La RSA Conference est le rassemblement le plus important et le plus respecté au monde de RSSI, de technologues et de spécialistes de la cybersécurité. Alors qu’une nouvelle décennie se profile à l’horizon – et que la prochaine conférence se réunira en février à San Francisco – une nouvelle série de défis est là.
Passer en revue les quelque 500 soumissions d’experts en cybersécurité désireux de monter sur scène lors de la conférence (je fais partie du comité qui choisit les présentations) offre un aperçu des problèmes émergents tels que les fakes profonds, les stalkerwares et les attaques de surveillance, tandis que des thèmes de longue date, notamment DevOps et ransomware, gagnent en importance.
Si vous êtes un dirigeant d’entreprise, faites attention à ces tendances (ou inquiétudes). Elles pourraient affecter votre organisation. Voici quelques-uns des plus grands défis que nous voyons sur la base des soumissions.
1. Les fakes et les deep fakes sont les nouveaux mots à la mode.
Les deep fakes – des vidéos et des enregistrements audio truqués qui ressemblent aux vrais – est un sujet d’intérêt pour de nombreux experts. N’importe qui peut télécharger un logiciel pour créer des deep fakes, ce qui offre de nombreuses possibilités d’activités malveillantes. Il est possible de simuler un politicien en train de faire un commentaire susceptible de faire perdre des voix avant une élection. L’enregistrement truqué d’un cadre supérieur pourrait ordonner au service comptable d’effectuer une transaction financière sur le compte bancaire d’un criminel. De nouvelles formes de « stalkerware », un type de logiciel espion, traquent les données des smartphones des victimes pour se faire une idée de leurs activités ; elles peuvent être utilisées pour créer de fausses vidéos, des enregistrements vocaux ou des communications écrites. Le secteur de la sécurité est encore en train d’élaborer sa réponse à cette nouvelle menace.
2. Les smartphones sont utilisés dans les attaques de surveillance.
Avec l’utilisation croissante des applications bancaires et des paiements sans contact, les smartphones deviennent des plaques tournantes pour les transactions financières. Cela a entraîné une augmentation des attaques de surveillance mobile, qui installent des logiciels de suivi sur les téléphones pour surveiller le comportement des gens à partir de leur utilisation du smartphone. Cela permet la fraude par courriel d’entreprise, connue sous le nom de compromission de courriel d’entreprise. Plus un attaquant en sait sur les activités d’une victime, plus il lui est facile d’envoyer un courriel piégé qui l’incite à télécharger un fichier contenant un code malveillant. Les utilisateurs doivent être davantage sensibilisés aux dangers de la surveillance mobile et aux mesures à prendre pour la contrer.
3. Les rançongiciels deviennent plus sophistiqués à mesure que les entreprises paient.
Nous avons vu beaucoup de soumissions sur l’évolution des ransomwares et le jeu du chat et de la souris entre les attaquants qui cherchent des moyens astucieux de contourner les capacités de détection et les défenseurs qui cherchent de nouvelles façons de les bloquer. Au lieu de crypter au hasard toutes les données qu’ils peuvent, les criminels ciblent les données commerciales de grande valeur pour les crypter et demander une rançon. À mon avis, les ransomwares sont à mi-chemin de leur cycle de vie. Nous en parlerons encore pendant de nombreuses années, mais nous finirons par le lécher en affinant nos défenses.
4. Les attaques de la chaîne d’approvisionnement sont en hausse.
Il s’agit de cas où les cyberattaquants injectent du code dans un site web – souvent de commerce électronique ou de finance – leur permettant de voler des données telles que les détails personnels des clients et les données des cartes de crédit. Les adversaires ont redoublé d’efforts pour ce type d’attaque et ont remporté quelques succès récents. En 2019, une entreprise britannique bien connue a été condamnée à une amende record de 241 millions de dollars pour une attaque de la chaîne d’approvisionnement. On pense qu’elle a été montée par le groupe de menaces Magecart. D’autres grandes entreprises ont subi des attaques similaires. D’autres attaques sont probables. Les défenseurs doivent améliorer les protections contre le code voyou et être toujours vigilants afin de pouvoir l’identifier et l’éliminer.
