Les chiffres de la cybercriminalité 2023 seront bientôt connus, on sait déjà qu’ils seront en forte augmentation par rapport à 2022, et qu’elle concerne de plus en plus les collectivités territoriales (20 %), les établissements de santé (11 %), et les PME/ETI, qui deviennent les “maillons faibles” des entreprises. Ce secteur évolue rapidement, quelles sont les tendances déjà identifiées pour 2024 ?

Les évolutions de la réglementation

La mise en œuvre en 2024 de la directive NIS 2 (Network and Information Security)  imposera de nouvelles exigences de sécurité pour les entreprises et collectivités dès octobre 2024. En forte adhérence avec les normes ISO 27001 et ISO 27005, cette directive élargit la portée des obligations en matière de sécurité et de notification d’incidents. Elle touche un plus grand nombre d’organisations. Les entreprises devront effectuer des audits de sécurité et mettre en œuvre des mesures de conformité robustes, mettre à niveau des infrastructures existantes et des formations du personnel en cybersécurité, y compris les dirigeants. Les entreprises impliquées auront 24 heures pour soumettre leur signalement à l’ANSSI. Des tests d’intrusion et audits de sécurité deviennent obligatoires, ainsi que des due diligence sur leur chaîne de fournisseurs et prestataires de services.

Dans le secteur Finance et Assurance, le DORA(« Digital Operational Resilience Act”) est un nouveau cadre réglementaire interventionniste de l’UE qui s’appliquera à toutes les institutions financières et à leurs sous-traitants principaux en infrastructure informatique dès janvier 2025. Il impose des processus de résilience, de prévention et la détection rapide des incidents du système d’information et des incidents de sécurité.

Il impose une analyse de leurs causes profondes notamment en vue de protéger des menaces émergentes pour les marchés financiers. Les obligations de déclaration augmenteront en conséquence. Il s’agit de mettre en place des bases de partage d’incident avec tous ses partenaires, dès 2024, ce qui pose des questions d’organisation significatives.

Le Zero Trust

Alors que l’essentiel des incidents de sécurité proviennent de défaillances humaines, les exigences de sécurité à l’intérieur du réseau « intranet » d’une organisation deviennent les mêmes que depuis internet : les modèles de sécurité traditionnels sont de plus en plus remplacés par l’approche d’architecture “Zero Trust” (ZTA ou encore ZTNA), qui part du principe qu’aucun accès au réseau n’est digne de confiance par défaut. Il s’agit bien entendu d’authentifier l’utilisateur, sa machine, son point d’accès, et ne lui donner accès qu’aux données et applications dont il a strictement besoin. Fortement promus aux Etats-Unis depuis 2022, ces principes de confiance zéro continueront à monter en puissance, pour mettre en œuvre des contrôles d’accès rigoureux, une surveillance continue et une authentification multifactorielle pour garantir les plus hauts niveaux de sécurité.

La mise en place du Zero Trust va de pair avec des chantiers de microsegmentationvisant à strictement limiter ce que voit du réseau chaque point d’accès, et avec une approche Agile de la Cybersécurité : le référentiel de cybersécurité, comme la surface d’exposition, évoluant chaque semaine, il est important de savoir évoluer rapidement, d’où la mise en place de rituels Scrum y compris dans les équipes de Cybersécurité.

Les PME et ETI, nouveau défi de la Cybersécurité

Si les grandes organisations se sont de mieux en mieux protégées ces dernières années, les PME et ETI deviennent le nouvel Eldorado des cyberattaquants. Ces organisations sont en moyenne moins matures et ont déployé moins de moyens en Cybersécurité : elles deviennent le maillon faible. En 2022, 330.000 des 347.000 attaques réussies en France les concernaientet ces chiffres seront en hausse en 2023.

