Les prédictions sont toujours une entreprise risquée. Quiconque a écrit ce post il y a un an n’aurait pas pu voir ce qui l’attendait en 2020. En cybersécurité, le passage en gros du bureau à l’espace de travail virtuel a tout transformé, de manière imprévue. Pour ne citer qu’un exemple: les outils de collaboration comme Slack et Teams sont devenus un vecteur de menace sérieux, à une échelle jamais vue auparavant.
Cependant, 2021 semble devoir être plus prévisible. Les vaccins seront déployés et les leçons de cybersécurité apprises cette année continueront de se révéler utiles. Dans cet esprit, que pouvons-nous dire de l’année prochaine en matière de cybersécurité? Quelles tendances sommes-nous susceptibles de voir? À quels changements les entreprises doivent-elles être préparées? Ici, j’ai identifié trois réponses à ces questions:
- Les cyberattaques deviendront plus personnalisées, via l’ingénierie sociale
- Les entreprises resteront très paranoïaques, alors que la cybercriminalité s’aggrave de plus en plus
- Le mot de passe commencera enfin à disparaître en tant que couche principale de défense
La personnalisation croissante de la cybercriminalité
La personnalisation fait fureur dans les technologies grand public B2C. C’est aussi une tactique de plus en plus adoptée par les mauvais acteurs, principalement à travers l’ingénierie sociale.
Le Rapport de sécurité mondial Trustwave 2020 analysé un billion d’événements de sécurité et de compromis. Le rapport conclut que «l’ingénierie sociale règne en maître sur la méthode du compromis». De plus, de plus en plus, les attaques d’ingénierie sociale menacent les canaux sociaux autant que les e-mails. Un rapport de Verizon a révélé que 22% de toutes les violations de données incluaient les attaques sociales comme tactique.
L’ingénierie sociale concerne la personnalisation des cyberattaques. En 2021, il faut s’attendre à ce que cette personnalisation augmente.
Brian Honan, PDG de la société irlandaise BH Consulting, est un leader d’opinion en sécurité informatique. Il avait ce qui suit à dire à ce sujet:
«En 2021, les criminels chercheront à rendre leurs attaques de phishing et d’ingénierie sociale beaucoup plus ciblées et personnelles», prédit Brian. «Ce sera le cas que ces attaques soient lancées contre des individus ou contre des organisations via le personnel clé. Notre activité sur les réseaux sociaux fournira aux criminels plus de munitions et de capacités pour rendre leurs attaques plus convaincantes et personnelles. »
Pour souligner: le problème ici n’est pas le courrier électronique. Comme le dit Brian, «les criminels se tourneront vers d’autres canaux pour lancer des attaques contre des entreprises; principalement leurs canaux de médias sociaux. Les données personnelles divulguées en ligne via les réseaux sociaux deviendront des armes. »
Regardez comment l’infrastructure ATM du système bancaire chilien a été compromise par des pirates informatiques nord-coréens (zdnetdotcom). Où l’attaque a-t-elle commencé? LinkedIn. Les attaquants ont soigneusement sélectionné leurs victimes et ont adapté leur contact en fonction de la cible. Ce type de personnalisation fonctionne, c’est pourquoi en 2021 elle se poursuivra.
Ce n’est pas de la paranoïa s’ils veulent vraiment t’avoir
La personnalisation croissante des cyberattaques est l’un des éléments qui feront de 2021 une année paranoïaque pour les entreprises. Comme Javvad Malik, un défenseur de la sensibilisation à la sécurité chez KnowBe4, le dit:
«En 2021, la position par défaut pour la plupart des organisations sera la paranoïa totale. Pouvez-vous faire confiance à votre e-mail? Votre fil de médias sociaux? Vos politiciens? Vos clients? Vos employés? Vos appareils d’entreprise? La réponse sera un non catégorique. »
Cette peur croissante est confirmée par les chiffres. Gartner prédit que les dépenses en cybersécurité atteindront 170,4 milliards de dollars dans le monde d’ici 2022. Dépenses a déjà considérablement augmenté dans de nombreux pays. En Australie et en Chine, respectivement 50% et 47% des entreprises ont déclaré avoir dépassé leur budget de cybersécurité.
