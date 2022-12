La boule de cristal n’annonce rien de positif en 2023 pour la cybersécurité

décembre 2022 par APO Group pour KnowBe4

L´analyse des statistiques annuelles de cybercriminalité est toujours un exercice qui donne à réfléchir. En 2021 et 2020, le paysage était truffé de nouvelles vulnérabilités et de nouveaux vecteurs d’attaque du aux changements radicaux des environnements de travail, des approches et des investissements. Les entreprises se sont orientées vers le travail à distance, puis hybrides. Les employés sont restés à la maison puis on pu travailler n’importe où. Les systèmes se sont numérisés et ont été transférés vers le cloud. Et les cybercriminels ont saisi l’opportunité et profité des failles que tout le monde ignorait. En 2022, les problèmes ont changé – un peu – mais ce n’est pas le cas pour les menaces de sécurité et des vulnérabilités...

En 2022, certains faits marquants ont vraiment mis en lumière la complexité de la sécurité et les menaces auxquelles sont confrontés l’organisation et l’individu. Les recherches de SAP et Onapsis ont révélé qu’il peut falloir moins de 72 heures (https://bit.ly/3UAA0ug) aux cybercriminels pour exploiter une vulnérabilité. Ce qui, lorsqu’il est couplé aux conclusions du rapport ’The Fast and the Frivolous - Pacing Remediation of Internet-Facing Vulnerabilities’ (https://bit.ly/3F930Ui) – 53% des organisations ont au moins une vulnérabilité avec environ 22% ayant environ 1.000 vulnérabilités chacune – ne dessine pas un joli tableau pour les équipes de sécurité informatique ou les entreprises. Et, pour remettre un peu d’huile sur le feu, le ’Rapport Sur Les Tendances Des Vulnérabilités Et Des Menaces 2022’ (https://bit.ly/3VTy5lD) a déclaré qu’il y avait eu plus de 20.000 nouvelles vulnérabilités recensées en 2021 seulement.

’’En regardant vers 2023, il est très probable qu’il y aura une augmentation continue de la sophistication et de la prévalence des attaques de logiciels malveillants sur des appareils portables, en particulier contre les appareils Android’’, déclare Anna Collard, Vice-présidente de la Stratégie de Contenu et Évangéliste chez KnowBe4. ’’En 2022, le cheval de Troie FluBot a vraiment incrusté avec brio les utilisateurs de téléphones Android, dérobant des mots de passe, des coordonnées bancaires en ligne et des informations sensibles. C’était extrêmement efficace, et il est très probable que nous verrons plus d’attaques de ce type en 2023.’’

Un autre domaine de préoccupation réside dans l’utilisation accrue des solutions Internet of Things (IoT). Cette technologie est dans les coulisses depuis des années, pleine de promesses sur l’avenir connecté, mais elle trouve enfin ses marques et fait des percées dans les villes, les organisations et les solutions intelligentes. Cependant, elle représente également un risque important.

’’Les environnements opérationnels, tels que SCADA, sont de plus en plus numérisés et incluent davantage les technologies IoT’’, explique Collard. ’’Cela signifie que là où une infection par un logiciel malveillant n’aurait pu affecter que l´administration du réseau d’une entreprise dans le passé, la transformation interconnectée et numérique de ces systèmes les rend désormais tous exposés au même risque. Cela peut avoir un impact sur les temps d’arrêt d’une entreprise, mais peut également avoir un impact sur la sécurité physique et le bien-être des employés. Pire encore, nous avons remarqué un déplacement parmi les cybercriminels des services financiers vers l’industrie’’

Cette situation peut évoluer dans des usines ou des environnements de fabrication à haut risque, où les systèmes sont numérisés et connectés pour améliorer la sécurité des travailleurs ou des machines. Si ces systèmes sont piratés, cela pourrait entraîner des problèmes inattendus ou des problèmes de sécurité. S’il n’y a pas assez de sécurité en place, alors la surface d’attaque élargie représentée par les systèmes numérisés crée plus d’opportunités pour les cybercriminels.

’’Bien sûr, plus les systèmes deviennent complexes, plus il devient difficile de les sécuriser correctement’’, explique Collard. ’’Il y a l’IoT et il y a la technologie opérationnelle, puis il y a des mondes cyber-physiques interconnectés ou des systèmes tels que les voitures autonomes et les jumeaux numériques qui augmentent la surface d’attaque. Le maître mot pour 2023 est ’vigilance’. Les entreprises doivent devenir plus vigilantes et être mieux préparées à ce qui les attend’’.

De l´autre coté de la médaille, cependant, le fait que les décideurs à tous les niveaux de l’organisation soient devenus plus conscients de la sécurité et plus investis dans sa bonne mise en œuvre. Cette tendance a fortement augmenté en 2022 et se poursuivra sur sa trajectoire ascendante jusqu’en 2023 – et cela contribuera grandement à aider les entreprises à mieux se préparer à ce qui les attend.

’’Les membres du conseil d’administration et les décideurs mettent la sécurité et la résilience à l’ordre du jour’’, déclare Collard. ’’Ils sont conscients que la cybersécurité est un problème grandissant, et cela est alimenté par les médias et par l’évolution des lois sur la confidentialité et la protection des données, ainsi que par une approche des entreprises plus centrée sur les personnes. Les entreprises reconnaissent l’importance des protocoles de sécurité pour protéger leurs employés et leurs données, et mettent en place les bons processus’’.

À l’avenir, il est difficile de prédire avec précision quel vecteur, menace, surface d’attaque ou vulnérabilité seront exploités par les cybercriminels en 2023. Ce qui est facile à prédire, c’est qu’ils essaieront et continueront d’essayer, car c’est un business, et qui est rentable. Pour lutter contre les risques et intégrer une culture de la sécurité au sein de l’entreprise, les entreprises doivent se concentrer sur la formation, le développement des compétences en sécurité, les solutions de sécurité robustes et une sensibilisation constante.