5. DevOps accélère le développement des logiciels mais augmente les risques de sécurité.
DevOps est une méthode transformationnelle de création de code qui relie le développement et les opérations pour accélérer l’innovation logicielle. DevOps s’oppose aux formes traditionnelles de développement de logiciels, qui sont monolithiques, lentes, testées sans fin et faciles à vérifier. Au contraire, DevOps est rapide et nécessite de nombreux petits changements itératifs. Mais cela accroît la complexité et ouvre la voie à une nouvelle série de problèmes de sécurité. Avec DevOps, les vulnérabilités existantes en matière de sécurité peuvent être amplifiées et se manifester de nouvelles façons. La vitesse de création des logiciels peut signifier que de nouvelles vulnérabilités sont créées sans être vues par les développeurs. La solution consiste à intégrer dès le départ la surveillance de la sécurité dans le processus DevOps. Cela nécessite une coopération et une confiance entre le RSSI et l’équipe DevOps.
6. Les environnements d’émulation et de leurre doivent être crédibles.
Les grandes entreprises cherchent à créer des « environnements d’émulation » pour traquer les menaces inconnues. Ceux-ci imitent des serveurs et des sites web crédibles mais sont en réalité là pour attirer les mauvais acteurs afin d’observer leur comportement et de collecter des données sur leurs méthodes. Les leurres fonctionnent de la même manière. Le défi consiste à créer des environnements d’émulation suffisamment performants pour tromper l’adversaire et lui faire croire qu’il s’agit d’un serveur ou d’un site web du monde réel.
7. La réponse aux incidents dans le cloud nécessite de nouveaux outils et de nouvelles compétences pour les équipes de sécurité internes.
Les organisations ont l’habitude de traiter les incidents de cybersécurité sur leurs propres réseaux. Mais lorsque leurs données sont stockées dans le cloud, les équipes de sécurité peuvent avoir du mal. Elles n’ont pas un accès complet aux données de sécurité, car celles-ci sont contrôlées par le fournisseur de cloud. Elles peuvent donc avoir du mal à distinguer les événements informatiques quotidiens des incidents de sécurité. Les équipes de réponse aux incidents existantes ont besoin de nouvelles compétences et de nouveaux outils pour effectuer des analyses médico-légales sur les données du cloud. Les chefs d’entreprise devraient mettre leurs équipes au défi de savoir si elles sont préparées et capables de gérer et de répondre aux attaques de sécurité dans le cloud.
8. intelligence artificielle et apprentissage automatique.
Nous avons reçu d’innombrables articles sur l’IA et le ML. Ces technologies sont à un stade précoce dans la cybersécurité. Les attaquants étudient la façon dont les réseaux utilisent le ML pour les défenses de sécurité afin de savoir comment les violer. Ils étudient la manière dont les experts en IA essaient de tromper les systèmes de reconnaissance d’images en identifiant un poulet ou une banane comme un être humain. Pour cela, il faut comprendre comment fonctionne le moteur ML du système, puis trouver des moyens de le tromper efficacement et de casser la modélisation mathématique. Les attaquants utilisent des techniques similaires pour tromper les modèles ML utilisés en cybersécurité. L’IA et la modélisation mathématique sont également utilisées pour renforcer les falsifications profondes. Ils rassemblent et traitent d’énormes quantités de données pour comprendre leurs victimes et savoir si une attaque ou une fraude par deep fake va réussir.
9. Les attaques matérielles et micrologicielles sont de retour.
On s’inquiète de plus en plus des vulnérabilités matérielles telles que Spectre et Meltdown. Celles-ci font partie d’une famille de vulnérabilités, révélées en 2018, qui affectent presque toutes les puces informatiques fabriquées au cours des 20 dernières années. Aucune attaque sérieuse n’a encore eu lieu. Mais les experts en sécurité prévoient ce qui pourrait se passer si un pirate parvenait à exploiter ces faiblesses dans le matériel et les microprogrammes.
10. Les utilisateurs puissants ont besoin de protection.
Créer des connexions sécurisées pour les cadres supérieurs et autres employés de haut niveau qui ont accès aux données les plus sensibles de l’entreprise sur leurs propres appareils est vital. Quelles mesures doivent être prises pour assurer leur sécurité ?
11. L’industrie de la sécurité prend enfin des mesures contre l’usurpation d’identité DNS.
Les adresses IP sont les chaînes de chiffres qui identifient les ordinateurs sur un réseau Internet. Le système de nom de domaine attribue un nom à chaque adresse IP afin qu’elle puisse être trouvée sur le web. Le DNS est connu comme l’annuaire téléphonique de l’internet. Mais des acteurs malveillants peuvent usurper ces noms et diriger les utilisateurs vers des sites web compromis où ils risquent de se faire voler leurs données. L’industrie a enfin commencé à recueillir davantage d’informations sur le DNS pour identifier ces problèmes et prévenir l’usurpation de noms.