Principales tendances de cybersécurité à suivre en 2021 : piratage des serveurs de temps, empoisonnement des données ML, implosion des réglementations de confidentialité des données, etc.

Quelles sont les nouvelles tendances de cybersécurité, les menaces et autres événements auxquels nous pouvons nous attendre en 2021 et au-delà ? Voyons déjà ce que nous avons appris en 2020.

Les prédictions de cybersécurité annuelles de BeyondTrust sont des possibilités envisageables au regard des évolutions technologiques, des pratiques criminelles et du contexte culturel. Mais les tendances les plus marquantes émergent parfois de nulle part. A ce titre, 2020 nous a rappelés à l’humilité. La pandémie de COVID-19 a bouleversé nos vies en plus de modifier radicalement la façon de travailler des entreprises et des salariés. Cette crise a également de profondes ramifications en termes de sécurité des individus et des actifs IT des entreprises.

Sans vouloir semer la peur, on peut dire que cette année aura été « apocalyptique » à plusieurs égards et empreinte d’incertitudes. Notre équipe marketing a fait des recherches dans l’outil SEO Ahrefs. On peut constater que les recherches Google des mots apocalypse (4x plus de recherches) et apocalyptique (3x plus de recherches) ont bondi en mars 2020 et restent encore nombreuses aujourd’hui.

En 2020, nous avons tous découvert l’expression « distanciation sociale », un concept qui a eu d’énormes implications dans la vie des gens ainsi que dans l’approche des entreprises de la cybersécurité et de la continuité de l’activité. Les recherches Google de l’expression « distanciation sociale » ont explosé passant de 0 à 297 000 recherches en février 2020, avec un pic à 408 000 recherches en mars 2020.

A y regarder de plus près, les recherches Google concernant la « distanciation sociale » sont passées des questions « qu’est-ce que la distanciation sociale ? » à « combien de temps allons-nous pratiquer la distanciation sociale ? ». Il est intéressant de noter qu’alors que l’Organisation mondiale de la santé (OMS) préconise de préférer l’expression « distanciation physique » à celle de « distanciation sociale », cette préférence ne se retrouve pas notablement dans le nombre des recherches (depuis juillet en tout cas).

Quoi qu’il en soit, nous étions tous dans le même bateau. Nous avons appris les uns des autres des leçons de courage, de persévérance et d’humanité. Et c’est ensemble que nous en ressortirons. Mais parallèlement, toutes les autres problématiques et cybermenaces n’ont pas reculé. La situation est même devenue plus compliquée.

Alors que nous allons tourner la page de 2020, il nous faut nous montrer optimistes mais aussi nous préparer à de nouvelles formes de cybermenaces. A nous d’anticiper au mieux pour réduire nos expositions de sécurité et réunir les conditions de la croissance et de la prospérité.

Prédictions des tendances de cybersécurité BeyondTrust

Prédiction #1 : Le piratage des serveurs de temps

Les protocoles d’infrastructure sont visés depuis longtemps par les cybercriminels. En 2020, nous avons vu l’émergence de solutions de gestion DDI (DNS, DHCP et IP). En effet, la croissance des entreprises, organique ou par le biais d’acquisitions, les oblige à se doter de nouveaux outils pour gérer, configurer et sécuriser ces protocoles à l’échelle des domaines et des réseaux.

Cette année, on a préconisé l’usage de DNS sécurisés pour empêcher les attaques par un intermédiaire MITM (man in the middle attack) et le spoofing de services en ligne. Les criminels sélectionnent avec soin les protocoles qu’ils peuvent cibler et ceux qu’ils peuvent exploiter. En 2021, ce sera le cas des serveurs Network Time Protocol (NTP) et des serveurs de temps Windows. Ces protocoles aident à contrôler la temporisation de tout ce qui repose sur une transaction dans une entreprise. En l’absence de temporisation, tout peut planter, depuis les serveurs de licence jusqu’aux transactions par lots, avec à la clé des attaques de déni de service au niveau de l’infrastructure principale sur Internet et au sein des processus de backend de l’organisation.

En 2021, il faut s’attendre à une multiplication de nouvelles vulnérabilités, d’exploits et de charges visant les serveurs de temps et autres services de protocoles des organisations. Groupés avec des ransomwares, ces exploits peuvent rendre la reprise extrêmement difficile.

Prédiction #2 : Empoisonnement des données alimentant le Machine Learning

Maintenant que le machine learning se généralise dans les entreprises pour automatiser la prise de décisions, les agresseurs y voient un nouveau vecteur d’attaque. Après qu’un criminel aura volé les données d’origine, il pourra manipuler les modèles générés en injectant des données empoisonnées si bien que le système aura appris quelque chose qu’il n’aurait pas dû. Cette manipulation aura un effet multiplicateur du fait du traitement automatique par les applications en aval, ce qui détruira l’intégrité des données légitimement traitées.

Et il faudra verser une rançon pour restaurer les modèles de données d’origine. Il sera très difficile de détecter cette nouvelle forme de ransomware aux effets quasi insurmontables, si bien que la victime n’aura souvent d’autre choix que de payer la rançon.

