Les prévisions en matière de cybersécurité pour 2023
À la lumière des nombreuses cyberattaques à grande échelle observées l’an passé, 2023 promet d’être une période passionnante pour la cybersécurité. Les experts d’Outpost24 partagent leurs réflexions sur ce à quoi nous pouvons nous attendre pour cette nouvelle année et sur la meilleure façon de se préparer aux nouvelles menaces.
Le télétravail est mort. Vive le travail hybride !
À l’aube de 2023, les organisations reconnaissent de plus en plus la nécessité d’adopter des modèles de travail hybrides. Dans ce contexte, les équipes de sécurité doivent prendre en compte les implications d’une main-d’œuvre qui alterne entre présence physique et travail à distance.
Tout d’abord, les VPN et l’accès à distance deviendront une cible plus importante pour les cyberattaques. Les entreprises doivent s’assurer qu’elles mettent correctement en œuvre des mécanismes d’authentification forte et des politiques de contrôle d’accès.
L’utilisateur reste le point faible de votre défense. De plus, les télétravailleurs étant physiquement isolés de leurs collègues, ils deviennent des cibles plus faciles pour les attaques d’ingénierie sociale.
Les distinctions entre appareils professionnels et personnels étant de moins en moins marquées, les entreprises doivent davantage se concentrer sur le comportement des utilisateurs. Il est crucial de s’assurer que les employés mettent bien les bonnes pratiques en œuvre lorsqu’ils accèdent à des données sensibles ou qu’ils communiquent avec leurs collègues. Il s’agit notamment de mettre en place des programmes de formation, de procéder à des évaluations régulières de la sécurité et d’utiliser l’authentification multifactorielle pour sécuriser les comptes.
Pour limiter les risques, les entreprises doivent s’assurer que leurs cyberdéfenses sont adaptées pour couvrir les deux environnements de travail (sur place et à distance). Pour de nombreuses organisations, la question de savoir comment gérer en toute sécurité une main-d’œuvre hybride reste encore en suspens :
- Comment les utilisateurs se servent-ils et consomment-ils les données de l’entreprise ?
- Où ces données sont-elles stockées ? Sont-elles cryptées ?
- Sur quels réseaux utilisent-ils leurs appareils et quels sont les autres appareils susceptibles de se trouver sur le même réseau ? Par exemple, de nombreux appareils IoT n’auront pas le codage sécurisé dont disposent les autres terminaux.
- Alors que les utilisateurs possèdent un nombre croissant d’appareils, ceux-ci répondent-ils tous aux exigences de sécurité et de conformité de l’entreprise ?
- En cas de perte d’un appareil, pouvons-nous confirmer que toutes les données de l’entreprise contenues dans cet appareil sont en sécurité ?
L’essor des attaques par spamming MFA
En 2022, nous avons constaté une augmentation substantielle du nombre de fuites et de violations de mots de passe. La taille de notre base de données recensant les mots de passe uniques ayant fait l’objet d’une violation a presque doublé, passant de 2,7 milliards à 4 milliards en 2022. Les informations d’identification volées sont, malheureusement, toujours un produit très rentable sur le marché souterrain. Utilisées en conjonction avec de mauvais choix de MFA, cela crée une vulnérabilité majeure en matière de sécurité.
Les attaques reposant sur la fatigue de MFA semblent également se multiplier. Le spamming MFA (envoi de demandes d’authentification aux utilisateurs) devient de plus en plus courant, avec des attaques comme celle d’Uber lors de laquelle cette méthode a été utilisée pour obtenir un accès à distance.
Nous prévoyons une augmentation de ces types d’attaques en 2023 des plus simples aux plus sophistiquées. Le choix de la solution MFA adaptée à votre organisation sera plus important que jamais.
La gestion des actifs de cybersécurité et de la surface d’attaque
La gestion des actifs – c’est-à-dire la capacité à suivre tous les actifs vulnérables et leur exposition aux risques – est une question de sécurité essentielle pour 2023.
Pendant des années, les organisations ont cru que la CMDB était la source de vérité la plus fiable. Or, la réalité est tout autre. Avec l’essor du cloud, il est désormais possible pour des départements marketing ou développement de mettre en place en quelques minutes des ressources accessibles par Internet. Une infrastructure se développe alors en dehors des processus de sécurité informatique habituels, ce qui rend difficile leur suivi et leur sécurisation. En conséquence, les CMDB sont souvent incomplètes, imprécises et difficiles à gérer, ce qui accroît l’exposition aux risques.
