Tensions géopolitiques croissantes, digitalisation généralisée, modes de travail hybrides et pénurie de main-d’œuvre qualifiée : alors que démarre 2023, il va sans dire que les équipes chargées de la cybersécurité ont fort à faire !
Alors qu’une nouvelle ère de connectivité presque illimitée modifie notre façon de vivre, de travailler et de produire, les organisations doivent s’adapter rapidement sous peine de subir des pertes importantes.
De plus en plus d’organisations prennent donc conscience de l’importance d’investir dans la cybersécurité. Cela se reflète dans les dépenses mondiales qui, selon Gartner, pourraient atteindre 1 750 milliards de dollars d’ici 2025. En 2022, elles se sont élevées à environ 172 milliards de dollars. Dans certains domaines comme par exemple l’analyse des données, ces investissements ont visiblement porté leurs fruits. Les équipes de sécurité sont ainsi de plus en plus efficaces pour détecter et atténuer les cybermenaces de manière proactive. Le pouvoir accru des données et de l’automatisation jouant également un rôle plus important.
Néanmoins, l’ampleur des cyberattaques continue de croître, et les acteurs malveillants continuent d’évoluer, tout comme leurs cibles. Aujourd’hui, un constructeur automobile doit ainsi accorder autant d’attention à une pièce défectueuse qu’à la possibilité que l’un de ses fournisseurs, ou l’un de ses équipements soit infecté par un logiciel malveillant. Cette complexité croissante appelle un changement d’état d’esprit. Comme la taille standard d’une équipe IT dans une entreprise dont le chiffre d’affaires se situe entre 150 et 500 millions de dollars n’est que de 11 personnes. Il est pour ainsi dire impossible de tout superviser et analyser. Les employés continuent d’être des cibles vulnérables. Par conséquent, ils doivent également être conscients de l’éventualité d’être eux même la porte d’entrée d’incidents de sécurité.
La fin du périmètre et l’avènement du Zero Trust
La cybersécurité a traditionnellement été présentée comme une bataille permanente entre les cybercriminels à l’extérieur et les experts en sécurité à l’intérieur. Il est facile de considérer les organisations comme des entités cloisonnées, c’est ce qui se reflète dans la culture populaire. Or, la réalité est bien plus complexe.
La pandémie a modifié les modes de travail, qui est devenu hybride pour de nombreuses entreprises. Les employés sont tout aussi susceptibles de travailler depuis un autre pays que depuis leur bureau. Dans le même temps, les données sortent des réseaux privés traditionnels et se retrouvent dans le cloud. De son côté, l’Internet des Objets (IoT) alimenté par la 5G signifie que les équipements le sont aussi.
Les hôpitaux, par exemple, utilisent de plus en plus d’appareils médicaux connectés pour les soins des patients. Pourtant un rapport a révélé que plus de la moitié des appareils connectés à Internet utilisés dans les hôpitaux présentent une vulnérabilité qui pourrait mettre en danger la sécurité des patients. Mais également leurs données confidentielles ou l’utilisation de certains appareils. Dans certains cas, cela peut mettre la vie du patient en danger. C’est pourquoi la fin de la sécurité périmétrique doit être suivie du développement du Zero Trust.
Qu’est-ce que le Zero Trust ?
Comme son nom l’indique, le Zero Trust consiste à ne faire confiance à personne en matière de cybersécurité. Dans un environnement de plus en plus ouvert et évolutif, il n’est plus possible de dresser une muraille infranchissable autour du système d’information (SI). Désormais, le contrôle ne se fait plus une fois pour toutes à l’entrée du SI, mais avant chaque action, et chaque utilisateur. Du PDG au stagiaire, chacun doit justifier de son identité et disposer des bons accès. De cette manière, un individu ou un programme malveillant qui aurait pénétré dans le système ne pourrait pas pour autant y agir à sa guise.
Le Zero Trust est donc indispensable pour permettre à la transformation numérique et au cloud de se développer. Ce n’est pas une coïncidence si Gartner indique que le ZTNA (Zero Trust Network Access) sera le segment de la sécurité qui connaîtra la croissance la plus rapide. Le cabinet annonce une progression de 31 % en 2023.
Le Zero Trust ne s’acquiert pas en une seule journée mais sur plusieurs années, en fonction de l’importance de l’infrastructure existante et des exigences du secteur. C’est pourquoi nous pensons que les entreprises seront plus nombreuses à l’adopter en 2023. Si certains secteurs, comme la finance, sont déjà proches du Zero Trust ou l’ont atteint, d’autres, comme l’automobile et la santé, ne sont pas encore au point. Pour stabiliser et renforcer les cadres de sécurité au-delà du zonage du réseau, il est impératif que chaque secteur s’en rapproche.
La sécurité de la 5G devient un sujet très sensible
L’introduction de la 5G dans l’écosystème numérique signifie que presque tout peut être connecté à Internet. Elle intègre l’IoT dans son écosystème, aux côtés de l’IT et de l’OT, où le produit lui-même devient un point de vulnérabilité. Qu’il s’agisse de voitures, de machines à laver ou d’usines, la 5G est un facteur de transformation. Elle constitue le socle de l’industrie intelligente.
