3 prévisions en matière de cybersécurité pour 2020

Alors que la décennie touche à sa fin, je réfléchis à 2019, une année marquée par des violations publiques massives qui ont illustré la sophistication des pirates informatiques comme nous n'en avons jamais vu auparavant. Recueil #1 a exposé plus de 770 millions d'adresses e-mail uniques et plus de 21 millions de mots de passe, la brèche de Capital One a touché près de 106 millions de résidents américains et canadiens, et 540 millions d'enregistrements d'utilisateurs de Facebook ont été exposé sur AWS. Et ce n'est que la partie visible de l'iceberg.

Alors, à quoi pouvons-nous nous attendre en 2020 ? Je pense que les méthodes d'attaque continueront de devenir plus nuancées et créatives, ce qui entraînera des expositions plus préjudiciables. Voici trois prévisions spécifiques à l'approche de la nouvelle année qui, je l'espère, vous inciteront à réfléchir à la sécurité de manière proactive.

1. Nous allons commencer à en savoir plus sur la convergence entre l'infiltration physique et les cyberattaques, qui constitue un défi pour la sécurité à tous les niveaux.

Les cyberattaques contre une entreprise ou un gouvernement peuvent être menées à distance mais, en 2019, nous avons commencé à en entendre davantage sur l'élément physique ajouté au mix. Il suffit de regarder la femme qui avait une clé USB chargée de logiciels malveillants qui s'est introduite dans Mar-a-Lago. Bien qu'elle n'ait pas réussi à accéder au réseau, elle avait tout de même une histoire suffisamment convaincante pour franchir les points de contrôle physiques tenus par les services secrets.

Et il n'est pas nécessaire de recourir à des logiciels sophistiqués ou à des opérations de renseignement pour exécuter ces attaques : il suffit d'un scénario bien planifié et organisé. Par exemple, quelqu'un pourrait se faire passer pour un électricien pour accéder physiquement à un hôpital en construction, se déplacer librement jusqu'à ce qu'il trouve un appareil non protégé pour accéder au réseau. Je pense que nous assisterons à un plus grand nombre de ces attaques cyberphysiques hybrides très médiatisées en 2020.

2. L'IA et la technologie vocale seront exploitées, faisant de la voix une nouvelle arme de choix.

S'il y a une chose dans laquelle les acteurs malveillants sont doués, c'est la créativité. L'année prochaine, la solution Business Email Compromise (BEC) sera étendue à la téléphonie. Même si de nombreuses organisations ont enseigné à leurs employés comment repérer les e-mails de phishing potentiels, beaucoup ne sont pas prêtes à utiliser Voice pour faire de même, car ils sont très crédibles et il n'existe pas vraiment de moyens efficaces et courants de les détecter. Bien que ces types d'attaques « volants » ne soient pas nouveaux, nous verrons de plus en plus d'acteurs malveillants tirer parti de voix influentes pour exécuter des attaques l'année prochaine.

Et ce n'est pas aussi difficile qu'il y paraît : il est plus facile que jamais d'obtenir un clip audio d'un dirigeant, d'un PDG ou d'un dirigeant mondial prononçant un discours, puis de le modifier à des fins malveillantes.

Imaginez recevoir un appel urgent ou un message vocal de la part de votre « patron », lui demandant de partager des informations d'identification pour une plateforme ou un système sécurisé. En l'absence de solutions prêtes à l'emploi permettant de détecter ces menaces, nous allons assister à de nombreuses attaques vocales en 2020, qui seront plus difficiles à identifier et encore plus difficiles à protéger.

3. Nos fils et nos filles deviendront rapidement un nouveau vecteur de menaces pour la sécurité des entreprises.

De nos jours, presque tout le monde possède un appareil intelligent et connecté, et les enfants ne font pas exception. S'ils n'ont pas le leur, ils se contenteront probablement du téléphone ou de la tablette de leurs parents pour jouer à des jeux ou regarder la télévision, souvent sans surveillance. En tant que natifs du numérique, la technologie est une seconde nature pour eux, mais ils ne pensent pas du tout à la cybersécurité, raison pour laquelle ils deviendront des cibles de choix.

Malheureusement, personne n'est interdit lorsqu'il s'agit de menaces de cybersécurité et nos enfants seront carrément dans le collimateur l'année prochaine. Qu'il s'agisse de l'enfant d'un cadre, d'un assistant de direction ou même d'une personne dotée de privilèges administratifs, il suffit d'un mauvais clic pour implanter un logiciel malveillant sur le téléphone de ses parents, ouvrant ainsi la porte dérobée à un acteur malveillant pour accéder au réseau de l'entreprise. Cela deviendra beaucoup plus fréquent en 2020.