BPI propose des dispositifs pour faciliter et financer la cyberdéfense des PME, en partenariat avec les régions, mais la route est longue.  La cybersécurité des PME et ETI suppose des offres de produits et de service adaptés à ces organisations qui ne disposent pas des mêmes moyens humains et financiers que les grands groupes. Cette offre existe notamment au sein des éditeurs d’Hexatrust, association professionnelle de référence en Cybersécurité, à laquelle appartient Exiptel.

L’internet des Objets, et la Cybersécurité Industrielle

La sécurité des objets connectés (IoT ou Internet of Things) devient une préoccupation majeure tant pour les entreprises que pour les consommateurs. L’augmentation massive de l’utilisation des appareils IoT, allant des appareils ménagers intelligents aux capteurs industriels, crée un réseau étendu de points d’entrée potentiels pour les cyberattaques. Ces appareils, souvent conçus avec une priorité moindre sur la sécurité, servent de points faibles dans les réseaux sécurisés et notamment dans l’industrie.

Pour contrer ces risques, pas d’autre choix que d’adopter des protocoles de chiffrement robustes et des mécanismes d’authentification sécurisés. Les fabricants d’appareils IoT seront incités à intégrer des fonctionnalités de sécurité dès la conception (Security by Design), tandis que les entreprises devront mettre en place des politiques de sécurité spécifiques pour gérer et surveiller ces appareils.

Cela touche aussi l’OT (Operational Technologies), c’est à dire la Cybersécurité Industrielle. Ce ne sont pas seulement des capteurs IoT, ce sont aussi des Systeme Control (SCADA) ou des ensembles robotiques complets qui doivent être sécurisés de façon stricte car une intrusion peut impliquer des pertes de production énormes.

Les défis et les opportunités de l’intelligence artificielle

Le déploiement de l’Intelligence Artificielle (IA) par les entreprises est un vaste champ d’opportunités, mais il aura des contrecoups, car il entraine la démultiplication de la surface d’exposition aux menaces et aux risques liés à l’exploitation des données mises à disposition.

L’IA permet d’imiter la voix et l’apparence (en video) des interlocuteurs :  les développeurs en IA devront alors relever le défi de garantir l’identité de l’interlocuteur, d’autant que les dispositifs d’intrusion deviennent multimodaux.

Si l’IA va apporter peu d’innovations en termes de vecteurs d’infection, elle risque de favoriser une sophistication accrue des vecteurs d’attaqueexistants. On peut s’attendre à voir l’élaboration du phishing, grâce au développement de messages personnalisés, à l’utilisation accrue de deepfakes, y compris vocaux ou video, ou à des emails mieux rédigés donc moins suspects, et de fait plus efficaces.

Le développement de l’IA va par ailleurs profondément modifier l’écosystème, en élargissant les capacités des cyberattaquants expérimentés et en faisant émerger une nouvelle génération d’acteurs ayant les moyens d’exploiter les attaques et d’accélérer leurs cycles de développement. Par conséquent, il est certain que 2024 verra une forte augmentation du nombre d’attaques élaborées contre les entreprises.

En perspective : le quantique

Avec le développement imminent de l’informatique quantique, infiniment plus puissante que l’informatique actuelle, de nouveaux défis considérables en matière de cybersécurité émergent. La cryptographie actuelle devient très vulnérable aux attaques quantiques, incitant les experts en sécurité à travailler sur des protocoles de chiffrement bien plus robustes qu’aujourd’hui.

Si l’informatique quantique offre un immense potentiel pour résoudre des problèmes complexes, elle constitue également une menace pour les algorithmes cryptographiques actuels. En réponse, les efforts de cybersécurité se concentreront sur le développement de méthodes de cryptage résistantes à l’informatique quantique afin de protéger les informations sensibles contre les capacités potentielles des ordinateurs quantiques. C’est un chantier considérable, qui s’ouvre pour plus d’une décennie.

En conclusion, une année qui s’annonce passionnante !

Et vous, quels sont les défis en cybersécurité qui s’offrent à vous ?