RSSI, entre nouveau monde et menaces persistantes, quelles sont les priorités pour 2021 ?
Depuis la dernière édition du radar, le monde a été rudement touché par une crise sanitaire sans précédent, entraînant une transformation numérique à marche forcée dans un contexte où les cybercriminels se sont montrés toujours plus actifs et menaçants. Dans ce contexte mêlé de crise sanitaire et économique, comment se projeter sur 2021 ? Quelles orientations prendre pour la cybersécurité des grandes organisations ?
Un axe fondamental ne changera pas, c’est celui de la menace, par lequel toute démarche de réflexion stratégique doit commencer. De notre point de vue, sans surprise, le Ransomware restera la menace majeure à laquelle feront face les entreprises. Depuis la fin de l’année 2019 et les nombreux faits d’arme de Maze, Sodinokibi ou plus récemment Egregor, ces attaques destructrices sont combinées à des exfiltrations massives de données, ajoutant une nouvelle dimension au chantage opéré par les criminels. Tout le monde est touché : collectivités, PME et grands groupes internationaux, que ce soit en France ou ailleurs.
De plus, comme nous l’évoquions dernièrement auprès du journal Le Monde, les opérations des cybercriminels se sont fortement professionnalisées et leur assurent un retour sur investissement élevé. Ces financements leur permettront demain d’augmenter la profondeur et la technicité de leurs attaques et ils n’hésiteront plus demain à cibler les activités cœur des métiers des entreprises (réseau industriel, systèmes de paiements…). En 2021, le bras de fer pour le paiement des rançons devrait encore s’accentuer avec un réel penchant des groupes criminels à rendre leurs attaques largement visibles. Des prémices ont été observées cette année avec l’aide d’astucieux procédés : annonce d’une attaque via des publicités sur Facebook, négociation directe avec les patients de la cible, jusqu’à l’impression de la demande de rançon via les caisses enregistreuses en magasin… Il s’agira d’anticiper au maximum ces situations, que ce soit en les jouant durant des exercices de crise ou en préparant des réponses adaptées et réfléchies en amont.
Outre l’hydre du rançongiciel, nos équipes sur le terrain envisagent pour 2021 une croissance forte de deux autres menaces. D’une part, les attaques indirectes, utilisant les services de tiers : les cybercriminels n’hésitent pas à contourner les mécanismes de sécurité des grands donneurs d’ordre en compromettant des partenaires moins protégés, ou en visant des fournisseurs de services informatiques. D’autre part, les attaques visant les systèmes Cloud devraient s’accélérer avec de nouvelles natures de compromission. L’exploitation des vulnérabilités liées à la gestion des identités et des accès (IAM), en particulier sur les API des fournisseurs, pour compromettre des périmètres chaque jour plus critiques pour les entreprises sera au cœur des incidents de 2021. Ce sujet représente aujourd’hui un réel challenge pour les équipes IT, encore trop peu familières aux spécificités très fortement évolutives de ces plateformes.
Face à ces différentes menaces, le RSSI devra faire preuve d’agilité et de solidité, notamment dans sa maîtrise des fondamentaux sécurité (en particulier sur l’Active Directory, application des correctifs et l’authentification multi facteurs) et dans la démonstration concrète de ses capacités de cyber-résilience (avec des engagements de plus en plus exigés sur des délais de reconstruction et sur la capacité de résilience métiers sans IT).
En parallèle, certains sujets seront au cœur des évolutions de la DSI et le RSSI pourra les transformer en opportunité pour la cybersécurité de son organisation. Nous pensons en particulier aux projets “Digital Workplace” mais aux travaux d’optimisation des moyens à disposition, qui seront forcément lancé dans ce contexte de réduction budgétaire. Les investissements des années précédentes en cybersécurité recèlent souvent de nouvelles fonctionnalités peu connues ou utilisés, en particulier dans le cloud, et en faire l’inventaire peut être un moyen de faire progresser la cybersécurité à coût réduit.
Sur l’angle réglementaire, 2021 verra de nouveau s’accentuer les sujets liés aux frontières numériques (“Cyber borders”), voire au protectionnisme cyber. Il va ainsi nécessiter de prendre en compte de fortes exigences d’isolation et de protection des données mais aussi l’interconnexion à des systèmes nouveaux, voir inconnus (Alibaba en Chine, Yandex en Russie…) des réseaux des organisations.
Parmi les évolutions futures à garder à l’esprit, nous identifions trois tendances : le Zero-trust, le Confidential Computing, et l’Informatique Quantique dont vous trouverez les détails ci-dessous et sur lesquelles des actions de veille devraient a minima être prévues.
