2018 a été une année riche en événements pour la cybersécurité. Il ne s'est pratiquement pas passé un jour sans que l'on entende parler de violations de données très médiatisées, de cyberattaques, de campagnes de phishing sophistiquées, et même des villes ont été rançonnées par des pirates informatiques.
Le paysage des menaces a clairement évolué, et de nouvelles menaces apparaissent en permanence, qui mettent en péril la sécurité des organisations du monde entier.
Si l'on se fie à 2018, 2019 s'annonce comme une véritable montagne russe. Il ne fait aucun doute que la cybercriminalité continuera à faire les gros titres, et comme les cybercriminels deviennent plus sophistiqués et sournois dans leurs méthodes d'attaque, les organisations devront s'assurer qu'elles disposent de systèmes robustes pour se défendre contre ces menaces en constante évolution.
Alors, qu'est-ce qui nous attend en 2019 ? Eh bien, nous avons à peine deux mois d'existence et nous avons déjà connu l'une des plus grandes violations de données jamais commises dans le monde. Baptisée "collection 1", cette violation a exposé plus de 770 millions d'adresses électroniques uniques et 21 millions de mots de passe. Il est évident que les violations de données augmentent en fréquence et en gravité et que cette tendance n'est pas prête de disparaître.
Il existe également un certain nombre d'autres tendances qui devraient avoir un impact au cours de l'année à venir.
Principales tendances en matière de cybersécurité
1. La cybersécurité domine l'ordre du jour des conseils d'administration
2018 a été l'année qui a propulsé la cybersécurité au sommet de l'agenda des salles de conseil. Les priorités ont changé, et l'augmentation des cyberattaques d'entreprise, ainsi que la mise en œuvre du GDPR, ont suscité un plus grand sentiment d'urgence dans la façon dont les organisations gèrent le cyberrisque.
Selon l'International Board Research Report, la cybersécurité est désormais la principale préoccupation de 72 % des membres de conseils d'administration, alors qu'il y a seulement trois ans, elle occupait la cinquième place dans l'enquête.
Les entreprises ont pris conscience qu'une cyberattaque peut avoir des conséquences très graves pour leur activité. Qu'il s'agisse d'une perte de clients, d'une chute du cours de l'action, de pénalités financières ou d'une atteinte à la réputation, les conséquences de la complaisance sont trop importantes pour être ignorées.
Les cadres supérieurs sont également devenus une cible de choix pour les pirates informatiques malveillants en raison de leur accès de haut niveau à des données d'entreprise précieuses. Au cours de l'année dernière, on a constaté une augmentation de 58 % des attaques par compromission d'e-mails d'entreprise (BEC), et les attaques par spear phishing ont été utilisées dans 91 % de toutes les cyberattaques dans le monde.
Avec l'émergence constante de nouvelles menaces, les cadres de niveau C devront adopter une approche plus proactive de la cybersécurité s'ils veulent réduire leurs risques d'être attaqués.
2. Augmentation des attaques contre la chaîne d'approvisionnement
Les attaques de la chaîne d'approvisionnement constituent l'une des plus grandes menaces auxquelles les organisations sont confrontées en 2019. Les cybercriminels ont modifié leurs stratégies et plutôt que de cibler directement une entreprise, ils tentent d'infliger des dommages en exploitant les vulnérabilités de son réseau de chaîne d'approvisionnement.
La transformation numérique a conduit à l'émergence de nouveaux modèles de services, et le réseau d'approvisionnement d'une entreprise peut être constitué de nombreux tiers différents, notamment des fabricants, des fournisseurs, des manutentionnaires et des distributeurs, qui travaillent tous ensemble pour mettre un produit sur le marché.
En règle générale, ces fournisseurs ne disposent pas des mêmes défenses robustes en matière de cybersécurité et constituent des points faibles intéressants à exploiter. Les attaques de la chaîne d'approvisionnement ont le potentiel d'infiltrer un réseau entier par le biais d'une seule compromission et peuvent être plus difficiles à détecter que les attaques traditionnelles de logiciels malveillants.
Les fournisseurs de logiciels sont devenus une cible de plus en plus attrayante pour ces types d'attaques. Les attaquants tentent d'implanter un code malveillant dans le logiciel au stade de la fabrication, puis attendent que le fournisseur distribue involontairement le malware à ses utilisateurs finaux.
