Perspectives cyber : l'année 2023 s'annonce tumultueuse pour les RSSI

Si 2022 s'est avérée chargée pour les RSSI, 2023 s'annonce d'autant plus complexe. La Semaine Européenne de la Cybersécurité qui s'ouvre est l'occasion de faire le point sur le paysage de la menace.

En 2022, le volume de cyberattaques contre les organisations de toutes tailles a été sans précédent. Les ransomwares, la prolifération de groupes cybercriminels liés à des États-nations ou encore les vulnérabilités qui émergent le long des chaînes d’approvisionnement, ne sont que quelques exemples de ces menaces qui se multiplient.  

À l’approche de 2023, les RSSI et les conseils d’administration doivent se préparer à faire face à d’autant plus de demandes, en particulier à mesure que les tensions géopolitiques s’intensifient, que l’économie mondiale devient plus volatile et que les défis en matière de main-d’œuvre continuent. Voici ce à quoi nous pouvons nous attendre.

Les pressions mondiales exacerberont le risque systémique

Notre écosystème numérique est de plus en plus complexe et interconnecté, ce qui exacerbe inévitablement les préoccupations existantes et suscite de nouvelles craintes quant au risque systémique, où les faiblesses d’un seul, impacte la résilience de tous.

Le rapport Cybersecurity : The 2022 Board Perspective a révélé que 75 % des membres de conseils d’administration interrogés en août dernier, estiment comprendre clairement le risque systémique auquel leur organisation doit faire face. Malgré cela, l’instabilité internationale rend très difficile la perception claire de l’étendue des menaces qui pèsent sur nos écosystèmes.

En parallèle, le stress lié au ralentissement économique — pertes d’emplois, taux d’intérêt plus élevés, baisse du pouvoir d’achat et hausse de l’inflation — rend les collaborateurs plus distraits, un contexte qui favorise l’exploitation des faiblesses humaines, terreau sur lequel prospèrent les cybercriminels.

La commercialisation d’outils de piratage va continuer de proliférer sur le dark web

Depuis quelques années, la vente de kits d’exécution de ransomwares « as a service » est une économie florissante sur le marché noir. Le « ransomware-as-a-service » est devenue une activité pour le moins lucrative et, ces outils ne demandant que peu ou pas de savoir technique, ils ouvrent la cybercriminalité à toute personne disposant d’un navigateur Tor et d’un peu de temps libre.

Alors que cette commercialisation continue de proliférer, nous pouvons nous attendre à une nouvelle vague d’attaques encore plus dispersées. Nous verrons aussi plus d’outils mis à disposition pour des attaques par SMS, qui visent à prendre le contrôle de nos téléphones portables.

Le vol de données fera partie intégrante de chaque attaque par ransomware

Les attaques par ransomwares sont devenues endémiques et aucune organisation n’est à l’abri de cette menace. Selon le rapport 2022 de Proofpoint sur l’état du phishing, 68 % des organisations interrogées dans le monde ont connu au moins une infection par ransomware. Ce qui est le plus préoccupant, cependant, c’est l’évolution des méthodes au cours des trois dernières années, passant du chiffrage des données pure, à un système de double extorsion où les données sont chiffrées et volées. Alors qu’un seul groupe de cybercriminels (Maze) avait utilisé cette tactique en 2019, les attaques par double extorsion représentaient 77 % des cas au premier trimestre 2021 selon une étude F-Secure.

La dernière tendance est la triple extorsion, les cybercriminels cherchant à obtenir des paiements non seulement de l’organisation ciblée, mais également de toutes les entités susceptibles d’être touchées par la fuite de données. Cette tendance démontre l’audace grandissante et l’agressivité croissante des stratégies déployées par les cybercriminels.

Les attaques de contournement MFA vont se développer

Les groupes de cybercriminels adaptent leurs approches à mesure qu’ils en apprennent davantage sur les comportements psychologiques et sociologiques de leurs victimes, et ils déploient des stratégies de plus en plus ingénieuses pour obtenir des informations d’identification en ligne.

L’industrie de la cybersécurité avait réagi en faisant pression pour le développement de systèmes d’authentification multi-facteurs (MFA), qui sont désormais la norme, mais cette évolution a donné naissance à un nouveau jeu du chat et de la souris : plus les organisations ajoutent de l’authentification multifacteur, plus les cybercriminels se tournent vers l’exploitation des faiblesses que le système induit, comme la lassitude de devoir changer de mot de passe constamment. Nous avons pu observer les preuves de cette évolution et y voyons le début d’une nouvelle tendance.

