État de la cybersécurité : les 10 principales prévisions de 2024

Une fois de plus, nous faisons le bilan de l’année écoulée tout en gardant le regard tourné vers la nouvelle. Dans le monde entier, la fin d’année invite à changer ses priorités pour passer du temps avec sa famille, ses amis et ses proches. C’est également la période de l’année où les organisations suspendent leurs activités commerciales, dans l’attente impatiente de ce que la nouvelle année apportera.

« L’argent ne dort jamais » — Gordon Gekko

Les menaces de sécurité non plus. Dans le domaine de la cybersécurité, le risque ne prend pas de vacances et les pirates ne font pas la trêve des confiseurs avant de revenir en pleine forme en janvier.

Au contraire, le paysage de cette nouvelle année s’annonce riche en menaces qui cibleront les appareils, les données et les utilisateurs de façon inédite. Il réserve sans doute quelques surprises qui tiendront les professionnels de l’informatique et de la sécurité en haleine, et donneront du travail aux forces de l’ordre.

Laissez-nous donc vous présenter : Les prévisions 2024 de Jamf dans le domaine de la sécurité

1 Attendez-vous à une intensification des attaques par usurpation d’identité de dirigeant.

Les attaques de phishing ne montrent aucun signe de ralentissement. Nul besoin d’être médium : le fait est que les attaques de phishing sont en hausse constante. Mais nous parlons cette fois d’un nouveau type d’attaque, qui trouve ses racines dans le spear phishing mais qui procède différemment cette fois, le pirate se fait passer pour un cadre dirigeant afin de convaincre un employé de réaliser une opération dans l’intérêt financier du pirate. Nous allons assister à une intensification des attaques ciblant les échelons supérieurs des organisations. En effet, le potentiel de gain financier par attaque est nettement plus élevé que celui d’autres types d’attaques combinés, sans pour autant exiger davantage d’effort de la part des pirates.

Souvent appelé « Compromission des e-mails professionnels », ou BEC pour Business Email Compromise, ce type d’attaque affiche également un taux de réussite bien supérieur à la moyenne : « 90 % des tentatives ont réussi, contre un taux de réussite de 30 % pour les attaques de phishing classiques, » selon Ken Bagnall dans son intervention « Usurpation de l’identité des PDG : protéger les entreprises » au congrès (ISC)² EMEA. Ce type d’attaque est beaucoup plus difficile à arrêter que les autres : contrairement aux apparences, les cadres visés ne sont pas la cible principale, et il faut en effet que chacun joue son rôle dans le plan de cybersécurité pour empêcher ce type d’attaque d’aboutir.

2 Les pirates font évoluer leurs attaques et misent sur l’IA générative

L’intelligence artificielle et le machine learning (ML) continuent de faire la une des journaux, qui vantent la capacité de ces technologies avancées à simplifier et automatiser les tâches manuelles dans de nombreux secteurs.

Mais ce qui est bon pour les uns l’est aussi pour les autres, et l’IA/ML, comme tout autre outil, ne fait pas de distinction entre « bon » et « mauvais » usage. Les acteurs malveillants s’en servent aussi pour élaborer des menaces plus sophistiquées, mais aussi beaucoup plus difficiles à découvrir, à vérifier et à contrer.

2023 nous en a donné un bon exemple : des pirates ont utilisé l’IA pour imiter la voix d’une femme, faire croire à son enlèvement puis demander une rançon. Et cela n’a rien de surprenant quand on sait que des outils d’IA générative dépourvus de garde-fous éthiques ou moraux sont employés pour créer du contenu falsifié hautement réaliste, ou « deep fake », et faire ensuite chanter des victimes en les menaçant de diffuser ces contenus dévastateurs pour leur réputation. Les pirates savent aussi utiliser le ML pour développer du code malveillant dynamique qui échappe à toute détection en faisant évoluer sa base de code tout en collectant des données, une fois infiltré à l’intérieur d’une infrastructure.

3 Les attaques soutenues par les États-voyous vont se poursuivre, en ciblant cette fois les élections dans le monde entier.

2024 sera l’année de la 60e élection présidentielle américaine, un moment décisif dans la vie citoyenne et politique du pays.

