Nos prévisions pour 2018 en matière de cybersécurité

prévisions

Si l’on revient sur l’année qui vient de s’achever, 2017 avait tous les ingrédients d’un bon film catastrophe. Des hackers dérobent et divulguent le puissant kit d’exploit de la NSA, qui est ensuite diffusé dans le monde entier par le biais d’une menace hybride de ransomware-ver particulièrement démoniaque. Plus tard, une grande agence américaine d’évaluation du crédit signale une fuite de données concernant les numéros de sécurité sociale de 143 millions d’Américains. Parallèlement, deux géants des hautes technologies se livrent une bataille juridique d’1,8 milliard de dollars concernant le vol d’un logiciel pour véhicules autonomes. Au cours du procès, un courrier est produit, indiquant que la société accusée « se livre à des actes d’espionnage industriel, à des vols de secrets commerciaux, au versement de pots de vin à des fonctionnaires étrangers et a recours à une surveillance illégale ».
On dirait que Lex Luthor n’a pas chômé l’an passé. Même s’il paraît justifié de confier les prévisions en matière de sécurité des données aux scénaristes hollywoodiens, nous avons décidé de sortir une nouvelle fois notre boule de cristal pour vous présenter nos prévisions pour 2018.

Un plus grand nombre de systèmes critiques seront mis hors ligne par des attaques mixtes

Aussi terrible qu’ait été WannaCry, et parce qu’un grand nombre de ses victimes ont fait profil bas, nous ne connaîtront peut-être jamais l’étendue totale des dommages causés. Le caractère hasardeux du mécanisme mis en place pour exiger le paiement de la rançon suggère que ces attaques avaient pour but de tester la puissance et la portée des exploits de la NSA une fois associés à d’autres vecteurs d’attaque tels que le phishing et le ransomware. Pour 2018, nous pouvons nous attendre à des attaques encore plus hybrides et paralysantes dans un plus grand nombre de pays, qui pourraient également s’avérer plus longues et plus dévastatrices. Comme cela a été le cas en 2017, attendez-vous à ce qu’elles mettent la panique dans la vie quotidienne de millions de personnes, avec un impact potentiel dans des services aussi divers que les transports, le commerce et l’utilisation des distributeurs automatiques de billets.

L’Internet des objets apportera lui aussi son lot de mauvaises nouvelles

Les marques ont redoublé de rapidité pour exploiter la manne offerte par l’IoT, mais elles auront du pain sur la planche. En 2017, KRACK et BlueBorne se sont attaqué au WiFi et au bluetooth pour ouvrir de nouvelles brèches dans nos périphéries déjà affaiblies. Les hackers continueront de tirer avantage des appareils non protégés pour espionner leurs utilisateurs et s’infiltrer dans les réseaux domestiques et d’entreprise. Les appareils IoT vulnérables exploités par de multiples botnets seront les nouveaux vecteurs utilisés par les attaques DDOS, et menaceront de faire tomber les sites Web d’actualité et des gouvernements. Des millions de consommateurs ne se rendront compte que leurs appareils IoT et réseaux domestiques sont exploités que lorsqu’ils auront enfin trouvé pourquoi le téléchargement de Stranger Things est si lent et qu’ils auront débranché leur brosse à dents connectée. Les fabricants n’auront alors d’autre choix que de remédier à ces problèmes de sécurité s’ils ne veulent pas voir leurs clients partir vers des concurrents qui ont misé sur la sécurité dès le début. À long terme, le GDPR pourrait bien endosser le rôle du héros en forçant les entreprises à revoir leur vision de la collecte des données à caractère personnel dans l’IoT, mais son action ne portera pas ses fruits avant au moins 2019.