La menace elle-même n’est pas nouvelle — nos chercheurs ont vérifié des vulnérabilités contournant la MFA il y a deux ans — mais nous voyons de plus en plus d’outils pour exécuter ces attaques. Ce qui rend cette menace plus difficile, c’est qu’elle exploite non seulement la technologie, mais aussi les faiblesses psychologiques. Les cybercriminels s’appuient de plus en plus souvent sur la fatigue liée au nombre de notifications que nous recevons quotidiennement, bombardant un employé de demandes de réinitialisation de mots de passes, jusqu’à ce qu’il ou elle cède et finisse par se faire escroquer ses identifiants.

Les chaînes d’approvisionnement seront de plus en plus fragilisées

SolarWinds et Log4j ont peut-être tirés la sonnette d’alarme, mais nous sommes encore loin de disposer d’outils adaptés pour nous protéger contre ce type de vulnérabilités, en particulier sur une chaîne d’approvisionnement de plus en plus numérisée. Une enquête du Forum économique mondial a révélé que près de 40 % des organisations ont subi les effets d’incidents de cybersécurité au sein de leur chaîne d’approvisionnement, et presque toutes ont exprimé des préoccupations quant à la résilience des petites et moyennes entreprises au sein de leur écosystème.

Nous prévoyons une hausse de ces préoccupations en 2023, notre confiance dans les partenaires et fournisseurs tiers devenant l’un des principaux canaux d’attaque. Les API sont particulièrement préoccupantes et les attaquants savent que nous en dépendons fortement. Ce qui aggrave les choses, c’est que de nombreuses organisations manquent tout simplement de pratiques solides pour intégrer et gérer les API en toute sécurité, ce qui rend le travail des acteurs de la menace beaucoup plus facile.

Nous nous attendons à plus de tension dans les relations avec la chaîne d’approvisionnement dans son ensemble, car si les entreprises tentent d’intensifier les processus de conformité de leurs fournisseurs pour mieux comprendre les risques, les fournisseurs devront par conséquent gérer le poids administratif écrasant de ces nouvelles procédures.

La technologie deepfake augmentera le risque d’usurpation d’identité, d’escroquerie et de désinformation

La technologie Deepfake devient de plus en plus accessible au plus grand nombre. Grâce aux générateurs d’IA formés sur d’énormes bases de données d’images, n’importe qui peut générer des deep fakes avec peu de connaissances techniques. Bien que le résultat du modèle de pointe ne soit pas sans défauts, la technologie s’améliore constamment et les cybercriminels commenceront à l’utiliser pour créer des récits irréprochables.

Les deepfakes ont traditionnellement impliqué des stratégies de fraudes et de compromission des e-mails professionnels, mais nous nous attendons à ce que l’utilisation s’étende bien au-delà de ces tromperies. Imaginez le chaos boursier si un PDG ou un directeur financier d’une grande entreprise faisait une déclaration audacieuse qui ferait chuter le cours de l’action ? Ou considérez comment les malfaiteurs pourraient tirer parti de la combinaison de l’authentification biométrique et des deepfakes pour l’usurpation d’identité ou la prise de contrôle de compte.

La surveillance réglementaire va s’intensifier au niveau du conseil d’administration et modifier davantage le rôle du RSSI

Les exigences accrues, notamment celles proposées par la Securities and Exchange Commission des États-Unis en matière de transparence obligeront les entreprises à améliorer la surveillance et à accroître l’expertise en cybersécurité au sein du conseil d’administration lui-même. Ils auront de nouvelles exigences et attentes pour leurs RSSI, modifiant ainsi le rôle traditionnel du RSSI.

Les prédictions de notre équipe pointent toutes vers le même thème : les entreprises doivent revenir à l’essentiel pour s’assurer qu’elles protègent leurs employés et leurs données. Quelles que soient les faiblesses exploitées par les acteurs de la menace en 2023, les personnes plus que les systèmes resteront leur cible privilégiée, et le vol de données, leur objectif ultime. C’est pourquoi la cyberhygiène et une approche holistique des stratégies de défense est plus que nécessaire.