Comme nous le relevions déjà dans les prédictions de l’année dernière, « ce ce n’est un secret pour personne : le processus électoral est depuis longtemps un sujet brûlant pour les acteurs des États-voyous et les hacktivistes. » Les prochaines élections vont encourager cette dynamique qui sera nourrie de nombreuses attaques, » menées «par et contre des gouvernements et des entreprises. »

Il ne faut pas être grand clerc pour anticiper des cyberattaques contre les infrastructures électorales. Mais nous assisterons également à d’autres formes d’attaques, sans doute moins directes, qui utiliseront cette fois les réseaux sociaux pour influencer les réflexions et les émotions des électeurs. Pourtant, les informations qui se répandront de la sorte pourraient bien provenir d’états illibéraux désireux de peser sur la politique des États-Unis et d’autres régions, ou qui voient leur intérêt dans les troubles sociaux que peuvent provoquer des campagnes de désinformation.

4 L’IA et du ML vont rapidement gagner du terrain au sein des piles de sécurité

Comme on l’a mentionné plus haut, l’IA/ML profite à de nombreux secteurs d’activité, à commencer par la cybersécurité. Plus précisément, les solutions et services utilisés pour améliorer la protection des terminaux et des appareils mobiles.

Ces technologies émergentes donnent jusqu’à présent toutes les preuves d’une grande efficacité en automatisant la collecte et l’analyse des données sur les menaces, ou en donnant aux équipes de sécurité des conseils pour atténuer les facteurs de risque identifiés. Toutefois, la perspective effrayante de menaces enrichies par l’IA encourage les développeurs à intégrer en urgence la technologie ML aux solutions de sécurité des terminaux et aux services de protection des piles de sécurité des entreprises.

C’est une prédiction à part entière, mais les pirates vont utiliser l’IA pour développer des menaces plus ambitieuses et sophistiquées. Et si les administrateurs veulent avoir le moindre espoir de protéger leurs réseaux, leurs terminaux, leurs données et leurs utilisateurs contre les menaces avancées, ils devront combattre le feu par le feu. Et cela implique d’intégrer des technologies IA/ML à l’avant-poste de cette bataille entre les pirates et les équipes de défense qui, tous, utiliseront l’IA.

5 Les attaquants ciblent des sources technologiques alternatives pour perturber la livraison des services.

Les pirates ne ciblent pas seulement les ordinateurs et les utilisateurs pour accéder à des données critiques ou obtenir un gain financier. Certaines attaques poursuivent un objectif tactique et ne sont qu’une étape. On ne comprend pas toujours les motivations d’un attaquant. Mais quelles que soient la nature et les raisons d’une compromission, ce n’est jamais une bonne nouvelle.

« Parce que certaines personnes ne recherchent rien de logique et ne veulent pas d’argent. On ne peut pas les acheter, les intimider, les raisonner ou négocier avec eux. Certains veulent juste voir le monde brûler. » — Alfred, The Dark Knight

En 2024, les attaques vont changer de cible pour viser des technologies alternatives. Ils ne s’en prendront plus seulement aux points d’entrée du réseau et chercheront à créer des diversions pour occuper les équipes de défense pendant qu’ils mènent leur véritable attaque ailleurs. À moins que leur but ne soit simplement, comme le suggère la citation, de susciter le chaos. Pour prendre un exemple, une récente présentation de BlackHat a expliqué comment des des chercheurs en sécurité parviennent à pirater des voitures électriques bien connues et dotées de capacités de conduite autonome pour :

• débloquer des fonctionnalités normalement payantes
• accéder aux informations et aux coordonnées des utilisateurs
• modifier des configurations d’utilisabilité des véhicules

Quand les modèles de menace ciblent le matériel lui-même, la vulnérabilité peut être impossible à corriger via une future mise à jour logicielle. D’ailleurs, certains chercheurs émettent l’hypothèse qu’avec suffisamment de temps, contrôler la voiture à distance est tout à fait envisageable.

Pensons également aux appareils IoT (Internet des objets) utilisés dans le domaine de la santé pour prodiguer des soins vitaux aux patients. Dans les cercles de cybersécurité, ces appareils autonomes, qui deviennent « intelligents » en ayant accès à Internet, ont mauvaise réputation. Leurs paramètres de sécurité laxistes sont soupçonnés d’introduire des vulnérabilités qui dégradent la posture de sécurité globale de l’organisation. Essentiels pour les soins de santé, utilisés pour monitorer les patients et leur apporter des soins vitaux, ces appareils aux problèmes de sécurité connus de longue date pourraient très bien être exploités et servir de source pour l’exfiltration de données sur les patients. Pire encore, les appareils qui délivrent des médicaments ou les lits connectés utilisés à des fins thérapeutiques pourraient être compromis ; les uns délivreraient des doses incorrectes, les autres seraient reconfigurés de façon à nuire au patient au lieu de lui apporter un soutien optimal.