La menace se complexifie, les moyens se restreignent… Le RSSI devra montrer son agilité en 2021 et composer avec de nombreux sujets tout en maintenant un cap stratégique clair : protéger son organisation contre les cybercriminels et accompagner, voire développer de nouveaux usages numériques !
Méthodologie
Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.
Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 100 sujets explorés et décortiqués par nos experts.
Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, d’actualité et émergente. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.
Sur quels piliers s’appuyer en 2021 ?
Correctifs non appliqués, Active Directory vulnérable, vecteurs de propagation fragiles… Plus d’une fois en 2020, les cybercriminels nous ont démontré l’importance de maîtriser les sujets fondamentaux de la sécurité numérique. Assez logiquement, nous estimons que ces fondamentaux resteront un enjeu clef en 2021, à l’heure où les cybers attaquants restent opportunistes (58% d’après une étude Wavestone) et où nous continuons au quotidien de voir apparaître de nouveaux correctifs sur des vulnérabilités critiques.
L’heure est aujourd’hui à la prise de responsabilité des équipes cybersécurité, qui ne doivent plus rester en retrait sur leurs sujets clefs comme la gestion et le maintien en condition de sécurité du cœur de confiance et autres systèmes clefs. Le RSSI devra faire preuve de solidité et de réactivité en déverrouillant ces sujets avec les équipes de production. A noter qu’une startup telle qu’Hackuity peut apporter un renouveau et aider à déverrouiller le processus complexe de gestion des vulnérabilités.
Depuis plusieurs années, la cyber-résilience est sur toutes les lèvres et c’est à raison ! Comme nous le voyons, les cybercriminels sont toujours plus actifs et menaçants, la question n’est plus « Va-t-on nous attaquer ? » mais « Quand serons-nous attaqués ? ». Dans ce cadre, il est nécessaire d’avoir une stratégie adéquate et de se préparer à encaisser le choc, en limitant ses impacts, pour redémarrer en sécurité et le plus rapidement possible. L’implication des métiers restera, en 2021, un sujet qui continuera d’occuper les équipe sécurité pour gagner en efficacité.
Néanmoins, nous observons une nouvelle tendance pour la cyber-résilience : de plus en plus, il est demandé aux RSSI d’apporter les preuves concrètes de la capacité de l’organisation à résister et à se relever à la suite d’une cyberattaque. Pourcentage de capacité de production en cas de perte de l’informatique et résilience des activités métier, délai précis de reconstruction du cœur de confiance, restauration en temps contraint des données… Les régulateurs ou les dirigeants de l’organisation demandent des garanties afin d’être rassurés. Dans ce cadre, il ne faut pas hésiter à pousser les systèmes dans leurs retranchements, par exemple en conduisant des essais de reconstruction réalistes et partagé avec les équipes opérationnelles.
Quels chantiers en 2021 seront des opportunités pour la cybersécurité ?
C’est une évidence, la crise sanitaire a permis à de nombreuses organisations de faire un grand bond vers les espaces de travail numériques de dernière génération. Cette situation est une réelle opportunité pour le RSSI, qui peut en profiter pour s’insérer dans les nombreux nouveaux projets innovants, et aider son organisation à adopter en profondeur une approche Cloud.
Plus que jamais, c’est l’occasion pour les équipes cybersécurité de franchir un nouveau cap et enfin réussir de nombreux défis : simplification des accès distants, de l’authentification en se débarrassant enfin des mots de passe (Passwordless), renforcement de la détection des fuites de données, extension du SOC et des capacités de détection sur les périmètres Cloud…
A l’heure où les dépenses sont plus scrutées que jamais, le RSSI devra continuer à rationaliser l’usage de son budget, tout en démontrant l’efficacité des actions menées. Pour gagner en efficacité, il doit également s’assurer de suivre une stratégie cohérente face à la menace d’aujourd’hui, lui permettant de commencer ou continuer à mobiliser à haut niveau.
Dans ce cadre, une des premières actions à envisager est de tirer parti des investissements des années précédentes : les équipes en place, les solutions techniques ou services Cloud qui connaissent des évolutions très rapides et dont l’ajout de fonctionnalités qui peuvent être activées facilement sans coûts supplémentaires. Une vraie mine d’or pour mieux se sécuriser l’année prochaine ! Pour certains périmètres, l’outsourcing peut être envisagées, toujours dans un objectif de rationaliser les coûts.
Dans certains secteurs d’activité, la cybersécurité peut devenir ou est déjà un différenciateur sur le marché. Le RSSI peut alors faire évoluer son rôle, et en profiter pour se rapprocher des métiers et débloquer des projets transverses jusqu’à alors inaccessibles.
