Cyber-guerre, cyber-résilience et CRA,, Zero Trust, automatisation, talents, RaaS… Découvrez les tendances phares de la cybersécurité en 2024.
Ces dernières années, le monde de la cybersécurité a connu son lot d’événements qui ont fait la une des journaux : la généralisation du télétravail qui implique la mise en place de solutions de sécurité accrues, le phénomène ChatGPT qui vient bouleverser les usages, et d’autres encore.
Au vue de la sensibilité de la situation géopolitique mondiale, les experts prévoient une incertitude économique et même une légère récession, ainsi qu’une hausse des luttes cyber étatiques.
La CISA a récemment alerté sur une augmentation des attaques « visant à semer le chaos et la discorde au sein de la société » et a incité les entreprises à redoubler de vigilance face à ce risque. La menace mondiale des cyberattaques a augmenté de 16 % depuis le début du conflit russo-ukrainien en février 2022. Bien que l’administration Biden ait promulgué la loi Cyber Incident Reporting for Critical Infrastructure Act of 2022, visant à permettre à la CISA de déployer rapidement des ressources et de prêter assistance aux victimes d’attaques, les experts pensent toujours que les conflits ayant court en Europe et au Proche Orient, continueront d’avoir un impact négatif sur la résilience cyber mondiale. A l’orée de l’année 2024, quelles sont alors les principales tendances du marché cyber, et les enjeux du secteur ?
1 – La cyberguerre, nouvelle norme guerrière du 21ème siècle
Le monde post-24 février 2022 a signé notre entrée officielle dans une autre dimension. En parallèle et en complément des opérations conventionnelles sur le terrain, d’autres types de conflictualités s’additionnent. On parle alors de guerre hybride. Au sol, comme dans le cyberespace des actions visant à mener atteinte à une autre nation ont lieu : des cyberattaques, des sabotages de câbles sous-marins, les luttes informationnelles ou d’influence. On se souvient de cette véritable opération de cyberguerre à grande échelle d’acteurs privés contre un État, comme celle de Conti contre le Costa Rica, qui avait poussé ce pays d’Amérique centrale à déclarer l’état d’urgence. A l’heure ou la situation est loin d’être apaisée entre Israël et la Palestine, les combats terrestres s’accompagnent aujourd’hui de cyberattaques, certes moins visibles, mais aux répercussions concrètes pour les populations. Près d’une centaine de groupes de hackers actifs participant à des opérations entre Israël et la Palestine ont été identifiés depuis mi-octobre par des plateformes de renseignement sur les menaces liées à la cybersécurité.
2 – Une Europe cyber résiliente : stratégie de cybersécurité de l’UE
Le Parlement européen a adopté la nouvelle directive NIS2 qui sera mise en œuvre en octobre 2024. Elle vise à renforcer et uniformiser les politiques de cybersécurité au sein des 27. La présente directive s’applique aux entités publiques ou privées qui constituent des entreprises moyennes et qui fournissent leurs services ou exercent leurs activités au sein de l’Union . Sécuriser, analyser et former seront les trois actions majeures que les entreprises auront à mettre en place. En somme, la nouvelle directive NIS2 impose principalement aux dirigeants une meilleure responsabilisation de leur direction. C’est-à-dire qu’ils devront mettre en place des formations à la cyber-hygiène ainsi qu’à l’utilisation de la cryptographie et au bon contrôle des accès. Sans quoi, ils seront tenus comme responsables de tout problème lié à la sécurité informatique de leur entreprise.
En parallèle, la multitude de réglementations en discussion au niveau européen bouscule les délégués à la protection des données personnelles. Une enquête menée par l’AFCDP montre des inquiétudes notamment sur le Data Privacy Framework, censé régler les échanges de données transatlantiques qui qui est loin de répondre à toutes les attentes.
3 – Le système RaaS reste lucratif
Selon le rapport Verizon sur les enquêtes suite à des fuites de données, les ransomwares vendus en tant que service (RaaS) continuent de gagner en popularité parmi les acteurs malveillants. En témoignent les violations liées à ce type d’attaques qui ont doublé en fréquence depuis 2021. L’image de la personne solitaire portant un sweat à capuche, confinée dans un sous-sol, qui mine des données pour de l’argent n’est plus du tout d’actualité.