« La taille du marché mondial de l’IoT devrait passer de 300,3 milliards de dollars en 2021 à 650,5 milliards de dollars d’ici 2026. » — Marchés et études de marchés

6. Les organisations misent fortement sur les cadres établis pour se mettre en conformité et le rester

Ce n’est pas une coïncidence si les industries hautement réglementées restent une cible de choix pour les acteurs malveillants. Et ces organisations ont l’obligation légale de se conformer à tout l’arsenal législatif qui s’applique à elle, du niveau local aux normes régionales.

Le droit évolue avec les progrès technologiques, et les entreprises, réglementées ou non, adoptent massivement des cadres de cybersécurité pour simplifier le processus de mise en conformité et maintenir un niveau élevé de sécurité. Ces entreprises n’ont pas strictement l’obligation de mettre ces cadres en place, mais elles tendent de plus en plus à le faire à la lumière des transformations du paysage de la sécurité :

• Chez les acteurs malveillants, utilisation d’outils basés sur l’IA pour rendre les menaces et les attaques plus performantes
• Renforcement de la surveillance réglementaire et évolution des obligations
• Manque de standardisation dans la gestion des flottes d’appareils
  • Configurations non sécurisées
  • Applications non prises en charge
  • Correctifs non appliqués
  • Gestion décentralisée
  • Impossibilité de surveiller l’état des terminaux

En mettant en œuvre des solutions de gestion et de sécurité des terminaux, une entreprise jette des bases solides pour sa conformité. Toutefois, ces outils ne suffisent pas à assurer sa conformité. Certes, elles permettront de configurer correctement les terminaux d’une organisation. Mais celle-ci doit d’abord définir clairement sa feuille de route et sa destination. C’est ici que l’intégration entre les cadres de conformité et les solutions de gestion et sécurité montre tout son intérêt : elle prescrit avec précision les réglages et les renforcements nécessaires pour atteindre vos objectifs de conformité. En parallèle, elle surveille les appareils, collecte et analyse les données de télémétrie et maintient la conformité des terminaux, notamment en appliquant des workflows de correction automatisés pour rétablir la conformité des appareils.

7. Les appareils mobiles seront le talon d’Achille de la sécurité des données dans les entreprises de toutes tailles

Les appareils mobiles englobent les smartphones, les tablettes et les technologies corporelles. Avec les ordinateurs, ils sont presque systématiquement utilisés par les équipes en télétravail. D’ailleurs, selon une étude de Statista, le nombre moyen d’appareils par personne est passé à 3,6 appareils en 2024, contre 2,4 cinq ans auparavant.

« Une enquête menée en 2021 auprès de travailleurs adultes du monde entier a révélé que 64 % des adultes qui travaillent aux États-Unis utilisaient leur smartphone personnel à des fins professionnelles. En comparaison, la moyenne mondiale était de 54 %. » — Statista

Les auteurs malveillants misent lourdement sur ce segment critique, car les appareils mobiles sont généralement bien moins protégés que leurs homologues de bureau. Même lorsqu’ils intègrent des fonctionnalités de sécurité sophistiquées, il suffit qu’elles soient mal configurées ou activées pour susciter des inquiétudes. Quand on sait que la part de marché du segment mobile pourrait dépasser celle des ordinateurs traditionnels à l’échelle mondiale, et que les mobiles offrent aux utilisateurs l’accès aux mêmes données confidentielles et sensibles que les ordinateurs, on comprend mieux l’ampleur du risque de violation.

8. Le modèle zero trust détrône enfin les VPN traditionnels dans l’entreprise

Technologie conçue il y a des décennies, le VPN a résisté à l’épreuve du temps. Cela dit, en ce qui concerne plusieurs des prédictions de cet article, de même que certaines violations de données critiques survenues en 2023, les conséquences pourraient être atténuées, voir entièrement évitées en mettant en place des solutions d’accès réseau zero trust (ZTNA) à la place des VPN pour les appareils mobiles.

«… les entreprises s’appuient encore sur des technologies et des logiciels obsolètes. Ces systèmes traditionnels sont rarement équipés des derniers correctifs et mises à jour de sécurité, ce qui les rend plus faciles à pirater. » — Emil Sayegh

Le ZTNA apporte clairement une réponse à certaines de nos prédictions. 2024 s’annonce comme l’année où les modèles zero trust franchiront la dernière barrière de l’adoption pour devenir la solution de sécurité moderne de choix dans les entreprises de toutes tailles, en lieu et place du VPN traditionnel. Grâce à ce qui sera bientôt la technologie de sécurité de facto pour les systèmes du gouvernement fédéral, les connexions à distance resteront sécurisées. Intégré à la pile de sécurité, le ZTNA arrête les menaces réseau comme les attaques MitM et le phishing zero-day, et il normalise la protection sur l’ensemble des flottes d’appareils, quel que soit leur système d’exploitation. Renforcé par des protections d’accès conditionnel reposant sur l’identité et par le chiffrement individuel des communications de chaque application ou service, le ZTNA vérifie l’état des appareils avant de répondre à une demande d’accès.