Alors qu’Internet est souvent perçu comme un espace sans frontière, on observe de plus en plus une tendance des régulateurs et de certains pays à vouloir isoler les données sur leur territoire et empêcher qu’elles soient hébergées au-delà de leurs frontières. Cette tendance s’affirme, que ce soit en Europe, où nous avons observé l’arrivée du RGPD en 2018 et l’invalidation récente du Privacy Shield américain, mais également en Chine ou en Russie, où se multiplient de nouvelles réglementations, que l’on pourrait rassembler avec l’anglicisme cyber protectionism.
Ainsi, de nombreux régulateurs et autorités imposent de ne stocker à l’étranger que des données chiffrées, dont la clef est jalousement gardée secrète (HYOK), une situation qui impose de repenser les flux de données, les systèmes qui vont les héberger et surtout de devoir s’adapter aux solutions locales (i.e. AliCloud en Chine). Un réel défi pour le RSSI, par exemple dans le cas de raccords des réseaux d’organisations internationales entre des systèmes français, américains, chinois… L’intégration de ces systèmes dans son approche de cybersécurité est un vrai défi face à leur fragmentation et aux difficultés d’évaluation concrète des risques et de la qualité des systèmes devant être utilisés.
Quels sujets émergeants anticiper en 2021 et au-delà ?
Promu par Forrester à la fin des années 2000, le modèle de sécurité Zero Trust a le vent en poupe ces dernières années. Pour rappel, ce système est à l’opposé de l’approche château-fort traditionnelle, qui visait à défendre le périmètre à l’aide de grands remparts (i.e. des pare-feu), mais est peu à peu devenue impuissante face aux nouvelles menaces.
En effet, la transformation numérique a eu des impacts en profondeur sur l’architecture des systèmes et les interconnexions avec des tiers. Dès lors, il n’est plus suffisant de se protéger uniquement de l’extérieur, la menace pouvant plus facilement utiliser l’écosystème de sa cible pour s’introduire dans ses systèmes et la compromettre. Gestion des accès, des identités, des comptes à privilèges sont des sujets particulièrement centraux dans le Zero Trust et qui répondent à de nombreuses problématiques d’aujourd’hui. En 2021, les entreprises continueront leur mouvement vers le cloud. C’est donc une vraie opportunité pour orienter progressivement les architectures et les systèmes sur le principe du Zero-Trust, ou, pour les retardataires, de commencer à défricher le sujet.
Un des défis majeurs du Cloud reste la confiance avec ses différents partenaires, notamment pour les données les plus sensibles des organisations ou institutions. Pour répondre à cette problématique, des concepts comme le Confidential Computing et le data privacy by-design ont peu à peu émergé ces dernières années, ainsi que des solutions plus concrètes.
Parmi ces solutions, le chiffrement homomorphe permet à des algorithmes de chiffrer des données tout en laissant la possibilité d’effectuer des traitements sur celles-ci, réduisant donc fortement les risques de divulgation et fuite de données. IBM a un coup d’avance sur ce sujet et a partagé dès l’été 2020 une bibliothèque open source, HElib. Les jeunes pousses françaises Cosmian et Zama sont également actives sur cette thématique.
Enfin, une réponse originale à ces enjeux peut également être apportée par les données synthétiques. A l’aide d’algorithmes renforcés par de l’intelligence artificielle, les générateurs de données synthétiques comme celui proposé par la startup britannique Hazy permettent de créer des jeux de données gardant les caractéristiques et la logique de données réelles mais n’en étant pourtant aucunement. Un autre moyen pour éviter tout risque de fuite de données sur le Cloud !
8 heures : c’est le temps qu’il faudra à un ordinateur quantique suffisamment puissant et fiable pour mettre à mal la sécurité de nos communications. Une course technologique internationale a déjà démarré et les entreprises et institutions doivent se préparer dès aujourd’hui, car les investissements seront lourds pour permettre les migrations techniques nécessaires. Quelles données doivent être protégées en priorité ? Quelles clauses inclure dans mes contrats dès aujourd’hui ? Quels acteurs peuvent accompagner dans ces migrations ?
De nombreuses questions se posent et doivent être répondues dès que possible. Une chose est certaine : le RSSI aura un rôle majeur dans cette révolution, s’il est un des premiers à sonner l’alarme et à anticiper les nombreux travaux qui seront nécessaires.
En France, des acteurs ont déjà pris en main comme la spin-off d’INRIA et Sorbonne CryptoNext-Security, déjà lauréate de plusieurs concours d’innovation et proposant une solution de cryptographie Quantum-safe, déjà testée par l’armée française pour une application de messagerie instantanée sur mobile.