8. Une année chargée pour les banques

2012 sera pour les banques l’année des obligations réglementaires, et donc pour leurs RSSI celle de toutes les contraintes.

En Europe, l’échéance de Bâle III approche : tous les centres financiers du G-20 doivent avoir adopté Bâle III au 31 décembre 2011, et la période d’observation s’ouvre dès le 1er janvier 2012, pour une implémentation espérée en fin d’année.

Aux Etats-Unis, le Federal Financial Institutions Examination Council (FFIEC) commencera dès janvier 2012 à auditer les établissements financiers afin d’évaluer leur conformité aux règles d’authentification et de contrôle des opérations de banque en ligne. La FFIEC exige notamment que les établissements soient en mesure de détecter les opérations anormales sur les comptes clients et qu’elles mettent en place des contrôles adaptés aux opérations de banque en ligne des professionnels (gestion des droits multiples, délégation des accès, etc…).

Dans les deux cas, il s’agit pour les banques de projets SSI complexes qui devraient déjà être en place. Mais l’année promet d’être longue pour les équipes en charge d’exploiter, de configurer et de se familiariser avec ces nouveaux outils.

9. Tempête sur les infrastructures de certification

Les attaques contre plusieurs opérateurs de certification, et la génération de vrais-faux certificats qui s’en est suivie, ont mis en évidence en 2011 la fragilité du modèle de confiance sur Internet actuel, basé sur la génération de certificat SSL.

L’année 2012 ne verra bien entendu pas émerger un nouveau modèle de confiance pour Internet, mais il est probable que ce domaine soit à surveiller durant les années à venir.

10. Quid du Cloud ?

Il paraît un peu tôt pour imaginer une attaque massive contre des infrastructures de Cloud Computing en 2012. Cependant l’adoption par les entreprises de l’informatique dans le nuage est une réalité et des applications critiques s’y trouvent déjà.

Dans un tel contexte il est possible d’imaginer des approches malveillantes simples (DDoS ou attaques contre l’authentification en ligne) contre des applications d’entreprise en mode SaaS ou des fournisseurs de plate-forme (Amazon EC2 ou Microsoft Azure, par exemple).

Heureusement, il s’agit ici d’un domaine où le niveau de maturité des attaquants est encore relativement faible, tandis que celui de l’industrie – notamment via les travaux du Cloud Security Alliance – progresse rapidement. La seule bonne nouvelle de ces prédictions ?

Et vous, que voyez-vous en 2012 dans votre boule de cristal ?