont s’intensifier dans le futur. L’expert en IA ajoute que seront « automatisées les tâches répétitives et chronophages et que seront mises en place de nouvelles cultures de travail et de collaboration afin d’optimiser la valeur ajoutée du capital humain dans les départements cyber et de rendre ces métiers plus attractifs ».
Le général Watin-Augouard, directeur du Centre de Recherche de l’École des Officiers de la Gendarmerie Nationale et Fondateur du Forum International de la Cybersécurité, conclut : « Censé pallier le manque de cyber-hygiène des entreprises, tout en faisant face à une surcharge de travail, l’humain, en tant que tel, a été oublié dans la cybersécurité. Sans revalorisation du statut et des tâches des professionnels de la cybersécurité, il est peu de chance que le fossé qui s’est creusé sur le marché du travail entre l’offre et la demande s’amenuise. Pour atteindre cet objectif, il faudra passer par une automatisation des tâches répétitives, abêtissantes et peu gratifiantes. Cette revalorisation passe également par l’évolution de la culture, donc par le dialogue entre les acteurs de la cybersécurité et les sciences humaines. La cybersécurité a besoin de juristes, de sociologues, de philosophes, d’historiens, etc. pour garantir une sécurité de tous au service de la liberté de chacun. Il est temps de replacer l’humain au cœur du discours et de l’action ».