En bref : Le zero trust ne fait jamais confiance aux appareils ou aux utilisateurs de manière implicite ; il vérifie systématiquement les deux avant d’établir une connexion sécurisée.

9. L’augmentation des primes de cyberassurance oblige les entreprises à investir dans des solutions de sécurité basées sur l’IA

La cyberassurance reste hors de portée de nombreuses entreprises. En raison des coûts élevés des primes et des clauses d’exception qui excluent certains types de cyberattaques, les organisations réaffectent leurs fonds et privilégient les nouveaux services de défense basés sur l’IA. Elles cherchent en effet à restructurer la pile de sécurité existante pour renforcer leur posture de sécurité face à la multiplication des risques et à l’évolution des menaces.

Les primes d’assurance, même si leur coût diminue, restent inabordables pour de nombreuses entreprises de toutes tailles. Pour ces organisations, l’heure est plutôt à une réévaluation de la tolérance au risque et à la mise en œuvre d’outils de cybersécurité basés sur l’IA pour maintenir les risques à des niveaux tolérables en atténuant en priorité les grandes menaces qui pèsent sur elles.

Quelques chiffres pour mettre les choses en perspective :

• Le coût moyen d’une violation de données aux États-Unis s’élève à 4,45 millions de dollars, selon le rapport Coût d’une violation de données 2023 d’IBM.
• Dans le même rapport, IBM révèle également que les organisations qui misent sur l’IA et l’automatisation identifient et isolent une violation de données 108 jours plus tôt que les autres en moyenne.
• Elles réalisent également des économies importantes : pour elles, le coût moyen d’une violation de données ne dépasse pas 3,60 millions de dollars, soit 1,76 million de dollars de moins que la moyenne.

10. Les organisations vont utiliser davantage d’applications natives pour gérer leurs données et réduire l’utilisation des applications web.

Les applications web, ou logiciels en tant que service (SaaS), sont utilisées par des entreprises du monde entier en raison de leur relative simplicité de mise en œuvre et leur interopérabilité avec différents types d’appareils et systèmes d’exploitation. Le déploiement d’une application ou d’un service web demande un minimum de ressources et offre une expérience utilisateur optimale, quel que soit l’appareil ou le navigateur utilisé – un rêve pour n’importe quel développeur. Mais comme toujours, tout dépend du point de vue. Pour la sécurité, les applications web offrent aux utilisateurs tous les accès qu’ils souhaitent sans aucune des protections inhérentes à l’appareil. En effet, les données ne résident jamais vraiment sur l’appareil : elles sont plutôt traitées hors bande, sur un serveur ou un appareil contrôlé par un tiers autre que l’utilisateur ou l’administrateur.

« 70 % des applications web présentent de graves failles de sécurité. » — Security Magazine

Pour cette raison essentielle, les applications web induisent un risque accru d’exposition de données sensibles. Ce risque est exacerbé en cas de mauvaise configuration du service, ou lorsque le code de l’application n’intègre pas les protocoles de sécurité appropriés. Les acteurs malveillants le savent, et c’est pourquoi ils lancent continuellement des campagnes de phishing pour recueillir les identifiants des utilisateurs. Après tout, le meilleur moyen de forcer une porte verrouillée est d’obtenir une copie de la clé.

On comprend donc que les professionnels de la sécurité préfèrent utiliser des applications natives, installées sur les appareils des utilisateurs. Il devient alors possible d’imposer des protections de sécurité et des configurations renforcées, et de les mettre à jour régulièrement pour maintenir la conformité des appareils. Grand avantage des applications natives dans le contexte des environnements gérés, les données professionnelles peuvent être stockées sur un volume chiffré et isolé du volume qui hébergent les données personnelles. Si les données personnelles sont compromises, les données professionnelles restent intactes. En cas de perte ou de vol d’un appareil personnel utilisé pour le travail, un administrateur peut effacer entièrement l’appareil ou supprimer simplement le stockage des données professionnelles, pour une protection ciblée.

Conclusion

À l’heure où les organisations du monde entier font le bilan de l’année écoulée et se préparent à la nouvelle, il est naturel de se demander ce que 2024 nous réserve. C’est le moment idéal de tirer des enseignements du passé et d’évaluer avec honnêteté notre position de sécurité pour faire face à l’avenir.