Prédiction #3 : Weaponized AI, nouvelle arme des agresseurs

En 2021, les criminels utiliseront le machine learning (ML) pour accélérer leurs attaques des réseaux et des systèmes. Les moteurs ML seront entraînés à partir des données d’attaques réussies. Ainsi, la technologie ML pourra identifier des patterns dans les lignes de défense pour détecter rapidement les vulnérabilités déjà constatées dans des systèmes/environnements similaires. Les données des attaques suivantes continueront de venir alimenter le moteur de cyberattaque. Cette approche permettra de s’introduire dans les points d’entrée des environnements bien plus rapidement car les agresseurs viseront moins de vulnérabilités à chaque attaque, trompant ainsi les outils qui ont besoin d’un certain volume d’activité pour pouvoir identifier des irrégularités.

Prédiction #4 : Omniprésence du deepfake

Nous avons tous pris conscience ces dernières années que des vidéos, photos et audios truqués circulent que l’on appelle deepfake. Toutefois, en 2020, leur qualité et leur réalisme ont nettement progressé. Il existe désormais dans le commerce des produits qui utilisent la technologie deepfake pour doubler des gens au moyen de l’intelligence artificielle ou pour les faire apparaître (acteurs, personnalités politiques, etc.) dans de nouvelles vidéos et des films.

Les deepfakes sont trompeurs tellement ils sont réalistes. Mais il est probable qu’en 2021, les chercheurs, entreprises et criminels iront plus loin encore dans le trucage des vidéos, photos et audios. Une nouvelle vague de deepfakes pourrait nous amener à douter : est-ce que l’entité de l’autre côté d’une fenêtre de chat interactif ou à l’autre bout d’un appel en visio est humaine ou non ? On pourrait, par exemple, avoir des sessions interactives avec d’anciens présidents ou même des proches décédés. Il faut s’attendre à une forte multiplication des deepfakes. A notre insu, nous nous retrouverons dans des situations où c’est avec une technologie deepfake et non une véritable personne que nous communiquerons.

Prédiction #5 : Les cybercriminels se positionnent en périphérie de réseau

En 2020, nous avons assisté à l’explosion des applications de périphérie de réseau avec la poursuite de la décentralisation. Le basculement en télétravail dans le contexte de la COVID-19 explique en grande partie cette tendance.

Ceux qui télétravaillent sont habituellement plus détendus confortablement installés chez eux. Mais ils sont aussi plus enclins à baisser la garde de la cybersécurité. Ce laxisme ne pourrait tomber à plus mauvais moment alors que les cybercriminels intensifient les attaques d’ingénierie sociale et de ransomware.

Chez soi, on utilise plus volontiers des appareils personnels et des réseaux domestiques qui ne sont pas aussi renforcés qu’en entreprise. Beaucoup de systèmes derrière l’infrastructure réseau des particuliers sont encore toujours configurés avec des identifiants par défaut.

En 2021, de nouveaux vecteurs d’attaque vont viser les télétravailleurs et les chemins d’accès à distance. En 2020, nous avons appris que même la distanciation physique sociale ne permet pas de ralentir les menaces d’ingénierie sociale. Les cybercriminels vont continuer de perpétrer des attaques d’ingénierie sociale et de chercher à exploiter les appareils couramment présents à domicile et utilisables pour compromettre un individu et progresser latéralement sur le réseau d’une entreprise. Les attaques d’ingénierie sociale impliqueront différentes formes de phishing, y compris par e-mail, communication vocale, texte, messagerie instantanée, et même via des applications de tiers. Les entreprises devraient également se méfier de salariés mécontents qui se sentent moins « observés » chez eux.

La multiplication des attaques opportunistes et drive-by cherchant à exploiter les réseaux domestiques nécessitera de porter une attention accrue à la sécurisation des systèmes indépendamment, en dehors de la connectivité continue des entreprises. Ceci dit, les télétravailleurs nous semblent être le vecteur numéro un d’attaque et d’exploitation en 2021.

Prédiction #6 : Implosion des réglementations de confidentialité des données

En 2020, le système de justice de l’Union européenne (UT) a renversé la gouvernance de protection établie par le standard UE-U.S. (Etats-Unis) « Privacy Shield ». Avant cette décision, l’accord autorisait le transfert de données contenant des informations personnelles entre les organisations de l’UE et des U.S. La décision de 2020 annule l’autorisation donnée aux entreprises de pouvoir opérer dans l’une ou l’autre des régions et de partager des informations pertinentes. Cette implosion réglementaire impactera la confidentialité des données en fonction de la région, du pays et de l’état.

Aux Etats-Unis, la nouvelle législation apparaît au niveau étatique. Dans certains cas, les réglementations sont similaires, complémentaires, cumulatives et même contradictoires. Tout au long de l’année 2021, les entreprises s’efforceront de s’adapter à cette expansion des réglementations de confidentialité des données et à la potentielle implosion des règles établies au regard des différents systèmes de justice. Les entreprises internationales devront s’adapter rapidement pour revoir la façon dont elles traitent les données des clients. Les entreprises qui opèrent dans plusieurs états doivent examiner leur façon de gérer les données par état, de les traiter dans un lieu centralisé et de codifier la façon dont elles développent des procédures de suppression des données et de notification de compromission.

