Ce que nous avons appris de 2021 : cinq points à retenir sur la cybersécurité

Les équipes spécialisées dans la cybersécurité ne pensent qu'à une chose : le passé. Ce n'est qu'en prenant connaissance des moindres détails d'un incident, du début à la fin, que les entreprises pourront élaborer des stratégies efficaces pour éviter qu'un tel événement ne se reproduise. Parfois, cela les oblige à remonter plusieurs mois en arrière, au moment où les pirates ont lancé leurs attaques. De même, l'évaluation des tendances générales en matière de cybersécurité au cours des 12 derniers mois peut aider les responsables de la sécurité et de l'informatique à élaborer une meilleure stratégie pour l'année à venir.

C'est d'autant plus important en cette période marquée par une évolution fulgurante et sans précédent de ces menaces qui font suite aux événements de 2020, uniques en leur genre. En résumé, il n'y a pas de temps à perdre. Voici donc cinq des principales tendances que nous avons observées au cours de l'année 2021 et qui devraient perdurer l'année prochaine.

• Les attaques contre les chaînes d'approvisionnement

Accellion, Kaseya, SolarWinds : les 12 derniers mois ont été marqués par une recrudescence des attaques contre les chaînes d'approvisionnement numériques, conçues pour causer un maximum de dégâts en déployant un minimum d'efforts. Les pirates sont devenus de plus en plus habiles pour repérer les failles des entreprises tierces et en tirer profit. Accellion et Kaseya ont été victimes de groupes de ransomware qui rivalisent désormais avec de petits États-nations en termes de performances et de revenus. SolarWinds aurait été attaquée par la Russie. Quelle que soit la source, les entreprises doivent trouver des moyens de mieux sécuriser ces chaînes d'approvisionnement, de gérer les risques et de mettre en place des contrôles supplémentaires si nécessaire.

Selon un rapport publié en octobre, 93 % des entreprises mondiales ont été victimes d'une violation directe de la chaîne d'approvisionnement au cours de l'année précédente, le nombre moyen de violations affichant une hausse de 37 %. Il est temps d’agir.

• Des ransomwares omniprésents ?

À quel point l'année 2021 a-t-elle été marquée par les ransomwares ? La réponse est simple : cela dépend sur les chiffres de quel vendeur vous vous basez. Certains ont affiché une hausse à trois chiffres d'une année sur l'autre. D'autres ont fait état d'une diminution des volumes globaux mais ont alerté sur le fait que les attaques devenaient de plus en plus ciblées. On ne parle pas assez du fait que la plupart des attaques ne ciblent pas les grands oléoducs, les chaînes d'approvisionnement alimentaire et les entreprises informatiques qui font la une des journaux, mais les PME lambda. Les coûts associés aux interruptions de service peuvent paralyser ces petites entreprises, sans parler des demandes de rançon.

Pourtant, selon Gartner, plus de 90 % des attaques pourraient être évitées. La formation du personnel et la mise à disposition de processus et de technologies permettant de se conformer aux meilleures pratiques du secteur devraient être une priorité pour toutes les entreprises en 2021. Les assureurs réduisant désormais les niveaux de couverture et imposant certaines de ces meilleures pratiques, il y a lieu d'espérer que la situation s'améliorera sensiblement l'année prochaine.

• Du télétravail au travail hybride

Cette année 2020, nous nous en souviendrons longtemps. La généralisation du télétravail et les investissements numériques ont entraîné une explosion du nombre de terminaux non gérés, d'infrastructures cloud mal sécurisées et mal configurées, et de salariés distraits, que les pirates ont su exploiter sans ménagement. Alors, quelles sont les nouveautés de 2021 ? D'un côté, c'est du pareil au même. La transformation numérique continue sur sa lancée, tandis que le télétravail évolue vers le travail hybride. La bonne nouvelle est que les entreprises ont eu le temps de préparer leur riposte en matière de sécurité. La mauvaise nouvelle : le travail hybride offrira encore plus d'opportunités aux pirates.

La réduction de la surface d'attaque sera donc un objectif clé à moyen terme, que ce soit en proposant une meilleure formation à la sécurité ou en acquérant des technologies de gestion de la stratégie de sécurité sur le cloud et des firewalls pour les applications web. Les techniques d'attaque n'ont pas beaucoup évolué au cours des 12 derniers mois. Les responsables de la sécurité informatique ne peuvent donc pas dire qu'ils n'étaient pas avertis.

• Le manque de compétences se fait de moins en moins sentir, mais il faut redoubler d'efforts

La bonne nouvelle de 2021 c'est que le manque récurrent de compétences en matière de cybersécurité semble être en baisse. Le chiffre global a chuté à 2,7 millions de professionnels, soit une diminution pour la deuxième année consécutive. Cela s'explique en grande partie par le fait que 700 000 personnes aient été recrutées dans le secteur au cours de l'année et par une baisse de la demande dans la région APAC, où la reprise économique a été particulièrement tardive. Si cette baisse se poursuit et que les efforts déployés par les pouvoirs publics pour que l'insertion des jeunes talents dans le monde du travail soit assurée, cela pourrait aider les entreprises à lutter contre la pénurie de personnel dans le secteur de la cybercriminalité.

Cependant, la situation reste préoccupante à long terme. Les effectifs mondiaux accusent toujours un manque de 65 % par rapport aux besoins, et la demande en Amérique du Nord et en Europe reste plus forte que jamais, notamment dans des domaines tels que la sécurité du cloud. En outre, des inquiétudes subsistent quant aux discriminations qui persistent et aux perspectives de carrière pour les femmes et les minorités, du moins au Royaume-Uni.

• Les États-nations enhardis inspirent les organisations criminelles

Les États-nations semblent avoir investi plus que jamais dans leurs campagnes cette année. Les attaques contre SolarWinds ont ouvert les hostilités en 2021. Plus d'un millier d'agents gouvernementaux auraient travaillé sur cette campagne, qui a permis de compromettre les activités de neuf ministères américains. Ce n'est pas seulement le duo habituel formé par la Chine et la Russie qui a posé problème en 2021, mais aussi la Corée du Nord, l'Iran et de nombreux petits États accusés d'utiliser des spywares prêts à l'emploi pour cibler des journalistes, des militants et des hommes politiques.

Ce qui est peut-être le plus inquiétant, c'est que les efforts déployés par les États motivent de plus en plus la cybercriminalité à motivation financière. Les attaques Hafnium du mois de mars, qui exploitaient quatre bogues de type « zero-day » dans Microsoft Exchange Server, ont rapidement été exploitées par plus de 10 groupes APT. Et l'attaque par ransomware de la chaîne d'approvisionnement de Kaseya a semblé utiliser des tactiques similaires à celles de SolarWinds. Les frontières entre l'espionnage des États et le crime organisé deviennent de plus en plus floues. Selon un rapport, la moitié (50 %) des attaques menées par des États-nations reposent désormais sur des outils de qualité moindre vendus par les réseaux clandestins de cybercriminalité. Et plus de la moitié (58 %) des experts estiment qu'il est de plus en plus fréquent que les gouvernements recrutent des cybercriminels pour leurs propres campagnes.

Personne ne sait où tout cela nous mènera. Mais quoi qu'il arrive, 2022 promet d'être une autre année charnière pour les responsables de la cybersécurité des entreprises.