Une année chargée en termes d’exposition à la menace pour la France
Cible récurrente de nombreuses campagnes d’attaques, la France se retrouve cette année plus encore menacée et pour cela, plusieurs événements sont à prendre en compte. Tout d’abord, les tensions géopolitiques et les engagements du gouvernement demeurent un vecteur d’accroissement du risque, notamment face aux groupes de cyber-attaquants étrangers. Des perturbations sont à prévoir, avec différents médiums d’attaques décelés en croissance sur les derniers mois, et notamment les attaques par déni de service (DDoS), particulièrement perturbatrices et dommageables en termes d’image, comme ont pu le constater le Sénat et l’Assemblée Nationale en 2023. Les ransomwares, particulièrement répandus continueront également à impacter nos entreprises et nos services malgré les efforts des services de police internationaux : On a pu le constater après la saisie d’infrastructure de Lockbit, le groupe de hackers faisait à nouveau des victimes quelques jours après l’annonce de son démantèlement.
Mais la menace ne pèse pas uniquement, et directement, sur les entreprises et les institutions car chaque individu peut être visé dans sa sphère professionnelle comme personnelle. Et pour cela, les différents événements de l’année pourraient être source de… « diversification » : entre les arnaques à la sécurité des comptes en banque, les campagnes de piratage de comptes FranceConnect à l’amorce des élections européennes, l’arrivée des escroqueries via deepfake ou encore les sites marchands visés par des campagnes de phishing lors de compétitions sportives de l’été, les équipes de cybersécurité seront très sollicitées jusqu’à la fin de l’année…
Un contexte réglementaire en pleine évolution
L’automne marquera un tournant dans la stratégie de cybersécurité portée à l’échelle nationale par l’ANSSI et le gouvernement avec l’entrée en vigueur du NIS 2. Si celle-ci n’est pas un sujet nouveau, la mise en conformité attendue des entreprises d’ici à octobre 2024 est déjà source de nombreux défis. Quels éditeurs choisir pour s’assurer de cette mise en conformité ? Qui sont les partenaires conformes ? Autant de questions et d’investissements à prévoir pour toutes les entreprises du territoire qui posent question et seront, c’est certain, au cœur des débats de cette édition de l’InCyber Forum, les éditeurs se préparant à présenter leurs plans de mise en conformité et autres solutions labellisées « conformes avec le NIS 2 ». Parmi les grands sujets au cœur de cette mise en conformité, le sujet du contrôle de l’identité et de la gestion des accès, plus que jamais au cœur du risque notamment avec l’évolution inéluctable des solutions Cloud souvent éparpillés, rendant plus difficile la mise en application de la « philosophie » Zéro Trust. Et, sur ce thème, en tâche de fond, plusieurs questions de souveraineté se mêlent à celles de la sécurité : pour quel cloud opter ? Cloud Public ? de confiance ou souverain ? Hybride ? Privé ? Sur site(s) avec la problématique de l’expérience cloud à la périphérie ? Déconnecté ? Multicloud ? Autant de questions auxquelles il s’agira de répondre le plus rapidement possible, pour éviter d’une part des investissements particulièrement conséquents et peu efficaces… mais surtout ne pas étendre inutilement la surface d’attaques. Chaque entreprise a des besoins uniques et donc une architecture cloud à bâtir pour répondre au mieux à ses propres enjeux.
Autre sujet particulièrement porteur en 2024 : elle est aussi la dernière année pour être en conformité avec la directive DORA applicables pour toutes les entreprises de services financiers. En effet, pour la première fois, la BCE va faire un nouveau type de test touchant 109 banques pour évaluer leurs PRA et capacités de continuité du service post-attaque, baptisé CyberRésistance. Un nouveau rappel s’il en faut qu’aujourd’hui, plus que jamais, la donnée est le nouvel or des entreprises et qu’il faut des coffres numériques pour la protéger.
Le PRA et plus globalement la Cyber-résilience est un sujet central pour toutes les entreprises, pas uniquement celles du secteur des services financiers. Pour gagner en efficacité et préparer au mieux la continuité d’activité en cas d’attaques, quelques principes de base sont à rappeler, encore et encore. La donnée est le point central de cette discussion, ce qui commence par la connaître, déterminer son utilité pour éviter les phénomènes de récupération « pauvres » et la sauvegarder en fonction de critères de sensibilité pour l’activité. Une fois la cartographie réalisée, les processus de récupération doivent être posés, et pour que ceux-ci fonctionnent le jour de l’incident, il n’y a pas de secret : le test et la simulation sont les meilleures armes. Mais face aux contraintes d’environnements cloud complexes qui sont aujourd’hui les nôtres et pour garder l’efficacité au cœur du dispositif, la seule réponse est le modèle « as-a-service » pour inclure toute évolution qui pourrait par la suite perturber le PRA dans sa mise en action.
En sus, d’autres directives viennent s’ajouter pour protéger les consommateurs ou les entreprises : le DSA, le DMA, le CSA, le CRAet tout dernièrement l’AI Act qui pose les premières questions de la place de l’IA dans notre société numérique et son éthique (ou les biais qu’elle sous-tend). Parmi les chantiers à distinguer et particulièrement prioritaires : la sécurité des utilisateurs, à garantir coûte que coûte en utilisant l’IA comme un biais de protection et en limitant son usage par les acteurs malveillants, ce qui sous-tend également la robustesse des infrastructures pour soutenir la croissance des données traitées.
L’humain doit être au cœur de la réflexion sur l’IA et le développement des infrastructures dédiées, pour éviter les mauvais usages, les biais et donc favoriser un usage sain, sécurisé et ne générant pas de discriminations, comme les critiques ont pu le constater sur les affaires de « score d’endettement » par exemple dans le domaine bancaire.
L’IA, au cœur de l’actualité… et des préoccupations
Depuis la ruée vers l’IA générative entamé en fin d’année 2022, le sujet passionne, divise… mais la technologie elle est déjà bien exploitée en cybersécurité. Par les éditeurs du secteur d’une part, pour faciliter la détection et réponse à des menaces, la génération de rapports d’états de l’infrastructure, certains mécanismes de réponses à incidents. D’autre part, par les cyberattaquants : création de lignes de code, de contenus de campagnes de phishing (sans fautes d’orthographe), de création de visuels mais aussi récupération de données exploitées par les IA génératives elles-mêmes – souvenez-vous de l’attaque subie par OpenAI en novembre 2023.
Si la popularisation des outils semble impossible à contrôler, les cas d’usage pour lesquels l’IA générative s’applique peuvent eux en revanche être limités. OpenAI avait par exemple bloqué certains types de requêtes permettant de créer des lignes de code pour la fabrication d’attaques – ce que la dernière version lancée par Mistral.AI elle en revanche permet de réaliser (via Python ou Linux). La multiplication d’acteurs sur le segment fait évoluer le secteur et encourage les autorités régulatrices à poser de nouvelles règles, aussi il y a fort à parier que de nouveaux cadres devraient faire leur apparition dans l’année et que ce sujet sera central dans les prises de parole des diverses institutions cette année sur le salon.
Que dire de plus pour cette année 2024 ? Aussi menaçante qu’elle apparaisse, elle sera sans nul doute riche d’enseignements et de défis pour les entreprises, et donc d’investissements conséquents pour faire face aux besoins de mise en conformité comme de protection contre les risques au sens large avec en toile de fond l’IA qui permettra certainement d’augmenter les performances mais qu’il faudra garder sous contrôle à la fois dans le domaine de la sécurité et de l’éthique