La sécurité à l'épreuve du temps en 2018 : Prédictions pour votre organisation et votre (ancienne) identité

Dans le cadre de mes fonctions, je passe beaucoup de temps à étudier les tendances technologiques et à y réfléchir, en m'intéressant tout particulièrement à la manière dont la sécurité atteint ses limites et s'en affranchit. C'est ce qui me motive lorsque nous construisons des produits pour répondre aux besoins du marché. Si Illumio existe, c'est parce que j'ai constaté que les pare-feu atteignaient leurs limites et qu'il fallait les repenser à l'ère de l'informatique dématérialisée.

Comme il est de tradition à cette période de l'année, j'ai pris le temps de réfléchir à ce qui a changé en 2017 et à ce que cela signifie pour l'année à venir. Certaines prédictions sont fondées sur la réalité de ce qui s'est passé et sur ce que nous avons appris, tandis que d'autres sont plus spéculatives et constituent des suppositions éclairées fondées sur les données dont nous disposons.

J'espère que ces prévisions vous feront réfléchir et vous inciteront à être des agents du changement dans votre organisation et dans l'ensemble du secteur, en nous aidant, en tant que fournisseurs, à définir et à façonner des solutions.

1. DevSecOps passera d'un modèle démocratique à une république.

Le passage du contrôle du ministère de la sécurité (alias le département de "no") au modèle où le développeur peut faire tout et n'importe quoi a été une surcorrection. Elle a également introduit un risque inacceptable pour l'entreprise.

S'il est important que le développement, la sécurité et les opérations travaillent ensemble, nous nous rendrons compte l'année prochaine qu'il ne s'agit pas d'un mouvement de démocratisation, mais plutôt d'un modèle de république.

Les développeurs doivent apporter leurs processus de développement agile et leurs exigences, et les équipes de sécurité doivent apporter leur expertise en matière de sécurité. Bien que ces équipes doivent collaborer selon de nouvelles modalités, ce sont les équipes de sécurité qui, en fin de compte, sont chargées de faire ce qu'il faut. Car, comme nous le savons tous, il n'y a pas vraiment de personne qui représente toutes les composantes de DevSecOps de manière égale. Il s'agit de travailler au sein d'équipes ayant un langage et un objectif communs, où l'expertise de tous les membres est nécessaire et où chaque contingent est apprécié pour ses opinions diverses et expertes.

2. Nos IPI exposées nous reviendront en pleine figure.

Les informations personnelles identifiables (IPI) ne sont plus valables depuis qu'une grande partie d'entre elles a été exposée lors de violations au cours des dernières années. Chacun doit reconnaître qu'il a été victime d'une infraction et qu'il est vulnérable, et que les attaquants disposent d'un plus grand nombre d'informations personnelles que jamais. Par conséquent, nous commencerons à voir apparaître de nouveaux types d'attaques qui exploiteront la quantité importante d'informations personnelles accessibles au public. Compte tenu de l'énorme quantité de données PII collectées, elles pourraient être utilisées pour lancer des attaques massives contre des entités importantes (par exemple, les gouvernements, les institutions financières, les systèmes de santé, etc.)

La richesse des données dont disposent les attaquants sur les utilisateurs individuels pourrait permettre de créer des attaques d'hameçonnage ou d'ingénierie sociale particulièrement sophistiquées, indétectables et impossibles à distinguer de la réalité - la prise de contrôle d'une vie sera possible.

3. Le marché se rendra compte que la sécurité doit être globale et que cela nécessite un changement culturel.

Les organisations commencent tout juste à accepter le fait que la sécurité commence au sommet et que la responsabilité s'étend à l'ensemble de l'organisation. Les violations ne sont pas le fait d'une ou de quelques personnes, ni même d'un ensemble spécifique de politiques, et vous ne pouvez pas désigner un bouc émissaire ou un changement unique d'événements comme étant la cause première. De nos jours, chaque membre de l'organisation joue un rôle dans la sécurité. Il n'y a pas de mauvaise pomme, c'est un mauvais tonneau.

Les organisations doivent prendre conscience que la sécurité doit être un élément de la culture d'entreprise et, pour en faire une priorité, cela doit venir d'en haut.

4. Les fournisseurs de sécurité de l'IA devront passer de la technologie aux résultats.

Les fournisseurs qui vantent les mérites de l'IA finiront par comprendre que les clients veulent des résultats et pas seulement un marketing tape-à-l'œil. Les entreprises qui vendent des produits alimentés par l'IA devront trouver un moyen de commencer à montrer des résultats de manière quantifiable et ne pas se contenter de présenter leur solution.

Ceux qui y parviendront seront les leaders du secteur.

5. La volonté de quantifier les risques va s'accentuer.

Nous commençons à observer le passage d'une mesure qualitative des risques à une mesure quantitative.

Les équipes informatiques font l'objet d'une surveillance accrue et doivent donc démontrer le rendement ou l'efficacité de leurs activités pour répondre aux questions concernant la manière dont les fonds consacrés à la sécurité sont dépensés et leur impact sur la sécurité globale de l'organisation.

Cela est d'autant plus vrai que nous passons d'un modèle réactif à un modèle proactif en matière de sécurité.

6. Une partie de la sécurité "best practices" apparaîtra dans le dead pool.

Les nouveaux modèles de déploiement tels que le cloud et les conteneurs amèneront les entreprises à abandonner la gestion des correctifs en tant que contrôle de sécurité - il est beaucoup plus facile de remplacer les VM ou les conteneurs mis à jour que d'appliquer les correctifs en place.

Ces mêmes modèles de déploiement dynamique et distribué font que les pare-feu de type "chokepoint", ou ceux qui s'appuient sur le pilotage du trafic, perdent la faveur descontrôles de micro-segmentation croissants qui fournissent une application de la sécurité aussi dynamique que les environnements qu'ils prennent en charge.

J'aimerais que vous me racontiez comment votre expérience correspond à mes prédictions. N'hésitez pas à nous faire part de vos réflexions ou de vos questions en répondant à @illumio.