La sécurité de la 5G prendra son envol en 2023. Elle sera stimulée par la migration des entreprises vers le cloud. Son architecture de sécurité (les données circulant entre les organisations et les opérateurs de télécommunications) sera donc sous les feux de la rampe. En même temps que les dirigeants reconnaissent les avantages de la connectivité alimentée par la 5G, ils doivent faire de la sécurité une priorité stratégique de l’entreprise. Sans cela, il sera difficile pour les organisations de surmonter ces défis. Mais également de former leurs employés et leurs fournisseurs. Ou encore de fluidifier la communication entre les équipes de cybersécurité et les décideurs.
Les vulnérabilités de la chaîne d’approvisionnement nécessitent le recours au DevSecOps
Alors que de plus en plus d’appareils connectés très spécifiques sont fabriqués, les menaces se concentrent sur les vulnérabilités se trouvant plus en aval de la chaîne d’approvisionnement. Par exemple le fabricant spécialisé en pièces de voiture connectée. Ces attaques ne faisant que s’intensifier à mesure que les agressions géopolitiques sur la propriété intellectuelle augmentent. Il est nécessaire que la sécurité soit intégrée au stade du développement.
La sécurité dès la conception (Security by Design) exige la collaboration entre les équipes chargées du développement, de la sécurité et de l’exploitation dans le but d’automatiser la sécurité à chaque phase du cycle de vie du développement logiciel. C’est ce que l’on appelle le DevSecOps. Et cela sera crucial pour répondre aux exigences de 2023, à savoir : faire plus avec moins de moyens. Si nous n’y parvenons pas, les répercussions considérables de l’absence d’intégration de la sécurité en amont des projets, continueront à affecter plus fréquemment des secteurs clés. Je pense notamment à la santé, l’automobile, l’énergie et même l’agriculture.
Cybersécurité : misez sur les données, et non sur l’IA
S’il ne fait aucun doute que les opportunités offertes par l’IA et l’automatisation augmentent depuis plusieurs années et vont continuer à s’améliorer en 2023, elles ne progressent pas au rythme espéré. Au lieu de cela, l’analyse et l’exploitation des données prendront en 2023 plus d’importance. En exploitant mieux les données, les équipes pourront ainsi fournir de meilleurs aperçus. Mais également une meilleure corrélation sur les tendances des attaques, tout en prévoyant les attaques futures.
Les hyperscalers font la course en tête
Les dépenses mondiales consacrées au cloud devraient atteindre 1 300 milliards de dollars d’ici 2025. Car de plus en plus d’entreprises migrent vers celui-ci. Dans le même temps, 79 % des entreprises ont subi au moins une violation de données dans le cloud ces 18 derniers mois. Cela braque les projecteurs sur la sécurité des hyperscalers. La valeur ajoutée de plateformes telles que Microsoft Azure et Amazon Web Services est significative. Cela met davantage de pression sur les plus petits fournisseurs de sécurité qui continueront à perdre leur part de marché. Mais en 2023 les hyperscalers devront prouver qu’ils sont en capacité de fournir des environnements cloud sécurisés. Les entreprises doivent être en mesure de passer au cloud en toute confiance. D’autant que, pour les PME en particulier, l’accessibilité financière est cruciale.
Même si l’ampleur des défis à relever est loin d’être négligeable, l’espoir est permis en 2023. Les investissements continuent d’augmenter. Même dans le contexte de l’inflation mondiale, les compétences et qualifications augmentent. Et les progrès de l’analyse des données font déjà leurs preuves. Plus tôt les entreprises feront évoluer leur état d’esprit et intégreront la sécurité à tous les niveaux – avec les fournisseurs et les employés – plus il est probable que la période qui s’ouvre sera marquée par une profonde transformation du secteur de la sécurité.
Cybersécurité : les points à retenir
Le Zero Trust Network Access sera le segment de la sécurité qui connaîtra la croissance la plus rapide en 2023. Et cela, en raison d’un besoin accru de protection pour les travailleurs à distance. Mais également de la nécessité pour les organisations de réduire leur dépendance vis-à-vis des VPN pour leurs accès sécurisés.
La sécurité de la 5G prendra son envol en 2023, stimulée par la migration des entreprises vers le cloud. Les données circulant entre les organisations et les opérateurs de télécommunications, son architecture de sécurité sera donc sous les feux de la rampe.
Les vulnérabilités de la chaîne d’approvisionnement nécessiteront le recours au DevSecOps. La sécurité devra être systématiquement intégrée dès la conception (Security by Design). Cela exige une collaboration entre les équipes chargées du développement, de la sécurité et de l’exploitation. En 2023 les organisations devront miser sur l’analyse et l’exploitation des données. Les équipes pourront ainsi mieux comprendre et anticiper les attaques.
Cette tribune a été rédigée par Geert van der Linden, EVP & Global head of Cybersecurity Practice & CISO, Capgemini.