sécurité des applications comment se prémunir des nouveaux risques de cyberattaques.

quelles sont les principales tendances et évolutions en matière de cybersécurité que les DSI doivent surveiller en 2024 ?

Stéphane Vanacker : L’approche traditionnelle qui prévalait jusqu’à présent dans les entreprises consistait à protéger les ressources et les réseaux internes contre les intrusions externes. C’est une logique de château fort. Concrètement, une fois passé le pont-levis… c’est-à-dire une fois dans l’entreprise, on est dans un réseau de confiance, on peut se balader partout et sans contrôle. Quand on sait que 63 % des incidents de sécurité proviennent d’un collaborateur… cette approche peut être remise en question.

Aujourd’hui, l’approche la plus sûre est celle de la ZTA, ou Zero Trust architecture. On quitte alors le château-fort et sa logique dichotomique dedans / dehors, pour privilégier une logique d’aéroport : une fois à l’intérieur, on vous demande à plusieurs reprises vos billets, on contrôle votre identité. La ZTA est fondée sur l’authentification robuste des utilisateurs. Pour cela, l’une des solutions qui gagne progressivement en popularité est celle du SSO (single sign-on), permettant à un utilisateur d’accéder à plusieurs applications informatiques en ne procédant qu’à une seule authentification. C’est la garantie pour que le mot de passe ne soit pas stocké sur les sites que l’on consulte.

Cédric Petetin : En effet, la ZTA est un sujet majeur et interroge beaucoup d’automatismes. Pour les DSI, il s’agit de changer radicalement leur façon de concevoir la sécurité du système d’information. Tout cela représente un changement de paradigme pour les entreprises, qui nécessite de former et d’informer les DSI et les éditeurs de logiciels. Cela soulève aussi la question des outils car il est parfois complexe de déployer une telle architecture sur un parc informatique vieillissant.

Le déploiement continu constitue un autre enjeu de taille dans l’actualité des DSI. En tant qu’éditeur et hébergeur, nous nous imposons un déploiement continu des applications, avec des mises à jour tous les quinze jours. Cette récurrence nous permet d’être toujours à jour dans nos dépendances à des librairies informatiques ou à des services sur le web que nous utilisons via des API. Nous sommes ainsi en capacité de déployer très rapidement un correctif pour combler une faille ou la mitiger. Le danger pour une entreprise, c’est de mettre du temps à réagir alors que la faille représente une porte béante pour un pirate informatique.

Autre point d’attention : la politique de sauvegarde. En tant qu’éditeur et hébergeur, la donnée est notre matière, on fait du stockage pour nos clients. Une politique de sauvegarde robuste doit donc être mise en œuvre. Pour cela, il est conseillé de faire plusieurs copies et à différents endroits, selon la règle du « 3-2-1 » : trois copies de sauvegarde à deux endroits différents, dont un hors-ligne.

quel est le nouveau visage des cyberattaquants ? quelles sont les nouvelles menaces qui émergent ? 

Stéphane Vanacker : Nous faisons face à un nouveau phénomène : les attaques de supply chain logicielle. Elles consistent à compromettre une application ou un élément qui la compose pour déployer un logiciel malveillant sur toute la chaîne d’approvisionnement. Face au nombre croissant d’applications développées par les entreprises et à leur déploiement de plus en plus rapide, on peut logiquement craindre des risques accrus. 61 % des entreprises américaines ont été directement touchées par une attaque de la chaîne d’approvisionnement en logiciels entre avril 2022 et avril 2023.

En 2020, une attaque de chaîne d’approvisionnement mondiale a ciblé la société SolarWinds. Elle a compromis le logiciel de mise à jour SolarWinds Orion, utilisé par environ 20 000 clients de SolarWinds à travers le monde. Une réaction en chaîne d’ampleur colossale affectant de nombreux clients, dont des institutions fédérales américaines !

Autre élément qui nécessite d’être analysé : la montée en puissance de l’informatique quantique. Elle représente une menace pour les entreprises, car elle a le potentiel de briser les systèmes de cryptographie actuels, rendant vulnérables les données confidentielles et sécurisées. De plus, les informations sensibles interceptées aujourd’hui pourraient être stockées et décodées à l’avenir, une fois que les capacités de déchiffrement quantique seront pleinement développées. Un sujet à suivre de près en particulier pour les informations garantissant la sécurité nationale. 

avec le boom de l’IA générative, y a-t-il des nouveaux risques à appréhender ?