Cette méthode a été utilisée lors de l'attaque de 2017 contre l'outil de nettoyage d'ordinateur CCleaner. Les pirates ont réussi à s'infiltrer dans la chaîne d'approvisionnement et à injecter un code malveillant dans le logiciel. Le logiciel malveillant a été téléchargé par 2,2 millions d'utilisateurs et d'autres attaques ont été lancées contre des entreprises de technologie et de télécommunications situées au Royaume-Uni, en Allemagne, à Taïwan, au Japon et aux États-Unis.
3. Le GDPR façonne la protection des données au niveau mondial
Le très médiatisé GDPR est entré en vigueur le 25 mai 2018, et pose de nouvelles bases sur la manière dont les organisations traitent et manipulent les données à l'avenir. La législation a modernisé les règles de protection des données et donne désormais aux individus un plus grand contrôle sur qui collecte et traite leurs données, à quoi elles servent et comment elles sont protégées.
La mise en œuvre du GDPR et l'augmentation spectaculaire du nombre de violations de données ont incité de nombreux autres pays du monde à examiner de plus près leurs propres lois sur la sécurité des données et la protection de la vie privée.
L'Argentine et le Japon ont déjà commencé à aligner leur législation nationale en matière de protection des données sur le GDPR, et le Brésil a mis en œuvre une législation similaire appelée loi générale sur la protection des données.
Aux États-Unis, les États de Californie, de New York et du Colorado ont adopté des lois locales sur la confidentialité des données, et d'autres États sont susceptibles de leur emboîter le pas en raison de la pression croissante en faveur d'une protection plus stricte des données et d'une approche plus standardisée dans tout le pays.
Le GDPR a agi comme un catalyseur de changement, et les pays du monde entier cherchent désormais activement à aligner leurs règles de protection des données plus étroitement sur la législation européenne.
4. Attaques sophistiquées de l'IdO
Au cours de l'année dernière, le marché mondial de l'Internet des objets (IoT) a connu une importante poussée de croissance qui ne montre aucun signe de ralentissement. Plus de 8,4 milliards d' appareils sont actuellement utilisés et ce chiffre devrait passer à 25 milliards d'ici 2020.
Les dispositifs IoT peuvent inclure n'importe quoi, des haut-parleurs intelligents aux opérations de fabrication à grande échelle, et de nombreuses industries mondiales adoptent maintenant la technologie IoT comme moyen d'améliorer l'efficacité et d'augmenter les profits.
Cependant, les risques de sécurité associés à l'utilisation des dispositifs IoT se sont accrus. Le problème des dispositifs IoT est qu'ils sont très peu sécurisés et que beaucoup d'entre eux ne peuvent pas être mis à jour, ce qui offre aux cybercriminels des points d'accès faciles à exploiter.
Les pirates tenteront de compromettre les appareils IoT avec une authentification faible, un firmware non patché ou d'autres vulnérabilités logicielles. Si ces tactiques ne fonctionnent pas, ils appliqueront une attaque par force brute en utilisant des noms d'utilisateur et des mots de passe par défaut.
C'est exactement ce qui s'est passé en 2016 lorsque le tristement célèbre botnet Mirai a lancé une attaque par déni de service distribué (DDoS) à grande échelle qui a mis hors service des dizaines de services web parmi les plus importants au monde. Cette méthode d'attaque va continuer à prendre de l'importance, les pirates cherchant à militariser nos appareils du quotidien.
D'ici 2020, on estime que 25 % de toutes les cyberattaques cibleront les dispositifs IoT, et comme de plus en plus d'industries adoptent les technologies IoT, nous pouvons nous attendre à une augmentation continue de ces attaques, à moins que les fabricants ne donnent la priorité aux fonctions de sécurité de ces dispositifs.
Lire la suite
5 exemples de failles de sécurité 2018
7 cyber-habitudes pour les organisations de taille moyenne
Résolutions de la nouvelle année en matière de cybersécurité
MetaCompliance est spécialisée dans la création de la meilleure formation de sensibilisation à la cybersécurité disponible sur le marché. Nos produits répondent directement aux défis spécifiques qui découlent des cybermenaces et de la gouvernance d'entreprise en facilitant l'engagement des utilisateurs en matière de cybersécurité et de conformité. N'hésitez pas à nous contacter pour savoir comment nous pouvons vous aider à transformer la formation à la cybersécurité au sein de votre organisation.
