Cybersécurité et cybermenace : 5 tendances pour 2022
2021 a été marqué par une forte recrudescence des ransomwares et par un sentiment accru d'impuissance face à des attaques de plus en plus nombreuses, rapides et sophistiquées. Pourtant, si les risques vont subsister et évoluer en 2022, certains signes laissent penser que la défense s'adapte rapidement.
1. Les relations entre l'homme et l'IA s'amélioreront grâce à la capacité à fournir des explications
Depuis près de dix ans, les experts en sécurité appliquent l'IA à la menace des cyberattaques, qu'il s'agisse de la détection des menaces ou de l'utilisation de microdécisions autonomes pour répondre aux attaques à la vitesse de la machine. Les percées qui permettront aux équipes de sécurité de fonctionner de manière optimale ne se feront peut-être pas uniquement grâce à ces algorithmes mathématiques avancés. En 2022, ce sera probablement grâce à l'intelligence artificielle explicable (XAI).
Les processus et les méthodes qui permettent aux utilisateurs humains de comprendre et de faire confiance aux résultats et aux produits créés par les méthodes d'apprentissage automatique seront au premier plan dans les centres d'opérations de sécurité. Cet accent mis sur le temps de compréhension plutôt que sur le simple temps d'alerte fera progresser la façon dont les entreprises mesurent l'efficacité des équipes de sécurité. L'accent sera mis de plus en plus sur l’IA Explicable (XAI), en opposition avec le concept de "boîte noire", car les experts en sécurité veulent comprendre les impacts attendus de l'IA et les biais potentiels.
2. Les ransomwares en 2022 : la même chose, mais en différent
Pendant la pandémie, nous avons assisté à une intensification des attaques par ransomware. Nos chercheurs ont découvert que le nombre d'attaques contre des organisations américaines a triplé en 2021 par rapport à 2020, et que les attaques contre des organisations britanniques ont doublé.
La situation a conduit 30 nations à se réunir pour élaborer une stratégie de lutte contre les ransomwares axée sur la réglementation des cryptomonnaies, la résilience de la sécurité, la neutralisation des attaques et la cyberdiplomatie au niveau international. Malgré ces efforts politiques qui feront date, même si les gouvernements contraignent les groupes de ransomware à se dissoudre ou les inculpent pénalement, ils continueront à se rebaptiser et à se reconstituer avec des techniques et des capacités encore plus sophistiquées.
Si nous laissons les ransomwares se répandre, les hackers développeront probablement de nouvelles techniques en 2022 et pourraient cibler les fournisseurs de services cloud et les fournisseurs de sauvegarde et d'archivage. Il viendra un moment où cela ne sera plus considéré comme un simple désagrément informatique et où les entreprises ne pourront plus se contenter de subir. Les infrastructures critiques et les entreprises continueront à évaluer la rapidité avec laquelle elles peuvent rétablir les opérations à la suite d'une attaque et la durée pendant laquelle elles pourront compter sur les cyberassureurs pour couvrir les rançons et les réparations coûteuses des systèmes.
Si la défense contre les ransomwares n'est pas viable, comment faire ? À terme, les entreprises construiront des systèmes capables de résister aux cyberattaques. En attendant, elles ont besoin de logiciels de sécurité qui apprennent, prennent des micro-décisions et des réponses proportionnelles pour détecter et arrêter les attaques suffisamment tôt, avant que l'exfiltration ou le chiffrement des données ne se produisent.
3. Les attaques contre la supply chain logicielle seront monnaie courante en 2022
Nos recherches en matière de sécurité ont révélé que le secteur le plus attaqué en 2021 était celui des technologies de l'information (TI) et des télécommunications, alors qu'en 2020, c'était celui des services financiers. Ce changement n'est peut-être pas surprenant compte tenu des attaques très médiatisées de la chaîne d'approvisionnement en logiciels contre SolarWinds en décembre 2020, puis contre Kaseya et GitLab en 2021.
