Ces dernières années, le monde de la cybersécurité a connu son lot d'événements qui ont fait la une des journaux : le passage au télétravail post-pandémie, l'ancien cadre dirigeant qui a lancé l'alerte sur un grand réseau social, le phénomène ChatGPT basé sur l'IA, et plus encore.
Nous avons rassemblé ici les principales prévisions de sécurité pour 2023 pour vous aider à déterminer là où il faudra faire preuve de prudence et là où vous pourrez garder l’esprit tranquille.
Alors que la guerre en Europe entre dans sa deuxième année, les experts prévoient qu’une incertitude économique et même une légère récession mondiale joueront un rôle important dans la cyberguerre. La CISA a récemment alerté sur une augmentation des attaques « visant à semer le chaos et la discorde au sein de la société » et a incité les entreprises à redoubler de vigilance face à ce risque.
Selon Built In, la menace mondiale des cyberattaques a augmenté de 16 % depuis le début du conflit russo-ukrainien en février 2022. Bien que l’administration Biden ait promulgué la loi Cyber Incident Reporting for Critical Infrastructure Act of 2022, visant à « permettre à la CISA de déployer rapidement des ressources et de prêter assistance aux victimes d’attaques, d’analyser les signalements entrants dans tous les secteurs pour repérer les tendances et de partager rapidement ces informations avec les défenseurs du réseau afin d’avertir d’autres victimes potentielles », les experts pensent toujours que le conflit en Europe continuera d’avoir un impact négatif sur la résilience cyber mondiale.
Selon le rapport Verizon sur les enquêtes suite à des fuites de données, les ransomwares vendus en tant que service (RaaS) continuent de gagner en popularité parmi les acteurs malveillants. En témoignent les violations liées à ce type d’attaques qui ont doublé en fréquence en 2021.
« L’image d’une personne solitaire portant un sweat à capuche, confinée dans un sous-sol, qui mine des données pour de l’argent n’est plus du tout d’actualité », rapporte le magazine FinTech. « Aujourd’hui, les pirates sont des hommes en costard qui, à toutes fins utiles, agissent comme de vraies entreprises. »
Plus de la moitié de toutes les institutions financières ont été touchées par un ransomware l’année dernière, soit une augmentation de 62 % par rapport à l’année précédente. Et rien qu’au deuxième trimestre 2022, environ 52 millions de fuites de données se sont produites dans le monde.
Dustin Heywood, architecte en chef pour IBM Security X-Force, prévoit une augmentation des attaques contre les anciennes méthodes d’authentification à deux facteurs et multifacteur en 2023, ainsi que des tactiques de phishing innovantes.
Et un récent rapport de J.P. Morgan fait écho au point de vue de Dustin selon lequel les acteurs malveillants auront recours à de nouvelles méthodes non conventionnelles pour gagner gros. « Les nouvelles tactiques d’extorsion et les nouvelles menaces feront partie de l’ambition de cette année, à savoir plus de paiements de rançons », prévoit le géant des finances.
Le Zero Trust, défini par le NIST comme un « recueil de concepts et d’idées conçus pour minimiser l’incertitude dans l’application précise du moindre privilège » pourrait bien être le buzzword de l’année 2023.
Nommée dans le décret exécutif sur l’amélioration de la cybersécurité de la nation, l’adoption du Zero Trust continuera de croître, et pour cause. Les entreprises ayant adopté une approche Zero Trust ont économisé près de 1 million de dollars en coûts moyens par fuite de données, comparé aux entreprises qui n’ont pas mis l’approche en place, d’après IBM. En outre, 80 % des fuites de données sont dues à des mots de passe faciles à deviner ou réutilisés, selon le rapport Verizon, mais dans un modèle Zero Trust, les utilisateurs doivent vérifier leur identité lorsqu’ils tentent d’accéder aux données.
Alors que le passage au télétravail continue d’être prolifique, certains experts prédisent que l’approche Zero Trust pourrait même remplacer le VPN. Selon Forbes, « les réseaux privés virtuels (VPN) ne peuvent pas répondre aux exigences d’évolutivité, et la technologie elle-même peut être sujette à des cyberattaques et à des vulnérabilités. Le Zero Trust, en revanche, est une approche à plusieurs niveaux à la fois évolutive et hautement sécurisée. »
Selon l’analyste d’IDC, Frank Dickson, « ce n’est pas que nous éliminons totalement les VPN, mais lorsque nous examinons des moyens de protéger les télétravailleurs, les VPN ne cochent pas toutes les cases. » D’autres cabinets d’analyse semblent être d’accord sur ce point. Gartner prévoit que d’ici 2023, 60 % des entreprises abandonneront progressivement leur VPN pour l’accès à distance au profit du Zero Trust.
Avec un besoin mondial estimé à 3,4 millions de travailleurs en cybersécurité, les dirigeants s’attendent à ce que la pénurie de professionnels disponibles – et qualifiés – soit problématique pour les entreprises en 2023.
