Comme chaque année, le WatchGuard Threat Lab vous livre ses prédictions pour l’année à venir, et vous met à jour sur les principales menaces en matière de cybersécurité qui pourraient émerger en 2022. Comment les pirates pourraient cibler le cyber espace, que va-t-il se passer en cyber-assurance, le zero-trust et plus encore. Tour d’horizon !
-
Les menaces sur les appareils utilisés par les agents de l’État vont se répandre dans le monde de la cybercriminalité
Les logiciels malveillants sur mobiles existent déjà, mais ils n’ont pas encore atteint la même échelle que sur les ordinateurs de bureau traditionnels. Nous pensons que cela est dû en partie au fait que les appareils mobiles sont plus sécurisés dès leur fabrication usine. Cela n’empêche pas toujours un piratage, mais le rend plus difficile pour les cybercriminels.
Cela n’arrêtera pas les pirates à l’avenir, bien au contraire. Les appareils mobiles utilisés par les agents des gouvernements sont des cibles très convoitées, de par leur nature très technologique et surtout de par les informations sensibles qu’elles contiennent.
En conséquence, les groupes vendant à des organisations parrainées par l’État sont principalement responsables du financement d’une grande partie des vulnérabilités sophistiquées ciblant ce type d’appareils mobiles, comme le montre l’apparition du logiciel espion mobile Pegasus. Malheureusement, comme dans le cas de Stuxnet, lorsque ces menaces plus sophistiquées fuient, les organisations criminelles apprennent d’elles et copient les techniques d’attaque.
L’année prochaine, nous pensons que nous assisterons à une augmentation des attaques sophistiquées sur les mobiles.
-
Les pirates informatiques et leurs attaques feront la une des média
Avec l’engouement du gouvernement et du secteur privé dans la « course à l’espace » et la récente concentration de la recherche sur la cybersécurité sur les vulnérabilités des satellites, nous pensons qu’un « piratage dans l’espace » fera la une des journaux en 2022.
Récemment, le piratage de satellites a attiré l’attention des chercheurs en cybersécurité. Alors que les satellites peuvent sembler hors de portée de la plupart des menaces, ils ont découvert qu’ils peuvent communiquer avec eux avec un équipement à 300€ ! De plus, les satellites plus anciens peuvent passer à côté des contrôles de sécurité modernes, s’appuyant sur la distance et l’obscurité pour se défendre.
Pendant ce temps, de nombreuses entreprises privées ont commencé leur course à l’espace, ce qui augmentera considérablement la surface d’attaque en orbite. Des entreprises comme Starlink lancent des satellites par milliers. Entre ces deux tendances, plus la valeur des systèmes orbitaux pour les États-nations, les économies et la société, nous soupçonnons que les gouvernements ont déjà commencé discrètement leurs campagnes de cyberdéfense dans l’espace. Ne soyez pas surpris si nous voyons un jour un piratage lié à l’espace dans les gros titres.
-
Le smishing va exploser sur les plateformes de messagerie
Le smishing, ou phishing par SMS n’a cessé d’augmenter au fil des ans.
Au début, les messages leurre étaient envoyé de façon aléatoire à un grand nombre d’utilisateurs, mais maintenant, nous voyons apparaître des messages ciblés, plus personnalisés. Ces SMS peuvent aisément se faire passer pour quelqu’un que vous connaissez bien, et même votre patron.
Les particuliers et les entreprises, réalisant l’insécurité d’envoyer des SMS en textes clairs, se sont rabattus sur les plateformes de messagerie sécurisée comme WhatsApp, Facebook Messenger, Teams ou Slack.
Évidemment, les pirates suivent toujours les tendances !
Chez Watchguard, nous prévoyons donc que les messages ciblés de smishing sur ces plateformes doublent en 2022.
-
L’authentification sans mot de passe échoue à long terme sans MFA
Nous célébrons l’abandon des mots de passe uniques comme le fait Windows 10 et 11 : vous pouvez désormais configurer une authentification sans mot de passe à l’aide d’options telles que Hello (le système biométrique de Microsoft), un jeton matériel Fido ou un mail avec mot de passe unique.