Les pirates considèrent les infrastructures, les plateformes et les fournisseurs de logiciels et de développeurs comme un vecteur d'entrée dans les administrations, les entreprises et les infrastructures critiques. Les acteurs malveillants placeront des malwares tout au long de la chaîne d'approvisionnement en logiciels, y compris dans les codes sources propriétaires, les référentiels des développeurs, les bibliothèques open source, etc. Nous assisterons probablement à de nouvelles attaques de la chaîne d'approvisionnement contre les plateformes logicielles.
Ils vont également perfectionner leurs attaques par e-mail pour détourner plus directement la chaîne de communication en prenant le contrôle de comptes de fournisseurs afin d'envoyer des e-mails de spearphishing à partir de comptes authentiques et fiables, comme ce que nous avons vu lors du détournement de comptes e-mail du FBI en novembre 2021.
Si les pirates peuvent intervenir dès le début du processus de développement, les entreprises devront détecter et arrêter les pirates après leur intrusion. Comme il s'agit d'attaques en plusieurs étapes, les entreprises devront utiliser l'IA à chaque étape pour contenir l'attaque et la neutraliser.
4. Les innovations en IA aident les organisations à simuler des attaques de manière proactive
On entend régulièrement dire que les attaquants sont souvent plus innovants que ceux qui se défendent. Mais le vent va tourner en 2022, lorsque l'aboutissement d'années de recherche en IA prédictive se traduira par des capacités qui profiteront aux défenseurs.
L'IA a apporté diverses innovations cruciales dans l'espace de cybersécurité défensive pour la détection des menaces, les enquêtes et la réponse. En 2022, les innovations en matière d'IA s'étendront de la défense à des domaines adjacents, tels que la sécurité proactive et les simulations d'attaques.
Les récentes avancées qui permettent à l'IA d'effectuer la modélisation des chemins d'attaque, la simulation d'adversaires et le red teaming continu permettront aux organisations de visualiser et de tester les scénarios les plus probables qui les préoccupent et d'atténuer les cyberrisques avec des mesures de sécurité et des contrôles. Les priorités fondamentales des organisations de cybersécurité vont changer de forme, car elles se concentrent davantage sur les technologies émergentes pour identifier les vulnérabilités, lancer des attaques contrôlées et tester leurs défenses.
Bien que cette approche dite proactive et prédictive de la gestion des cyberisques n'ait pas encore atteint le conseil d'administration, elle pourrait changer la façon dont les entreprises, les régulateurs, les comités d'audit et les compagnies de cyberassurance évaluent leurs futurs cyberisques.
5. Le phénomène de démissions massives va entraîner une recrudescence des menaces internes
Le phénomène que les anglo-saxons appellent la "grande démission" où un grand nombre d’employés a démissionné au cours de la pandémie laisse présager que des collaborateurs mécontents voleront des informations ou que des employés inattentifs emporteront involontairement des informations dans leur nouvel emploi. Des groupes criminels ont également tenté de recruter des employés en offrant une grosse somme d'argent ou une partie de la rançon.
Que leurs actes soient intentionnels ou non, les employés deviendront une priorité croissante pour les entreprises en 2022. Comme de plus en plus d'organisations s'appuient sur des applications de communication et de collaboration dans le cloud, ces menaces deviennent encore plus difficiles à détecter dans des infrastructures numériques tentaculaires. Comme les employés travaillent à distance, il sera encore plus difficile de faire respecter la restitution des équipements et des données.
Les organisations s'appuieront davantage sur une technologie de sécurité qui comprend le comportement des employés sous une multitude d'angles, notamment le cloud, le SaaS, l'utilisateur et le terminal. Cette technologie prend automatiquement des mesures lorsqu'un employé se comporte de manière anormale, par exemple en envoyant des e-mails à des sources extérieures, en accédant à des fichiers qu'il n'aurait normalement pas consultés, ou par d'autres activités anormales. Ces approches fonctionneront parallèlement aux nouveaux outils zero trust et adhéreront aux architectures zero trust pour protéger les organisations contre les menaces internes.