Cette paranoïa n’est pas injustifiée. 2020 a été une année record pour la cybercriminalité. 53% des répondants au rapport sur l’état de la cybersécurité 2020 de l’ISACA s’attendent à une cyberattaque dans les 12 mois. Les cyberattaques sont le type de crime qui connaît la croissance la plus rapide aux États-Unis. À l’échelle mondiale, les dommages causés par la cybercriminalité devraient atteindre 6 billions de dollars l’année prochaine. C’est 57 fois les dégâts de 2015.
Bref, 2021 sera une année où les entreprises resteront très inquiètes. Il n’y aura pas de relâchement de la vigilance ou de la méfiance. Nous devrions tous être prêts pour une humeur paranoïaque pour continuer d’influencer l’industrie de la cybersécurité dans son ensemble.
Mots de passe en question
Depuis un moment, les mots de passe ont un peu ressenti 1995. La mémorisation, le clic sur le lien «J’ai oublié mon mot de passe». Mais surtout, la sécurité fragile des mots de passe. Voici à nouveau Javvad Malik:
«2021 sera le point de basculement pour les mots de passe. Avec les progrès et l’adoption de FIDO et MFA, nous allons voir moins de nouveaux services proposant uniquement des mots de passe comme forme d’authentification. »
Compte tenu des dangers liés à l’utilisation de mots de passe, ce n’est pas une surprise. Un mauvais comportement des mots de passe reste l’une des principales causes des violations de données (itgovernancedoteu).
Nordpass et ses partenaires révèlent que les gens sont toujours aussi paresseux quand il s’agit de formuler des mots de passe; et cela vaut autant pour les employés de l’entreprise que pour votre mère. Sur les 275 699 516 mots de passe relatifs aux violations de données en 2020, seuls 44% d’entre eux étaient considérablement «uniques».
Le mot de passe le plus populaire selon Nordpass dot com? «123456», utilisé par plus de 2,5 millions d’utilisateurs.
En bref, les jours du mot de passe sont comptés, au moins comme moyen de défense unique ou principal. Nous avons déjà constaté une augmentation exponentielle de l’adoption de Fast Identity Online (FIDO) et de l’authentification multifacteur (MFA). En fait, lors de la conférence Authenticate 2020 de FIDO Alliance, il a été révélé que diverses unités et agences gouvernementales ont reconnu les normes FIDO et les appliquent désormais parallèlement aux politiques d’identification numérique existantes.
L’AMF (autorisation multifactorielle), en revanche, est considérée comme l’une des meilleures pratiques en matière de cybersécurité de nos jours, et connaît une adoption croissante au sein des entreprises de différents secteurs. 2021 verra ces deux tendances augmenter.
Cependant, Javvad prédit également une augmentation des attaques contre les technologies MFA ou sans mot de passe :. «Nous avons déjà vu des exemples de détournement de carte SIM pour obtenir les codes SMS, mais cela va probablement augmenter et nous commencerons à voir des attaques de plus en plus graves.
(Le jacking SIM voit de mauvais acteurs utiliser des techniques d’ingénierie sociale pour inciter les fournisseurs de téléphonie mobile à attribuer le numéro de téléphone d’une cible à une nouvelle carte SIM.) Le Federal Bureau of Investigation (FBI) a publié un Document de notification du secteur privé (PIN) qui détaille comment les cybercriminels tentent de contourner l’AMF sur les téléphones de leurs victimes.
Cependant, même si MFA n’est pas parfait, il reste bien meilleur que l’humble mot de passe! Attendez-vous à ce que l’année prochaine soit une année où une forte minorité de services dépendra des mots de passe.
Se préparer pour 2021
Si 2020 nous a appris quelque chose, c’est que l’avenir est toujours imprévisible. Personne ne sait avec certitude ce que 2021 apportera.
Cependant, je pense que les trois tendances énumérées ici sont des paris assez fermes. Alors que nous essayons tous de renforcer l’agilité et la résilience des entreprises pour 2021, nous devons faire de notre mieux pour examiner nos boules de cristal.
J’espère que ma bonne aventure vous sera utile.
L’article Sécuriser l’avenir: prévisions de cybersécurité pour 2021 est apparu en premier sur zimo news.