Les mauvaises pratiques de gestion des actifs augmentent considérablement la surface d’attaque et les probabilités que les acteurs de la menace puissent s’y frayer un chemin. Le plus souvent, le meilleur moyen des attaquants pour s’introduire dans un système est de trouver des actifs dont personne ne connaissait l’existence. Il peut s’agir de serveurs censés être éteints, d’ordinateurs portables équipés de logiciels obsolètes, d’applications dépourvues de correctifs ou de ports ouverts, ou encore de comptes d’utilisateurs sécurisés par des mots de passe faibles.
Compte tenu de la nature complexe et en constante évolution des environnements informatiques, une approche plus sophistiquée de la gestion des actifs est nécessaire – une approche qui prendrait en compte tous les actifs, des systèmes déjà en place aux services et applications cloud en passant par les appareils IoT. Les équipes de cybersécurité devront trouver des moyens pour détecter les nouveaux actifs et les nouvelles menaces en temps réel, et ainsi cartographier l’impact de ces menaces sur leurs réseaux.
Les problèmes de sécurité liés à l’absence de serveur se multiplient
L’augmentation du poids du travail sans serveur augmentera la surface d’attaque, car les applications sans serveur consomment des données provenant de diverses sources d’événements. Ces sources peuvent utiliser des structures de messages complexes et potentiellement introduire des risques de sécurité si elles ne sont pas correctement validées.
En outre, les architectures sans serveur dépendent souvent d’API et de services de fournisseurs qui peuvent ne pas avoir mis en place les mêmes processus de sécurité que votre organisation. Cela peut créer d’autres problèmes si une application tierce vulnérable est connectée à votre architecture sans serveur.
Alors que l’informatique sans serveur passe du domaine de la sécurité cloud à celui de la sécurité des applications, les organisations doivent être conscientes des risques potentiels en matière de sécurité.
Le ralentissement économique alimente la fraude sophistiquée
Avec la diminution des revenus disponibles et l’augmentation de l’inflation, le ralentissement économique offre aux groupes criminels organisés et aux acteurs malveillants l’occasion idéale d’intensifier leurs activités frauduleuses.
Qu’il s’agisse de simples escroqueries ou de systèmes d’extorsion par ransomware beaucoup plus sophistiqués, la fraude devient un problème de plus en plus pressant. Les criminels développent constamment de nouveaux moyens d’escroquer le public, très probablement pour couvrir la montée en flèche des coûts des fermes de bitcoins (qui nécessitent beaucoup d’électricité et de ressources).
Les gouvernements, en manque de liquidités, sont contraints de prendre des mesures plus strictes pour lutter contre la fraude. Cela signifie que les réglementations sont plus strictes et que les organisations qui ne respectent pas les règles de sécurité bénéficient de moins d’indulgence.
La cybercriminalité étant de plus en plus répandue, le grand public est désormais mieux informé sur les moyens de se protéger contre les fraudes. Cette prise de conscience oblige les criminels, comme les groupes de ransomware, à concevoir des moyens toujours plus élaborés pour tromper les gens. Il devient donc de plus en plus difficile de garder une longueur d’avance.
Quantification du cyber-risque
Techcrunch et Gartner s’accordent à dire que la quantification des cyber-risques (Cyber Risk Quantification) sera une tendance majeure en 2023.
Nous considérons l’essor de CRQ comme l’aboutissement de trois tendances interdépendantes :
- Opérationnelle : Avec l’augmentation des alertes et des risques, les équipes de sécurité ont du mal à hiérarchiser efficacement leur travail. Pour protéger l’entreprise, il est essentiel qu’elles se concentrent d’abord sur les tâches à haut risque.
- Stratégique : Les vulnérabilités ont un impact financier important sur les entreprises et sont désormais prises au sérieux par les personnes occupant des postes de direction et membres du conseil d’administration. Il est essentiel de disposer d’un outil capable de démontrer le profil de risques sans entrer dans des détails hautement techniques.
- Prospective : L’essor de la cyber-assurance, qui ne peut fonctionner sans quantification des risques.
La gestion des risques est souvent considérée comme lente, bureaucratique et basée sur des cycles annuels. Cependant, le paysage évolue rapidement, avec de nouvelles menaces qui émergent en permanence. Afin d’être prêtes pour l’avenir, les équipes de sécurité ont besoin de meilleurs outils, d’une veille plus approfondie et d’évaluations des risques performantes – idéalement assistées par l’IA.
