Venafi, pionnier de la gestion des identités machine, publie aujourd’hui ses prévisions pour la cybersécurité et l’écosystème « cloud native » pour l’année 2024. L’IA ouvre les portes à de nouvelles menaces et amplifie les risques existants, la durée de vie des identités machine fond et la provenance du code fait l’objet d’un examen minutieux. Une chose est claire : l’année prochaine s’annonce riche en défis pour le secteur de la sécurité.

« Tout au long de l’année 2023, les entreprises ont surfé sur la vague des innovations liées à l’IA. Dès qu’elles ont expérimenté de nouveaux cas d’utilisation, nous avons constaté une multiplication des risques. En effet, de nouvelles menaces ont vu le jour », déplore Kevin Bocek, VP de l’écosystème et de la communauté chez Venafi. « De nouvelles menaces ont émergé, comme les attaques par empoisonnement de l’IA et par exfiltration de modèle. Elles sont apparues tandis que des volumes colossaux de code d’IA générative étaient produits par les développeurs ou des novices, d’une manière qui n’est pas encore totalement comprise. Et pour couronner le tout, l’IA et l’apprentissage automatique s’exécutent sur des infrastructures cloud natives. Pour les hackers, les technologies comme Kubernetes deviennent donc une cible de choix. Si nous ne gérons pas ces problématiques, elles auront un impact majeur sur la sécurité, en 2024 et au-delà. »

Découvrons les cinq grandes prévisions de Venafi pour l’année 2024 :

Avec l’essor des développeurs et des hackers « 1000x », tous les ingrédients sont réunis pour que 2024 soit l’année des failles de sécurité

« L’élan indéniable que connaît le mouvement " 1000x ", qui laisse à penser que les développeurs deviendront mille fois plus productifs grâce à l’IA, ne fera qu’amplifier les défis en matière de sécurité. La sécurisation des environnements modernes devient incroyablement complexe et implique d’aller très vite. Et les entreprises sont déjà en difficulté : selon une étude Venafi, 75 % des responsables de l’IT et de la sécurité estiment que la vitesse et la complexité de Kubernetes et des conteneurs créent de nouveaux angles morts. Dans le même temps, 59 % des interrogés admettent avoir déjà été confrontés à des problèmes de sécurité dans ces environnements.

Et l’essor des " hackers 1000x ", ces acteurs malveillants ultra productifs et dévastateurs qui exploitent l’IA, ne fait que compliquer les choses. Les organisations ne peuvent décemment pas embaucher 1 000 professionnels pour faire face à ces menaces. Nous avons donc besoin d’une automatisation fonctionnant à la vitesse des machines : seule cette solution nous permettra de suivre le rythme. Si les développeurs utilisent l’IA pour être 1 000 fois plus productifs, les RSSI et les architectes en sécurité doivent eux aussi devenir " 1000x " » - Kevin Bocek, VP de l’écosystème et de la communauté, Venafi

2024 sera l’année des attaques par empoisonnement de l’IA, avec les élections en ligne de mire.

« En 2024, l’infrastructure logicielle sera la cible de nouvelles attaques : celles par empoisonnement de l’IA. Les hackers cibleront avant tout les pipelines d’entrée et de sortie afin de manipuler les données, ce qui leur permettra d’empoisonner les modèles d’IA et les résultats qu’ils produisent. L’IA est utilisée dans de très nombreux workloads critiques. Or, leur supervision laisse souvent à désirer. Maintenir l’intégrité de ces systèmes doit donc devenir une préoccupation majeure. La moindre altération des données d’entrée peut avoir un impact radical sur les résultats ; soit immédiatement, soit progressivement sur le long terme. Par conséquent, toutes les données transmises à l’IA doivent être sécurisées. Il faut identifier leur provenance et les sécuriser à l’aide de technologies telles que la signature de code.