Craignez le wiper comme la peste

Une étude récente révèle que 45 % des organisations considèrent qu’elles feront l’objet d’un vol de données au cours de l’année à venir. En 2018, d’autres organisations seront touchées par un ransomware, voire pire. Si le ransomware donne des sueurs froides aux dirigeants, les organisations qui jouent de malchance (à savoir celles qui ne se sont pas préparées et qui n’ont pas mis en place un système de sauvegarde adapté), seront victimes des wipers, ces programmes malveillants qui détruisent les informations et systèmes sans aucun espoir de pouvoir les récupérer. D’autres organisations également à plaindre réaliseront également avoir été frappées par des menaces persistantes avancées (ou APT) qui depuis des mois, voire plus, siphonnent leurs informations, telles que propriété intellectuelle, déclarations de revenus, projets de fusions et acquisitions et autres secrets commerciaux. Les plus malchanceux ne se rendront probablement pas du tout compte qu’ils ont été frappés par une attaque en 2018 puisque les hackers accèdent à leurs informations comme si elles leur appartenaient. En 2018, une attaque de wiper de grande ampleur, probablement soutenue par des motivations politiques, frappera au moins une agence gouvernementale et de nombreuses autres organisations. Les entreprises seront amenées à revoir la protection de leurs informations critiques lorsqu’elles se rendront compte combien leur périmètre est devenu perméable.

Vous avez un message : attachez vos ceintures, ça va déménager en politique

En novembre 2018, aura lieu l’élection des 435 membres de la Chambre des représentants des États-Unis et d’un tiers des membres du Sénat. Compte tenu des enjeux, on peut s’attendre à une série de fuite d’informations qui affecteront les candidats des principaux districts électoraux. Au moins un candidat se désistera suite à la divulgation du contenu d’anciens e-mails. Plusieurs membres titulaires seront également démis de leurs fonctions.

L’essort des crypto-monnaies

Ce n’est pas la première fois que nous sommes face à un phénomène de bulle : des tulipes néerlandaises au XVIIème siècle à la bulle Internet au début du XXIème siècle, les prix atteignent des niveaux irréalistes et non viables sous l’effet d’un enthousiasme démesuré. Le bitcoin est au coeur de la bulle spéculative actuelle. 2018 sera-t-elle l’année de la correction de la bulle du bitcoin ? Le Chine semble vouloir enterrer la crypto-monnaie tandis que d’autres pays cherchent à la réguler, ainsi que ses échanges. Si la crypto-monnaie continue d’être associée à la monétisation du cybercrime et d’autres activités illégales, elle sera de plus en plus stigmatisée et l’on pourrait s’acheminer vers le déclin de son utilisation à des fins légales.

« Une mine pour les hackers » : le GDPR fait envie aux États-Unis

« Les consommateurs n’ont aucun droit de regard sur les informations recueillies, conservées et vendues par Equifax… ou Transunion ou Experian », a déclaré Jan Schakowsky, membre du Congrès de l’Illinois, à l’occasion de la séance du Sous-comité de l’énergie et du commerce de la Chambre des représentants sur la fuite de données subie par Equifax, un des plus importants vols de données grand public de l’histoire. « Et si je veux me désabonner d’Equifax ? », Demande Mme Schakowsky. « Je veux avoir le contrôle sur mes informations. Je n’ai jamais donné mon accord, je n’ai jamais dit que j’acceptais de communiquer mes informations personnelles. Aujourd’hui, je veux pouvoir les supprimer. Je veux paralyser Equifax. Puis-je le faire ? »

En mai 2018, un ensemble de règles portant sur la confidentialité des données à caractère personnel des citoyens européens entrera en vigueur : ils pourront choisir. Lorsque le GDPR prendra effet, il suscitera la convoitise aux États-Unis et les consommateurs demanderont à avoir les mêmes types de droits de confidentialité que ceux dont jouiront les Européens grâce au GDPR. Face aux échéances qui arrivent à grands pas, les organisations vont connaître une période d’ajustement, en particulier celles qui collectent et utilisent les données des utilisateurs de manière innovante et parfois discutables, comme c’est le cas des agences d’évaluation du crédit.

Ces prévisions se révèleront-elles toutes justes ? Suivez l’actualité du Blog Varonis en 2018 aussi pour le savoir.

David Gibson is VP of Strategy and Marketing Development at Varonis Systems. David is responsible for building brand awareness, aligning product functionality with market demand, and driving sales through marketing and education. He’s a 15+-year IT industry veteran. David is also a Certified Information Systems Security Professional (CISSP) .