Les experts imaginent la sécurité informatique dans 10 ans Mauro Israel (Netwizz.com) :"Les smartphones serviront de clé d'accès"
|
||
|
Mauro Israël est expert en sécurité des systèmes d'information depuis plus de 25 ans. © Mauro Israel
|
||
Quelques tendances fortes des dix ans à venir en termes de sécurité :
La fin de l'informatique "traditionnelle" dans les entreprises : avec le phénomène "BYOD " (bring your own device), les datacentres et la gestion des parcs micro et des applicatifs notamment bureautiques et emails seront sous-traités au Cloud et aux connexions Internet via des "box".
La frontière entre l'espace privé et l'espace de l'entreprise va tellement se flouter que les utilisateurs seront constamment connectés à Internet et en liaison avec le système d'information de l'entreprise.
Les enjeux de sécurité d'une entreprise vont donc se confondre avec ceux de la sécurité d'un utilisateur sur Internet.
Par conséquent le métier de DSI va se concentrer sur l'aspect "gestionnaire" et abandonner l'aspect "production", alors que le RSSI va se trouver en mode transverse comme référent sécurité des métiers et s'émanciper définitivement de la fonction informatique.
Avec la pression des utilisateurs on va assister à la fin du "login-passoire" : les mots de passe ("que je connais") vont être remplacés par des smartphones qui serviront de clé d'accès ("que je possède").
De gigantesques aggrégateurs de "single sign on" vont voir le jour : ce pourrait être Google, Amazon, Twitter ou un acteur de la sécurité comme Symantec, Mc Afee ou Check Point ou enfin un nouveau venu "pure player" de ce domaine. La solution qui l'emportera sera celle où il n'y aura pratiquement rien à faire pour l'utilisateur (par exemple Xmarks dans le domaine des signets).
Tous les accès aux postes de travail, aux sites et applications web se feront automatiquement par la possession d'un smartphone ou d'une clef USB, accompagnés ou non d'un PIN code utilisateur.
Ce changement sera la plus grande avancée en termes de sécurité car le principal type d'attaque réussie consiste à dérober le ou les mots de passe de quelqu'un. Pour les pirates ça sera beaucoup plus dur d'attaquer à distance car ils n'auront pas la possession du "token utilisateur".
On verra certains Etats proposer ce dispositif à leurs concitoyens sous forme de carte d'identité numérique : clef USB contenant des données uniques délivrée en mairie. La Suisse, la Finlande, la Suède ou Monaco devraient faire partie de ces pays.
Les opérateurs télécoms fournisseurs d'accès internet vont intégrer la sécurité dans leur box ADSL pour tenir compte du floutage "entreprise-utilisateur particulier" et pour contrer efficacement les menaces de type "virus, vers et spam ".
En effet l'opérateur télécom est le mieux placé pour repérer un flux "anormal" et le contrer. Ce sera la fin de la neutralité des opérateurs. Et si les opérateurs telco ne le font pas à travers leur box et un "SOC" Security Operation Center ouvert 24/7, alors ce sera un fournisseur de Cloud comme Google ou bien un "pure player" sous forme de "proxy" comme Zscaler ou bien un fournisseur de VoIP comme Skype.
"Des radars HADOPI-matiques seront installés pour IP-flasher les contrevenants"
Les menaces vont continuer à se décaler vers les applicatifs et notamment les failles du code source et le reverse engineering des modules compilés. Des nouveaux systèmes experts d'audit et de correction de code source vont voir le jour.
Les utilisateurs vont se segmenter en "natifs" (génération Y) et "migrants" du web, ces derniers étant totalement perturbés par les nouveaux usages et outils, jusqu'à leur retraite (générations BB et X). La sécurité sera donc mise en cause par un usage "erratique " de ces technologies pendant les 10 ans à venir. Une fois les "natifs" devenus managers dans les entreprises, la sécurité sera améliorée de facto par leur compréhension du système.
Les journaux quotidiens vont intégrer une "Météo du Net" avec une rubrique "sécurité" qui indiquera les attaques en cours, la source de l'attaque, le type de cibles et la vulnérabilité visée.
On verra en France la création d'une entité "Sécurité du Net" qui sera chargée de diffuser tous les mois les statistiques de piratages et se verra confier la mission de limiter le nombre de personnes atteintes à un maximum de 4000 par an, contre l'hécatombe actuelle...
Des radars "HADOPI-matiques" seront installés pour "IP-flasher" les contrevenants. Le gouvernement se félicitera alors des bons résultats en matière de sécurité du Net, mais ces résultats seront contestés par l'opposition qui indiquera que les piratages d'usurpation d'identité ont été sortis des statistiques l'été précédent en catimini...