Aujourd’hui, les pirates informatiques sont des hommes en costume qui travaillent pour de vraies organisations. En 2022, en France, le montant moyen de la rançon pour une entreprise (privée) est de l’ordre de 250 000€ et plus d’une société sur deux (privée/publiques confondus) a payé la rançon. Le coût total des rançons se situe alors aux alentours des 900 M€, auquel il faut ajouter ~900 M€ de coût liée aux pertes opérationnelles (employées, logistique, etc.).
4 – Tout repose sur le Zero Trust
Le Zero Trust, défini par le NIST comme un « recueil de concepts et d’idées conçus pour minimiser l’incertitude dans l’application précise du moindre privilège » est peut-être le buzzword cyber de l’année 2023. Nommée dans le décret exécutif sur l’amélioration de la cybersécurité de la nation, l’adoption du Zero Trust continuera de croître, et pour cause. Les entreprises ayant adopté une approche Zero Trust ont économisé près de 1 million de dollars en coûts moyens par fuite de données, comparé aux entreprises qui n’ont pas mis l’approche en place, d’après IBM. En outre, 80 % des fuites de données sont dues à des mots de passe faciles à deviner ou réutilisés, selon le rapport Verizon, mais dans un modèle Zero Trust, les utilisateurs doivent vérifier leur identité lorsqu’ils tentent d’accéder aux données.
Alors que le passage au télétravail continue d’être prolifique, certains experts prédisent que l’approche Zero Trust pourrait même remplacer le VPN. Selon Forbes, « les réseaux privés virtuels (VPN) ne peuvent pas répondre aux exigences d’évolutivité, et la technologie elle-même peut être sujette à des cyberattaques et à des vulnérabilités. Le Zero Trust, en revanche, est une approche à plusieurs niveaux à la fois évolutive et hautement sécurisée. » Selon l’analyste d’IDC, Frank Dickson, « ce n’est pas que nous éliminons totalement les VPN, mais lorsque nous examinons des moyens de protéger les télétravailleurs, les VPN ne cochent pas toutes les cases. » D’autres cabinets d’analyse semblent être d’accord sur ce point. Gartner prévoit en effet que d’ici 2023, 60 % des entreprises abandonneront progressivement leur VPN pour l’accès à distance au profit du Zero Trust.
5 – La pénurie de talents est préoccupante
Avec un besoin mondial estimé à 3,4 millions de travailleurs en cybersécurité, les dirigeants s’attendent à ce que la pénurie de professionnels disponibles – et qualifiés – devienne encore plus problématique pour les entreprises. FinTech va plus loin et suggère qu’il pourrait y avoir une guerre totale sur les talents en cybersécurité, ce qui empêchera les entreprises de gérer leurs besoins de sécurité en interne. Une solution à la pénurie ? Il faut former les employés actuels pour qu’ils soient en mesure de sécuriser correctement le cloud. Il faut pouvoir compter sur la montée en compétences du personnel.
6 – L’automatisation est sur toutes les lèvres
Le volume de données augmente bien plus vite que ne le peuvent les équipes de cybersécurité. Les processus manuels qui peuvent prendre des heures ou même des jours sont remplacés par des mesures simplifiées et automatisées, et selon l’ISACA, alors que les volumes de données augmentent de jour en jour, la surveillance automatisée du cloud fera de même. En plus de libérer le personnel de sécurité débordé, un autre avantage de l’automatisation et de l’intelligence artificielle est la réduction considérable des coûts. Un rapport d’IBM a révélé que les entreprises qui utilisent l’automatisation pour détecter et répondre aux fuites de données économisent en moyenne 3 millions de dollars par rapport aux autres. Selon une étude de Teramind, les entreprises qui utilisent l’IA sont en mesure de détecter et de contenir ces fuites 27 % plus vite.
____________________________
Par Pierre-Antoine Failly Crawford, directeur de la réponse à incidents chez Varonis
puis