Évolution de la veille sur les menaces (Threat Intelligence)
Les normes ISO relatives à la sécurité de l’information ont fait l’objet de leur première grande révision depuis près de dix ans. Comme la plupart d’entre nous le savent, la gestion des risques est au cœur de ces normes, mais elles concernent également d’autres aspects comme l’amélioration structurée ou la définition claire des rôles et responsabilités de l’organisation.
La section traitant des contrôles que les organisations sont encouragées à choisir pour gérer leurs risques a fait l’objet d’une révision majeure. Parmi les mises à jour les plus importantes figure l’introduction de la veille sur les menaces.
Si le renseignement sur les menaces joue un rôle de plus en plus important, c’est parce que le paysage des cybermenaces a changé et mûri au fil du temps, les équipes de sécurité sont confrontées à une bataille permanente contre des adversaires hautement qualifiés et en constante évolution.
Pour vaincre les malfaiteurs, nous devons être plus malins qu’eux. Nous utilisons des logiciels anti-malware et des systèmes IDS/IPS pour détecter leurs outils et leurs activités. Mais cela ne suffit pas.
Pour garder une longueur d’avance, nous devons comprendre comment ils pensent et opèrent. Cela commence par la manière dont nous structurons notre travail, formons notre personnel, donnons la priorité à d’autres contrôles, etc.
À quels autres contrôles devons-nous donner la priorité et quels sont les éléments que nous devons être en mesure de détecter et à propos desquels être particulièrement vigilants ?
Les professionnels de la gestion des vulnérabilités savent qu’il y aura toujours une pénurie de travailleurs qualifiés dans le domaine de la sécurité. C’est pourquoi nous en viendrons à dépendre fortement de l’extelligence, c’est-à-dire des renseignements provenant de sources extérieures à nos propres groupes, pour éclairer notre travail.
En 2023, la veille sur les menaces sera donc plus importante que jamais. Nous devons disposer des bonnes personnes et des bonnes compétences pour tirer le meilleur parti des outils avancés.
En bref : la cyberhygiène et l’importance d’établir des priorités
En 2023, la communauté de la sécurité doit accorder plus d’attention à la cyberhygiène. Cette dernière consiste à suivre régulièrement et de manière cohérente les meilleures pratiques de sécurité de base. Bien que la cyberhygiène soit souvent considérée comme banale, elle reste l’un des moyens les plus efficaces de se protéger contre les menaces courantes – et de réduire le coût de votre prime d’assurance cybersécurité.
Compte tenu de l’état géopolitique mondial actuel, nous prévoyons une augmentation significative des attaques provenant de diverses sources. Il pourrait s’agir d’individus, de groupes terroristes, d’activistes militants et d’acteurs parrainés par un État ciblant des entreprises telles que des institutions financières ou des hacktivistes ciblant des générateurs à forte émission de carbone comme les compagnies d’énergie et les compagnies aériennes.
Pour garder une longueur d’avance, les organisations doivent se concentrer sur la collecte de renseignements sur les cybermenaces et sur la gestion de leur surface d’attaque afin de réduire leur profil de risque. Travailler plus intelligemment et être plus efficace restera primordial et ceux qui ont des difficultés dans ces domaines seront fortement désavantagés. En outre, notre processus de prise de décision concernant les tâches prioritaires devra être basé sur des facteurs de risque et sur l’efficacité de l’atténuation de ces risques.
Les vulnérabilités mentionnées ne sont pas près de disparaître. Les cyberdéfenseurs doivent s’habituer à les passer au crible et à déterminer celles qui sont réellement prioritaires.
Apprendre à prioriser est toujours utile. Cependant, il est facile d’exagérer l’importance de certains éléments ou d’en négliger d’autres (par exemple, les vulnérabilités anonymes). Mais il est également important de se rappeler que les vulnérabilités anonymes peuvent être tout aussi (voire plus) dangereuses.
Découvrez comment Outpost24 peut aider à vous préparer pour 2023 avec un panorama complet de votre surface d’attaque et des menaces ciblant votre organisation. Parlez-en à nos experts dès aujourd’hui.
Nos prévisions en matière de cybersécurité pour l’année 2023 ont été établies par un panel d’experts d’Outpost24 :
- John Stock, chef de produit, Outpost24 ;
- Martin Jartelius, RSSI, Outpost24 ;
- Sergio Loureiro, directeur de la gestion des produits, Outpost24 ;
- Darren James, responsable des technologies de l’information pour Specops Software, filiale d’Outpost24