Chez Watchguard, nous pensons que tous les mécanismes d’authentification à un seul facteur sont le mauvais choix. La biométrie n’est pas impossible à vaincre – en fait, les chercheurs et les pirates ont déjà vaincu à plusieurs reprises divers mécanismes biométriques. Bien sûr, la technologie s’améliore, mais les techniques d’attaque évoluent aussi (surtout dans un monde de médias sociaux, de photogrammétrie et d’impression 3D). En général, les jetons matériels sont également une option à facteur unique, mais la violation de RSA a prouvé qu’ils ne sont pas non plus invincibles. Et franchement, les emails en texte clair avec mot de passe unique sont tout simplement une mauvaise idée.
La seule solution solide à la validation d’identité numérique est l’authentification multifacteur (MFA). Vous pouvez toujours utiliser Hello comme facteur d’authentification simple, mais les organisations doivent forcer les utilisateurs à l’associer à un autre, comme une approbation push sur votre téléphone mobile qui est envoyée via un canal crypté (pas de texte ou d’email clair).
Notre prédiction est que l’authentification sans mot de passe Windows décollera en 2022, mais nous nous attendons à ce que les pirates et les chercheurs trouvent des moyens de la contourner, prouvant que nous n’avons pas tiré les leçons du passé.
-
Les entreprises augmentent leur cyber-assurance malgré la flambée des coûts
Depuis l’arrivée et le succès croissant des ransomwares en 2013, les assureurs en cybersécurité ont constaté que les coûts pour couvrir les clients contre ces menaces ont considérablement augmenté. En effet, selon un rapport de S&P Global, le ratio de sinistralité des cyberassureurs a augmenté pour la troisième année consécutive en 2020 de 25 points, soit plus de 72 %. Cela a entraîné une augmentation des primes des polices d’assurance cyber autonomes de 28,6 % en 2020 pour atteindre 1,62 milliard de dollars US. En conséquence, ils ont considérablement augmenté les exigences de cybersécurité pour les clients. Non seulement le prix de l’assurance a augmenté, mais les assureurs analysent et auditent désormais activement la sécurité des clients avant de fournir une couverture en cybersécurité.
En 2022, si vous n’avez pas mis en place les protections appropriées, y compris l’authentification multifacteur (MFA) pour l’accès à distance, vous risquez de ne pas obtenir de cyber-assurance au prix que vous souhaitez, voire pas du tout. À l’instar d’autres réglementations et normes de conformité, cette nouvelle donne conduira les entreprises à se concentrer davantage sur l’amélioration de leurs défenses en 2022.
-
La norme Zero Trust va se généraliser
Donner aux utilisateurs le niveau d’accès minimum nécessaire pour exécuter leurs tâches est une bonne pratique incontestée aujourd’hui. Malheureusement, les meilleures pratiques ne se traduisent pas directement par une large adoption. Au cours des dernières années, voire des décennies, nous avons constaté la facilité avec laquelle les attaquants peuvent se déplacer latéralement et élever leur niveau d’accès tout en exploitant des organisations qui n’ont pas suivi les principes de sécurité de base.
Récemment, une architecture de sécurité de l’information « moderne » a gagné en popularité sous le nom de Zero Trust. Une approche Zero Trust de la sécurité se résume essentiellement à « assumer la violation ». En d’autres termes, en supposant qu’un attaquant a déjà compromis l’un de vos actifs ou utilisateurs, et en concevant votre réseau et vos protections de sécurité de manière à limiter leur capacité à se déplacer latéralement vers des systèmes plus critiques. Mais quiconque existe depuis assez longtemps reconnaîtra que cette architecture tendance est construite sur des principes de sécurité existants et de longue date de vérification d’identité solide et l’idée de moindre privilège.
Cela ne veut pas dire que l’architecture Zero Trust est un mot à la mode ou inutile. Au contraire, c’est exactement ce que les organisations auraient dû faire depuis l’aube du réseautage. Nous prévoyons qu’en 2022, la majorité des organisations adopteront enfin certains des concepts de sécurité les plus anciens sur tous leurs réseaux, et ils l’appelleront Zero Trust.