En 2024, des élections majeures sont prévues partout dans le monde et coïncident avec l’adoption massive de l’IA générative : la question des ingérences n’aura jamais été aussi importante. Avec la création de « deep fakes » plus vrais que nature et la hausse de la désinformation ciblée, ce sont les concepts de confiance, d’identité et de démocratie en tant que tels qui seront ébranlés. Plus que jamais, les individus devront analyser les informations et prendre des décisions en connaissance de cause. Les plateformes médiatiques devront quant à elles lutter contre les faux contenus. » - Shivajee Samdarshi, DG Produits, Venafi

L’année prochaine, les réglementations s’immisceront un peu plus dans l’espace de développement, avec des évolutions en matière de responsabilité en cas de violation qui risquent de freiner l’innovation.

« L’année prochaine, l’UE sera contrainte de modifier la loi sur la cyber-résilience, dans la mesure où elle est inapplicable dans sa forme actuelle. Ses dispositions en matière de responsabilité en cas de violation des données et d’open source sont inquiétantes. En théorie, si un développeur âgé de 16 ans écrit un code open source en échange d’un simple café, il pourrait être tenu responsable si un grand groupe utilisant son code était victime d’une violation. Les dispositions du projet de loi encadrant la responsabilité doivent donc être plus claires. À défaut, les développeurs au sein de l’UE risquent de ne plus contribuer à l’open source.

En 2024, le " Know Your Code" deviendra une priorité. Cet aspect est renforcé par la législation, à l’image du décret américain encadrant les SBOM. En d’autres termes, les organisations devront identifier et vérifier la provenance et l’origine du code qu’elles utilisent, ce qui n’a jamais été aussi difficile depuis que l’IA est utilisée pour en générer. Les acteurs manquant à cette obligation seront rapidement confrontés aux menaces, mais également aux amendes réglementaires. » – Matt Barker, responsable mondial des services cloud natives, Venafi

Alors que les entreprises s’efforcent d’étendre la sécurité et la gouvernance sur divers seuils de confiance, les identités machine et les accès seront gérés au niveau des workloads.

« Notre étude montre que 76 % des responsables informatiques pensent que nous nous dirigeons vers une remise en question du cloud en termes de coûts et de sécurité. De nombreuses organisations ont entamé leur parcours avec un fournisseur unique, ce qui les contraint à gérer les identités et les accès au sein de cet environnement. Cependant, 69 % des interrogés reconnaissent qu’en passant au cloud, ils ont également " migré " de vieux problèmes de sécurité. En gagnant en maturité, les organisations ont commencé à utiliser le cloud de manière plus distribuée et sur différents seuils de confiance (ou « trust boundaries »), chacun d’entre eux contenant des identités devant être gérées.

En 2024, le défi consistera à s’assurer que les contrôles de sécurité fonctionnent dans tous les environnements et qu’ils peuvent être gérés de manière cohérente. Cela passe par un changement stratégique et le fait d’adopter une gestion des identités machine et des accès plus agnostique et plus distribuée, ce qui passe forcément par leur authentification au niveau des workloads. Par conséquent, l’adoption d’identités fédérées, telles que les identités machine SPIFFE, connaîtra une hausse. Cela permettra aux entreprises d’utiliser l’infrastructure à clés publiques (ICP) actuelle pour obtenir des workloads chiffrés de manière robuste, indépendamment de l’endroit où ils sont exécutés. » - Sitaram Iyer, DG des solutions cloud natives, Venafi

En 2024, nous déplorerons deux fois plus de pannes en raison de la réduction de la durée de vie des identités machine.

« La réduction de la durée de vie des identités machine créera le chaos, car le nombre de pannes risque de doubler, voire de tripler. Google a déjà annoncé son intention de réduire la durée de vie des certificats TLS publics à 90 jours, une mesure indispensable pour lutter contre l’usurpation d’identités. Toutefois, la majorité des organisations n’y est pas préparée. Nous avons récemment déploré l’impact des pannes liées aux certificats : de nombreuses personnes se sont retrouvées dans l’incapacité de faire le plein ou de payer leurs courses suite à l’interruption de systèmes de paiement entiers. Avec la diminution de la durée de vie des certificats d’identité, il faudra probablement s’habituer à de tels phénomènes - sauf si les entreprises parviennent à automatiser la gestion des identités machine. » – Kevin Bocek, VP de l’écosystème et de la communauté, Venafi