3 prévisions en matière de cybersécurité pour 2020

Alors que la décennie touche à sa fin, j'ai réfléchi à 2019, une année marquée par des violations publiques massives qui ont illustré la sophistication des pirates informatiques comme nous ne l'avions jamais vue auparavant. Collection #1 a exposé plus de 770 millions d'adresses électroniques uniques et plus de 21 millions de mots de passe, Capital One a touché près de 106 millions de résidents américains et canadiens, et 540 millions d'enregistrements d'utilisateurs de Facebook ont été exposés sur AWS. Et ce n'est que la partie émergée de l'iceberg. 

Alors, à quoi peut-on s'attendre en 2020 ? Je pense que les méthodes d'attaque continueront à devenir plus nuancées et plus créatives, ce qui conduira à des expositions plus préjudiciables. Voici trois prédictions spécifiques à l'aube de la nouvelle année qui, je l'espère, vous inciteront à penser à la sécurité de manière proactive.

1. Nous commencerons à entendre parler de la convergence entre les infiltrations physiques et les cyberattaques, ce qui remettra en question la sécurité dans tous les domaines.

Les cyberattaques contre une entreprise ou un gouvernement peuvent être menées à distance mais, en 2019, nous avons commencé à entendre parler davantage de l'élément physique ajouté au mélange. Il suffit de penser à la femme qui avait une clé USB chargée de logiciels malveillants et qui s'est introduite à Mar-a-Lago. Bien qu'elle n'ait pas réussi à s'introduire dans le réseau, son histoire était suffisamment convaincante pour lui permettre de franchir les contrôles physiques effectués par les services secrets.

Et il n'est pas nécessaire de disposer de logiciels sophistiqués ou d'opérations de renseignement pour exécuter ces attaques - il suffit d'un scénario bien planifié et mis en scène. Par exemple, quelqu'un pourrait se faire passer pour un électricien afin d'accéder physiquement à un hôpital en cours de construction, se promenant sans entrave jusqu'à ce qu'il trouve un dispositif non protégé permettant d'accéder au réseau. Je pense que nous verrons davantage d'attaques cyber-physiques hybrides très médiatisées en 2020.

2. L'IA et la technologie vocale seront exploitées, faisant de la voix une nouvelle arme de choix.

S'il est une chose pour laquelle les acteurs malveillants sont doués, c'est bien la créativité. L'année prochaine, nous verrons la compromission des courriers électroniques professionnels (BEC) s'étendre à la messagerie vocale. Même si de nombreuses organisations ont appris à leurs employés à repérer les courriels d'hameçonnage potentiels, beaucoup ne sont pas prêtes à ce que la voix fasse de même, car ces courriels sont très crédibles et il n'y a pas vraiment de moyens efficaces et courants de les détecter. Et bien que ces types d'attaques par "voishing" ne soient pas nouveaux, nous verrons l'année prochaine davantage d'acteurs malveillants utiliser des voix influentes pour exécuter des attaques.

Et ce n'est pas aussi difficile qu'il y paraît : il est plus facile que jamais d'obtenir un clip audio d'un cadre, d'un PDG ou d'un dirigeant mondial prononçant un discours et de le modifier ensuite à des fins malveillantes.

Imaginez que vous receviez un appel urgent ou un message vocal de votre "patron", vous demandant de partager les informations d'identification d'une plate-forme ou d'un système sécurisé. En l'absence de solutions prêtes à l'emploi pour détecter ces menaces, nous allons assister en 2020 à une multiplication des attaques liées à la voix, qui seront plus difficiles à identifier et contre lesquelles il sera encore plus difficile de se protéger.

3. Nos fils et nos filles deviendront rapidement un nouveau vecteur de menace pour la sécurité des entreprises.

De nos jours, presque tout le monde possède un appareil intelligent et connecté, et les enfants ne font pas exception. S'ils n'ont pas le leur, ils prendront probablement le téléphone ou la tablette de leurs parents pour jouer ou regarder la télévision, souvent sans surveillance. En tant que "digital natives", la technologie est une seconde nature pour eux, mais ils ne pensent pas du tout à la cybersécurité, ce qui fait d'eux des cibles de choix.

Malheureusement, personne n'est à l'abri des menaces de cybersécurité et nos enfants seront directement dans le collimateur l'année prochaine. Qu'il s'agisse de l'enfant d'un cadre, d'un assistant de direction ou même d'une personne ayant des privilèges administratifs, il suffit d'un mauvais clic pour qu'il implante un logiciel malveillant sur le téléphone de son parent, ouvrant ainsi la porte arrière à un acteur malveillant pour s'introduire dans le réseau de l'entreprise. Ce phénomène s'accentuera considérablement en 2020.