Cédric Petetin : Comme tous les développeurs, les pirates informatiques utilisent l’IA pour développer ou améliorer des vecteurs de cyberattaques. Ils peuvent notamment demander à ChatGPT de leur écrire un email de phishing ou de leur donner des lignes de code pour créer rapidement un faux site très vraisemblable. Ils doivent aussi certainement tirer parti du mécanisme de scanning permis par l’IA. Jusqu’à il y a peu, ils devaient fouiller parmi des milliers d’éléments pour identifier des failles. Aujourd’hui, ils arrivent à scanner beaucoup plus vite toutes les vulnérabilités existantes. Là où il fallait à peu près quarante jours pour exploiter une faille, il ne suffit aujourd’hui que de quelques heures.

Stéphane Vanacker : Les cyberattaques peuvent aussi utiliser l’IA et les deepfakes pour créer ransomwares (logiciels de rançon) ou des hameçonnages vocaux convaincants, imitant les voix de personnes de confiance pour tromper les individus avec une attaque par génération de synthèse vocale. Ces technologies permettent de générer de faux contenus vidéo ou audio difficilement discernables du réel. Si leur utilisation par les pirates informatiques reste rare aujourd’hui, leur utilisation risque d’augmenter, notamment dans le cas des méthodes de « fraude au Président ».

quels conseils pourriez-vous donner aux DSI pour faire face aux attaques applicatives les plus sophistiquées que nous voyons aujourd’hui ?comment peuvent-ils muscler leurs dispositifs de cybersécurité ? 

Stéphane Vanacker : Quel que soit le secteur, la grande majorité des failles vient des collaborateurs. J’insiste donc beaucoup sur l’importance de la pédagogie, de la formation continue, de la sensibilisation et de la gamification. Rendre ludique, grâce à des quizz, des récompenses sous forme de badges, permet de favoriser l’engagement des collaborateurs et de garder leur attention. J’incite aussi les entreprises à tester régulièrement les compétences des équipes avec des mises en situation réelles.

Autre dispositif intéressant à explorer : le bug bounty, un programme par lequel les entreprises récompensent les hackers qui découvrent et signalent les vulnérabilités de sécurité dans leurs logiciels ou systèmes d’information. Ces programmes encouragent ainsi les « hackers éthiques » à contribuer à la cybersécurité en offrant une compensation pour leurs découvertes. Il existe d’ailleurs maintenant des plateformes de bug bounty pour permettre aux chefs d’entreprises d’accéder à ces « chercheurs de failles ». On peut y voir une ubérisation de la recherche de failles, car cela les ouvre à beaucoup d’acteurs (chercheurs, indépendants) auparavant réservé à des sociétés spécialisées.

J’invite également les entreprises à réaliser continuellement des scans de vulnérabilité car il faut pouvoir concilier la sécurité avec le déploiement continu. Peut-être que la dernière version de l’application déployée contient une faille de sécurité ou rouvre une faille. Il est important de scanner en continu par des automatismes.

comment les changements récents dans les réglementations affectent-ils la manière dont les entreprises doivent aborder la sécurité informatique ?

Stéphane Vanacker : La directive NIS 2 (Network and information Security), dont l’entrée en vigueur est prévue en octobre 2024, s’appuie sur les acquis de la directive NIS qui vise à assurer un niveau de sécurité élevé et commun pour les réseaux et systèmes d’information de l’Union européenne, tout en élargissant ses objectifs et son périmètre d’application. Si la directive apportera davantage de protection face aux cyberattaques, on va certainement faire face à beaucoup d’interrogations de la part des entreprises, elles vont devoir se mettre rapidement en ordre marche, probablement en déployant des plans de formation, des exercices, etc. Reste à attendre les obligations concrètes qui seront contenues dans la transposition. De la même façon que le RGPD (Règlement général sur la protection des données personnelles) a marqué un point de bascule dans la protection des données par les entreprises, NIS 2 s’apprête à bouleverser la cybersécurité en Europe.

Autre enjeu réglementaire important : le Cloud Act, une loi extraterritoriale américaine qui permet dans certaines circonstances critiques aux administrations des États-Unis d’accéder aux données hébergées dans des serveurs informatiques situés dans d’autres pays. S’il est évident que cette loi pose des questions en matière de souveraineté et protection des données, il faut pouvoir mettre en perspectives les deux périls qui effraient les DSI et les professionnels de la cybersécurité : éviter que des administrations américaines accèdent aux données de leur entreprise, et d’autre part, compromettre la sécurité de leurs données. Certains clouds européens ou français semblent aujourd’hui moins robustes en matière de cybersécurité… On est face à un dilemme souveraineté contre sécurité. S’il n’y a pas de recette miracle, le chiffrage de données dans le cloud américain représente actuellement l’option la plus sécurisée pour protéger les données tout en ayant un bon niveau de sécurité.

Vous souhaitez en savoir plus sur l’évolution des métiers de la cybersécurité ? Architecte cybersécurité, analyste cybersécurité ou encore ingénieur cybersécurité… Comment s’y retrouver face à tous ces nouveaux métiers ? Retrouvez ici notre décryptage.