Regard sur les tendances de la cybersécurité 2020 et une nouvelle décennie

Regard sur les tendances de la cybersécurité 2020 et une nouvelle décennie

2020 pourrait être l’année la plus impactante pour l’industrie de la cybersécurité à ce jour. Les preuves sont convaincantes: lorsque nous regardons 2019, nous nous souvenons pas d’une année civile au cours de laquelle le sujet de la cybersécurité était si important, et rien n’indique que cette tendance va baisser de sitôt.

Cela dit, même si la cybersécurité en tant que sujet continue de gagner du terrain dans le monde des affaires, elle ne nous rendra pas automatiquement plus sûrs. La sensibilisation à la sécurité est en augmentation, mais cela ne signifie pas que nous devrions soupirer de soulagement maintenant ou à tout moment au cours des prochaines années. Malheureusement, chaque nouvelle année apporte de nouvelles menaces, risques et incidents pour l’entreprise, et 2020 ne sera pas différent.

Alors que nous nous tournons vers les tendances de la cybersécurité 2020 et au-delà, c’est le bon moment pour faire la lumière sur certains sujets qui peuvent nous tenir debout la nuit de la nouvelle année et comment se préparer à ce qui nous attend.

Menaces émergentes à surveiller en 2020

Au moment d’écrire ces lignes, il existe une méthode d’attaque qui est mentionnée presque universellement: la menace de contrefaçon. Lorsque j’ai abordé le sujet pour la première fois au cours de l’été, on craignait que les deepfakes soient en augmentation, et il semble que ces préoccupations étaient justifiées.

Bruce Schneier, gourou de la sécurité et auteur de nombreux ouvrages sur la sécurité, la tactique d’ingénierie sociale basée sur l’IA est la première qui lui vient à l’esprit.

Il peut être utilisé pour la fraude commerciale, et il y aura également plus de vidéos [en plus des deepfakes audio], a-t-il dit. Cependant, ce que prévoit Schneier, nous le verrons bientôt, c’est l’automatisation du processus. À mesure que cela s’améliorera, cela se produira plus à grande échelle, a-t-il déclaré.

Le rapport «Predictions 2020: Cybersecurity» de Forrester Research complète les prévisions de Schneier. Selon le rapport, les deepfakes coûteront aux entreprises plus d’un quart de milliard de dollars et, à mesure qu’ils continueront de s’améliorer, ils deviendront non seulement plus faciles à exploiter, mais aussi beaucoup plus accessibles aux mauvais acteurs.

L’augmentation prévue du ransomware est encore plus troublante que le potentiel de deepfakes. Selon le rapport Forrester, une attaque de ransomware contre un système municipal peut être si grave qu’elle pourrait conduire à une demande de secours en cas de catastrophe du gouvernement fédéral. Le rapport continue en suggérant qu’une telle attaque encouragerait le débat public sur le rôle du gouvernement en aidant à couvrir les coûts de perturbation et de récupération résultant des cyberattaques ciblant les gouvernements locaux.

Quant à la tactique de phishing toujours populaire, ne vous attendez pas à ce qu’elle disparaisse. Experian prédit que «les cybercriminels tireront parti des techniques de vol d’identité par smishing (SMS et phishing) pour cibler les consommateurs participant à des communautés en ligne, telles que celles qui soutiennent les candidats à la présidence, avec des messages frauduleux déguisés en initiatives de collecte de fonds.» Nous devons nous préparer à ce que être les acteurs de la menace espèrent capitaliser sur l’année électorale en trompant les communautés de vote à travers des textes usurpés pour solliciter des contributions financières.

Et le consommateur?

Pour Schneier, les conseils de sécurité des consommateurs en 2020 ne sont pas si différents de ceux des années précédentes.

Il n’y a rien que je n’ai pas pensé qui va être la grand chose. En général, la nouvelle chose sera des changements progressifs des anciennes choses. Il est rare qu’il y ait quelque chose de nouveau, a t-il expliqué.

Exemple concret: ce billet de deux ans sur la protection en ligne sera aussi pertinent en 2020 qu’en 2017.*

Cela ne veut pas dire que la complaisance des consommateurs devrait être autorisée en raison du manque de nouvelles menaces. Selon l’expert en sécurité indépendant Rod Soto, la confidentialité et la sécurité joueront un rôle plus important dans les attentes des clients alors que les appareils grand public d’intelligence artificielle (comme les assistants personnels intelligents – dont certains auront la technologie de reconnaissance faciale) continuent de se développer dans les foyers.

Les fournisseurs de ces produits devront offrir une image plus claire de la façon dont les informations personnelles de tous ces appareils dans les maisons des gens sont protégées, a déclaré Soto. C’est quelque chose, à mon avis, qui est inévitable – et malheureusement, il pourrait être accéléré par une fuite importante d’informations sensibles provenant de l’utilisation de ces appareils à la maison.