Prédiction #7 : Les vecteurs d’attaque des réseaux sociaux se multiplient à l’ère de la distanciation sociale

Les réseaux sociaux sont un terrain de prédilection pour la falsification des résultats d’élection, les fake news et d’autres attaques. En 2021, il est probable que les agressions viseront les entreprises en plus des particuliers. Si les pratiques d’authentification et de vérification sont insuffisantes, les attaques perpétrées sur les réseaux sociaux risquent bien d’aboutir. Il se peut qu’un criminel poste une publication d’organisation d’un webinaire ou d’annonce d’un nouveau produit ressemblant trait pour trait à l’initiative d’une entreprise légitime. L’URL illicite pourra au contraire conduire à la perpétuation d’une attaque par un site malveillant, la collecte d’informations personnelles ou l’obtention d’identifiants en vue de compromettre des solutions d’authentification multifactorielle. Des QR codes malveillants ou des URL abrégées pourraient également servir à masquer le site web malveillant. Ces attaques pourraient avoir lieu sur la page officielle de l’entreprise ou via de faux comptes utilisant des noms comparables.

Comme les contrôles des réseaux sociaux en matière de publication, de vérification et de redirection d’URL sont mal gérés, il faut s’attendre à ce que de nouvelles attaques se produisent.

Prédiction #8 : Les cybercriminels jouent au marionnettiste avec les identités humaines compromises

Les entreprises criminelles cherchent toujours à profiter économiquement d’une attaque. Pour réduire le coût d’une attaque et gagner en rentabilité, les cybercriminels vont cibler des individus directement pour s’introduire dans l’environnement via d’autres formes de contrainte que cyber (vol, extorsion, etc.). Ces attaques viseront surtout des personnalités publiques (politiciens, comédiens, activistes, dirigeants, etc.). Comme les données personnelles sensibles de chaque cible humaine seront surtout volées au format numérique, les individus seront contraints d’effectuer des actes illégaux sous peine de voir leurs données et leur confidentialité exposées publiquement.

Prédiction #9 : Les polices de cyber assurance deviennent obligatoires, les cybercriminels s’en réjouissent

Face à l’intensification du nombre des compromissions et de leur coût, les entreprises qui traitent des données pour le compte de leurs clients seront forcées de prendre des politiques de cyber assurance pour limiter leurs risques contractuels. Naturellement, cela induira un coût pour l’entreprise, mais aussi une nouvelle source de revenu pour les agresseurs. Les cybercriminels cibleront les grandes marques avec des polices d’assurance qui paieront pour récupérer leurs données volées plutôt que de faire valoir leur assurance pour couvrir les actions correctives.

Prédiction #10 : Qui va là ? Ami véritable ou non ? Nécessité de centrer la sécurité sur l’identité

Plus les systèmes et services vont sortir du périmètre traditionnel des réseaux et datacenters, plus la sécurité dépendra de la capacité à prouver l’identité. Les seuls mécanismes de protection des services sont :

• la vérification d’identité de l’utilisateur
• le système qu’il utilise, et
• le lieu où il se situe.

C’est l’approche dite identity-as-the-perimeter. L’identité, déjà un actif précieux, bénéficie d’une élévation de statut. Une identité vérifiée pourrait alors être la seule « clé » nécessaire pour tous les accès.

Les attaques des mécanismes qui maintiennent et sécurisent les identités vérifiées vont s’intensifier tout du long de l’année 2021. Votre identité devient alors centrale dans votre environnement d’entreprise.

Prédiction #11 : Les attaques les plus concluantes procéderont de vecteurs d’attaques bien connus et largement évitables

Malheureusement, cette prédiction se vérifie d’année en année. La plupart des attaques qui aboutissent procèdent toujours de vecteurs d’attaques bien connus et largement évitables. Si certaines vulnérabilités sont encore relativement récentes, il reste généralement du temps pour les combler avant qu’une compromission se produise.

Faute de mieux, augmentez les couches de sécurité de sorte que les criminels n’aient pas accès aux privilèges quand ils infiltrent votre réseau. Une vulnérabilité exploitable pose problème, mais toujours moins quand elle ne mène pas à un accès privilégié.

Le mot de la fin

Chaque année, nous le répétons : être préparé à ce qui arrive fait toute la différence entre une démarche proactive ou en réaction. Il est largement démontré que les entreprises avec des postures de sécurité IT plus proactives bloquent davantage de menaces, identifient les problèmes de sécurité plus rapidement, subissent moins de compromissions et limitent mieux l’ampleur des dégâts en cas d’attaques que des entreprises moins bien préparées. Pour adopter une posture plus proactive de la cybersécurité, contacter BeyondTrust peut être un bon premier pas.

Et une prédiction de plus pour 2021 : nous prédisons une résurgence d’optimisme et espérons qu’une bonne dose de meilleures intentions et de sagesse en matière de cybersécurité auront accompagné cet article de blog.