Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

2013 en cinq prédictions sécurité

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Soyons honnêtes, les prédictions de début d’année ne sont généralement qu’une extension des tendances observées au cours de l’année écoulée. Et comme toutes tendances, celles-ci peuvent se combiner, s’accentuer ou régresser, et c’est finalement ici que se joue l’aspect prédictif. C’est à dire, sur pas grand chose… Mais que cela ne nous gâche pas pour autant le plaisir de prédire !

Alors, quelles sont les tendances de 2012 dont on peut imaginer qu’elles auront un impact sur l’année 2013 ? Voici notre sélection.

La cyber-guerre. 2013 devrait voir se renforcer l’occupation visible du domaine cyber par les gouvernements et leurs forces armées. En janvier 2012 nous prédisions déjà un « pré-positionnement des troupes« . Celui-ci a bien eu lieu et l’année écoulée s’est révélée riche en annonces et en initiatives diverses en la matière. Nous avons vu notamment en 2012 beaucoup de publications au sujet d’une éventuelle doctrine d’emploi de l’arme cyber, beaucoup de débats quant à la nature même de celle-ci, beaucoup de contradictions et beaucoup de questionnements chez les stratèges.

De rapport parlementaire en publication de l’OTAN, en passant par la préparation du prochain Livre Blanc de la Défense (prévu pour cette année), 2012 a été l’année de la mise en place. 2013 sera à coup sûr celle de la « digestion » de toutes ces réflexions, et peut-être celle des premières expérimentations. Car comme nous l’écrivions en cours d’année, les Etats ont probablement besoin d’apprendre à utiliser ce nouveau levier situé entre l’effort diplomatique et l’action militaire conventionnelle. Ils ont aussi peut être besoin de démontrer leurs capacités à des fins de dissuasion, et pour cela rien ne vaut une bonne excuse pour s’en servir.
Déjà, les Etats-Unis viennent d’annoncer, par la voix de James A. Lewis, un ancien du département d’Etat, que l’Iran était « sans aucun doute » derrière l’attaque par déni de service des grandes banques américaines durant ces derniers mois…

Le social engineering. Oui, l’ingénierie sociale « ça marche à tous les coups« , comme nous le disait le célèbre pirate Kevin Mitnick. Et le tout récent piratage du fichier STIC de la Police Nationale est venu nous le rappeler. En 2012, cependant, les techniques de social engineering étaient surtout massivement utilisées par les pirates pour abuser des particuliers (fraude sur Facebook, installation de logiciels publicitaires, etc…). A tel point qu’il n’est désormais plus nécessaire de développer un code malveillant très perfectionné pour compromettre le PC d’un particulier : il suffit d’inventer une bonne raison pour inciter ce dernier à cliquer, à installer volontairement un outil piégé, voire même tout simplement à copier une ligne de code dans la barre d’adresse de son navigateur.

Mais il ne s’agit là en réalité que du degré zéro du social engineering. Des attaques plus perfectionnées, combinant appels téléphoniques et emails (après avoir piraté le PABX et l’annuaire de l’entreprise par exemple) sont autrement plus dévastatrices. Elles sont évidemment déjà pratiquées depuis longtemps, mais l’année 2013 pourrait voir un regain d’intérêt pour ce type d’attaques. Confronté à des solutions techniques globalement efficaces et à des équipes SSI expérimentées, l’attaquant préfère naturellement se tourner vers une approche plus simple, plus fiable et moins visible : manipuler l’utilisateur déjà authentifié. D’autant plus que le terrain est souvent laissé libre tant les entreprises prennent rarement en compte ce type de risque. « Aujourd’hui on me demande à 80% des prestations techniques seules. Probablement parce que évaluer la résistance de l’entreprise à l’ingénierie sociale n’est exigé par aucune réglementation« , explique Kevin Mitnick.

Ainsi, plutôt qu’une supposée « redécouverte » du social engineering par les pirates (car ils le pratiquent déjà !) 2013 pourrait plutôt marquer le douloureux réveil des entreprises en la matière. Elles pourraient se découvrir, à la faveur d’attaques rendues publiques, totalement exposées à ce risque après s’être trop focalisées sur la seule conformité réglementaire et la mise en oeuvre de solutions techniques.

La sûreté et la sécurité IT. Certes, le débat du copieur connecté au réseau (qui en est responsable ? La DSI ou les moyens généraux ?) ne date pas d’hier. Et certes, la fameuse convergence entre sûreté et SSI joue encore l’arlésienne. Mais si 2013 ne sera probablement pas encore l’année de l’épiphanie, les choses semblent prêtes à bouger de manière un peu plus visible. Dans le meilleur des cas l’on pourrait voir apparaître un peu plus de Directions Sécurité Groupe au sein des entreprises. Ou au moins assister à l’ouverture de discussions productives entre les deux univers (témoin le dernier colloque du Club des Directeurs de Sécurité Des Entreprises consacré à la cyber-menace). D’ailleurs des prestations de tests d’intrusion « globaux », qui associent une intrusion physique sur site, viennent soutenir cette évolution.

RSSI, CIL, données personnelles. A l’approche de l’échéance européenne de 2015 (adoption du projet de règlement européen sur la protection des données à caractère personnel), les entreprises découvrent que le chantier est vaste. 2013 devrait voir un regain d’information et de sensibilisation sur le sujet, dans la presse et lors des événements organisés pour la profession. Mais ça ne sera pas nécessairement l’année de la mise en route : tant que l’on ne saura pas si le règlement entrera en vigueur en 2015 (comme prévu) ou en 2017 (en tenant compte d’un éventuel report), seuls les bons élèves relèveront leurs manches cette année. Quoi qu’il en soit le travail préparatoire d’éducation n’est pas inutile et l’on devrait beaucoup entendre parler de CIL et de protection des données à caractère personnel en 2013. Corollaire : le rôle du RSSI dans ce dispositif s’invitera aussi plus lourdement dans les débats.

Plus de pragmatisme ? C’est peut-être un voeux pieux plutôt qu’une prédiction ! Il aura fallu deux ans pour que le message du retour aux fondamentaux (« back to basics« ) porté par l’ANSSI s’installe dans le paysage. Mais de tous bords, l’on entend désormais les professionnels appeler de leurs voeux un retour au pragmatisme : réduire la complexité, s’assurer que les bases sont bien couvertes et revenir à une vision plus élémentaire de la SSI (lire : moins accès essentiellement sur la conformité règlementaire). En 2012 l’on a notamment pu voir de grands groupes commencer à se lancer dans des projets de rationalisation de leurs solutions SSI, et la tendance pourrait accélérer en 2013.

Ces cinq tendances n’ont bien entendu rien d’exhaustif (oui, l’on sait pour le Cloud et le BYOD…).
Et vous, quelles sont donc vos prédictions ? Quelles tendances pensez-vous voir émerger plus fortement en 2013 que l’année précédente ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

15 réponses à 2013 en cinq prédictions sécurité

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.