Quant à la 5G, probablement la plus grande avancée technologique dans les années à venir, 2020 n’est peut-être pas l’année où nous commençons à nous inquiéter.

Les gens parlent de la 5G, mais je n’ai pas encore vu suffisamment de mouvement pour la voir se développer comme une norme. Il n’y a même pas d’iPhone 5G sur la feuille de route avant la fin de l’année. a déclaré Soto

Comment l’entreprise peut se préparer aux tendances de cybersécurité 2020

Tant de menaces, si peu de temps. Que doit faire une entreprise? Schneier a suggéré de suivre les stratégies qui fonctionnent pour vous.

J’ai écrit sur ces stratégies pendant des années, et il semble que nous continuons à nous répéter”, a déclaré Schneier. Soto a suggéré qu’il n’y a pas de temps comme 2020 pour penser au-delà du périmètre de sécurité.Les entreprises doivent assurer la sécurité du cloud dans le cadre des priorités [de cybersécurité]», a déclaré Soto. «Cela est toutefois difficile, car les normes de sécurité du cloud évoluent toujours et la concurrence des fournisseurs empêche le consensus et la collaboration. Les entreprises doivent conduire cela en interne et inciter les fournisseurs à le faire. La sécurité du cloud doit être priorisée autant qu’à l’intérieur du périmètre. 

Pour faire face à la menace croissante des deepfakes, une attaque qui, selon Soto, ne fera que gagner en importance, des protocoles anti-deepfake devront être créés. En outre, il a suggéré aux employés de l’entreprise d’apprendre le jargon et de comprendre les méthodes d’ingénierie sociale courantes pour renforcer les défenses.

À cet égard, une tactique que j’ai toujours trouvée utile pour l’entreprise est un solide programme de sensibilisation à la sécurité. Cependant, Schneier a des conseils judicieux pour quiconque souhaite se lancer dans des programmes de sensibilisation étendus.

“La sensibilisation à la sécurité présente certains avantages, mais elle concerne principalement le fait que l’industrie couvre les mauvaises conceptions”, a déclaré Schneier. «La sensibilisation à la sécurité s’adresse à la personne moyenne, mais elle s’applique vraiment à votre pire employé. Si vous convainquez 10 ou 100 personnes ou plus de ne pas cliquer sur des liens dangereux, vous n’êtes pas mieux si vous ne convainquez pas cette seule personne. La sensibilisation à la sécurité ne fonctionne pas aussi bien que les gens le pensent. C’est une façon de blâmer l’utilisateur. “

Je dois admettre qu’il a raison. Nous disons toujours que la chaîne de sécurité n’est aussi bonne que notre maillon le plus faible, et ses conseils en sont la parfaite illustration.

La plus grande menace à ce jour: le manque de compétences en cybersécurité

La sensibilisation à la sécurité présente certains avantages, mais elle concerne principalement le fait que l’industrie couvre les mauvaises conceptions”, a déclaré Schneier. «La sensibilisation à la sécurité s’adresse à la personne moyenne, mais elle s’applique vraiment à votre pire employé. Si vous convainquez 10 ou 100 personnes ou plus de ne pas cliquer sur des liens dangereux, vous n’êtes pas mieux si vous ne convainquez pas cette seule personne. La sensibilisation à la sécurité ne fonctionne pas aussi bien que les gens le pensent. C’est une façon de blâmer l’utilisateur.

Je dois admettre qu’il a raison. Nous disons toujours que la chaîne de sécurité n’est aussi bonne que notre maillon le plus faible, et ses conseils en sont la parfaite illustration.

La plus grande menace à ce jour: le manque de compétences en cybersécurité

Comme toujours, une sécurité robuste repose en fin de compte sur l’élément humain. Alors que nous examinons les tendances de cybersécurité à venir en 2020, le plus gros problème pour le monde de la sécurité n’est peut-être pas une menace connue, une menace émergente ou toute autre chose dont nous avons discuté ici. En fait, la plus grande menace pour l’avenir de la cybersécurité pourrait être le manque de compétences.

Début 2019, ESG a signalé que plus de la moitié de toutes les entreprises interrogées (53%) ont déclaré une pénurie problématique de compétences en cybersécurité au sein de leurs organisations. Rien n’indique que la situation va s’améliorer.

Je pense que le déficit de compétences est énorme et que ça va être un gros problème», a déclaré Schneier. “Je ne suis pas un expert de la main-d’œuvre, mais ceux qui y prêtent attention disent que cela ne s’améliorera pas.

Une chose sur laquelle nous pouvons compter dans l’avenir de la cybersécurité est que, à moins que et jusqu’à ce que davantage de personnes s’inscrivent à des postes de cybersécurité – y compris des femmes, des personnes d’horizons différents, des jeunes, etc. – l’entreprise devra continuer à lutter contre le bien se battre avec une main attachée derrière le dos.

6 cadeaux de sensibilisation à la sécurité pour les cybersécurité ignorants 10 raisons pour lesquelles votre organisation risque potentiellement une attaque par ransomware