« Le phénomène de la Grande Démission a compliqué la recherche de compétences », explique le Ponemon Institute. Pour garder une posture solide en matière de sécurité, vous devez compter sur du personnel capable de la gérer. »
FinTech va plus loin et suggère qu’il pourrait y avoir une guerre totale sur les talents en cybersécurité, ce qui empêchera les entreprises de gérer leurs besoins de sécurité en interne. Une solution à la pénurie ? Formez vos employés actuels à sécuriser correctement le cloud.
« La montée en compétences du personnel actuel est un excellent moyen d’y parvenir, car cela revient moins cher que d’utiliser le salaire pour attirer des talents et cela présente l’avantage d’agir sur l’implication des employés, suggère l’article de FinTech. Le personnel est plus enclin à rester dans une entreprise où il a l’impression de pouvoir progresser, ce qui est attrayant pour d’autres employés potentiels. »
Le télétravail continue de croître à un rythme phénoménal, et les projections ne montrent aucun signe de ralentissement. Gallup estime que plus de 70 millions de travailleurs américains sont parfaitement capables de travailler à distance, et seuls 2 % de ceux qui en ont la possibilité choisissent plutôt de travailler sur site.
Le site Web de recrutement Ladders prévoit que cette tendance ne fera qu’augmenter en 2023. Selon Marc Cendella, son PDG, le passage du travail au bureau au télétravail affecte l’ensemble du secteur.
« Le travail nous prend environ la moitié de notre journée éveillé. Alors quand vous changez de lieu de travail et de façon de travailler, cela impacte toute votre vie », résume-t-il.
Cependant, bien que le télétravail puisse être plus agréable pour les employés, l’augmentation de l’utilisation des appareils personnels pour se connecter aux réseaux de l’entreprise est une source d’inquiétude pour les équipes de sécurité.
« Avant la pandémie, quand nous étions tous au bureau, il était assez simple pour les agents de sécurité, probablement basés dans les services informatiques, de vérifier et de mettre à jour régulièrement les ordinateurs portables et les smartphones de l’entreprise, signale Forbes. En 2023, lorsque les employés sont de plus en plus nombreux à utiliser des appareils personnels pour se connecter à distance aux réseaux professionnels, un nouvel ensemble de problèmes apparaît. »
Et Sylvie de la compta ? Comment savez-vous qu’elle est bien la personne qui demande l’accès aux données financières de l’entreprise ? Puisqu’on en parle, avez-vous déjà rencontré Sylvie en personne ? Forbes souligne qu’avec l’essor du télétravail, les employés n’ont plus l’opportunité de se retrouver autour de la machine à café, et peuvent donc tomber dans le piège des usurpations d’identité.
Les experts en sécurité estiment qu’en 2023, les formations seront en plein essor. Elles visent à informer les télétravailleurs sur les attaques d’ingénierie sociale et comment les éviter, les meilleurs moyens de protéger leurs appareils et comment adopter de bonnes habitudes de cybersécurité.
Le volume de données augmente bien plus vite que ne le peuvent les équipes de cybersécurité. Les processus manuels qui peuvent prendre des heures ou même des jours sont remplacés par des mesures simplifiées et automatisées, et selon l’ISACA, alors que les volumes de données augmentent de jour en jour, la surveillance automatisée du cloud fera de même.
Selon Forbes, « les algorithmes de machine learning peuvent examiner la grande quantité de données circulant sur les réseaux en temps réel beaucoup plus efficacement que les êtres humains et apprendre à reconnaître des schémas qui peuvent signaler la présence d’une menace. »
En plus de libérer le personnel de sécurité débordé, un autre avantage de l’automatisation et de l’intelligence artificielle est la réduction considérable des coûts. Un rapport d’IBM a révélé que les entreprises qui utilisent l’automatisation pour détecter et répondre aux fuites de données économisent en moyenne 3 millions de dollars par rapport aux autres. Selon une étude de Teramind, les entreprises qui utilisent l’IA sont en mesure de détecter et de contenir ces fuites 27 % plus vite.
Varonis a présenté l’automatisation du principe du moindre privilège au début de l’année, le premier moteur de remédiation entièrement autonome du secteur. Cette nouvelle fonctionnalité supprime intelligemment et systématiquement les accès inutiles et applique automatiquement le principe de moindre privilège. Cette amélioration montre la tendance du secteur à passer à l’automatisation.
L’administration Biden a récemment publié la stratégie nationale de cybersécurité, qui vise à « garantir au peuple américain tous les avantages d’un écosystème digital sûr et sécurisé ». L’institut d’analyse Gartner prévoit que les lois modernes sur la confidentialité couvriront les informations personnelles de 75 % de la population mondiale d’ici la fin de l’année.
De plus, d’ici 2025, Gartner estime que 40 % des conseils d’administration auront une personne experte en cybersécurité qui siégera à la table.
Cependant, leur analyse révèle également ce chiffre alarmant : 60 % des entreprises adopteront le Zero Trust comme point de départ pour leur sécurité d’ici 2025. Pourtant, plus de la moitié n’en récolteront pas les fruits.
Bien que nous ne soyons pas capable de voir l’avenir, Varonis peut vous préparer à ce qui se trame, en vous fournissant des résultats en matière de sécurité des données, en prenant des décisions intelligentes sur les accès et en réduisant continuellement votre surface d’exposition, sans perturber vos activités.