AVIS D’EXPERT – En cette fin d’année 2023, il est temps de faire le bilan des grandes tendances de cybersécurité qui ont marqué l’année et d’envisager ce que 2024 pourrait bien nous réserver. Thomas Manierre, Directeur Commercial Régional Europe du Sud de Beyondtrust, nous partage ici ses pronostics quant aux évolutions qui risquent d’impacter l’univers de la cybersécurité en 2024.
L’évolution des menaces liées à l’IA
L’Intelligence artificielle (IA) est vraiment arrivée en force en 2023. L’IA générative, surtout, a marqué les esprits avec l’arrivée fracassante de ChatGPT dans la conscience collective, à la maison comme au bureau. L’acceptation globale de l’application de l’IA à tous types d’opérations, de la programmation à la comptabilité, promet de nombreux avantages et gains de productivité, mais change aussi la donne en termes d’exposition aux cybermenaces. Les développements de l’IA se poursuivront en 2024, et les menaces liées à l’IA risquent bien aussi d’exploser rapidement selon trois critères :
- Les cybercriminels s’emparent de l’IA De plus en plus, les cybercriminels humains vont se doter de capacités IA qui vont décupler leur force, leur portée d’action et leurs moyens techniques. L’IA générative (ex ChatGPT) prépare ce qui va suivre. L’IA faible (Weak AI) ou étroite (Narrow AI) va prospérer en 2024 et conférer un avantage de taille aux cybercriminels pour découvrir des vulnérabilités et tromper les mécanismes de détection par exemple. L’IA forte (Strong AI) devrait évoluer rapidement également pour donner accès à une plus grande intelligence, davantage calquée sur l’intelligence humaine, et elle permettra à un seul cybercriminel d’agir comme une armée. Non seulement les capacités techniques seront nettement supérieures à celles des pirates humains mais les gains de rapidité et d’échelle leur conféreront une longueur d’avance sur les concurrents humains pour capitaliser sur le marché noir.
- De nouveaux vecteurs de menace basés sur l’IA
L’IA va continuer d’améliorer les vecteurs d’attaque connus, comme le phishing, le vishing et le smishing. De nouveaux vecteurs d’attaque verront également le jour en fonction de la qualité des résultats produits par l’IA générative. On en voit les prémices sous la forme d’articles à base de fake news dans de grands journaux, de faux casiers judiciaires et de faux courriers et annonces à l’en-tête d’organisations officielles. Bientôt, ce seront des vidéos, des audios, des publicités et même de faux récapitulatifs de faits ou des annonces de produits fictifs, et nous serons contraints de devoir distinguer le vrai du faux. - Nouvelles vulnérabilités créées par la programmation par l’IA
L’adoption accrue des assistants IA risque d’introduire davantage d’erreurs au cours du développement de logiciels, par la création de vulnérabilités de sécurité dans le code source (cf. l’étude de Stanford). Les modèles d’IA générative entraînés sur des échantillons de code en ligne qui comportent des erreurs vont faire que ce sont des erreurs machine plutôt que des erreurs humaines qui seront la cause des vulnérabilités logicielles.
Le début de la fin des applications dédiées
Dès 2024, l’IA générative va commencer à rendre obsolètes les applications mobiles et icônes auxquelles nous sommes habitués. Toutes les réponses à nos questions pourraient être obtenues par simple commande vocale d’une interface standard. Et la demande de grands écrans mobiles pourrait diminuer fortement puisque le concept des interfaces utilisateur complexes pour une multiplicité d’applications va laisser place à une solution fonctionnelle spécifique, visant le résultat.
Fin de la VOIP et de la téléphonie fixe. Longue vie aux communications unifiées UCS
2024 sera l’année de la fin définitive de la téléphonie fixe ou POTS (Plain Old Telephone System), des factures de téléphone longue distance et des téléphones de bureau, suivis de près par la voix sur IP (VOIP) dédiée. On peut d’ores et déjà tous répondre aux appels sur nos ordinateurs et via des applications sur nos smartphones. Ce n’est qu’une question de temps avant que les numéros de téléphone ne disparaissent complètement, remplacés par les adresses e-mail et les alias. Enfin, maintenant que les communications ne passent plus par des systèmes analogiques dédiés, il faut s’attendre à ce que des vulnérabilités, des piratages et des exploits créent des brèches de sécurité quand la téléphonie était jusqu’ici considérée comme un moyen de communication sûr.
Les nouvelles pratiques sur abonnement
Les paiements électroniques vont continuer de remplacer les espèces, mais un nombre croissant d’articles que l’on achetait par le passé ne sera plus disponible/utilisable que sur abonnement. Ce qu’il faut comprendre c’est que tout défaut dans le contrat de licence sur abonnement ou la résiliation d’un contrat pourra occasionner des pertes de données (sur la période non couverte) ou l’archivage des informations qui pourraient ensuite faire l’objet d’une compromission. Le seul recours d’un utilisateur sera de demander à ce que ses données soient supprimées dès la résiliation intentionnelle d’un abonnement pour éviter que des données le concernant soient stockées.
Standardisation sur l’USB-C et focalisation des piratages
L’USB-C s’imposera partout en remplacement de l’USB-A (cf. les nouvelles règles européennes) avec des vitesses de charge et de transfert de données ultra-rapides. Cela nous rapprochera de la compatibilité internationale et éliminera les déchets électroniques de multiples connecteurs non-standard. Sous l’angle des menaces, on peut s’attendre à davantage de piratages et d’autres vecteurs d’attaque des connexions physiques. Puisque les cybercriminels n’auront plus qu’un seul type de connexion à pirater, leurs chances de réussite seront supérieures.
Cartographie des exploits de ransomware
Il faut s’attendre à un recul des tentatives d’extorsion de données ciblées au profit d’attaques visant à collecter des données pour les revendre. Les criminels se concentreront plus sur la vente d’informations concernant des exploits et les vulnérabilités d’une entreprise que sur l’organisation par eux-mêmes de la demande de rançon.
La standardisation des polices de cyberassurance
Les polices de cyberassurance seront de plus en plus normalisées et communes aux différents assureurs pour éviter que chacun ait ses propres exigences et conditions à remplir. Le secteur de la cyberassurance adoptera probablement un modèle de contrat-cadre ou une régulation accrue. Grâce à cette évolution, les assureurs pourront proposer des polices standard couvrant tous les risques de cybersécurité.
Ces tendances ne sont à ce jour que des prédictions, cependant, se préparer en amont fait toute la différence en termes d’efficacité de gestion des risques. Les études démontrent que les entreprises aux postures de sécurité informatique les plus proactives se protègent mieux des menaces, identifient plus rapidement les risques pour leur sécurité, déplorent moins de compromissions et subissent moins de dommages que les entreprises moins préparées en cas d’attaque.
Thomas Manierre, Directeur Commercial Régional Europe du Sud de Beyondtrust