Blog GlobalSign

17 févr. 2017

L’avenir de la cybersécurité : les prévisions de GlobalSign

Êtes-vous prêt pour la cybersécurité de demain ? Nous allons ici nous pencher sur une série de prévisions concernant l’avenir du marché de la cybersécurité.

Internet évolue en permanence et, que vous soyez une entreprise ou un consommateur, vous devez être prêt à vous adapter aux nouvelles technologies, aux règles et aux stratégies qui contribueront à bâtir un Internet plus sûr et mieux sécurisé.

Nous avons interrogé les meilleurs experts GlobalSign pour connaître leur point de vue sur la manière dont l’avenir de la cybersécurité se dessine. Si ces prédictions se réalisaient, pensez-vous être prêt ?

Paul Van Brouwershaven – Directeur des solutions technologiques

Paul Van Brouwershaven

Avec les récentes améliorations apportées aux nouveaux chiffrements et l’implémentation des protocoles HTTP2 et TLS 1.3, la sécurité est devenue plus attrayante pour les propriétaires de sites. Mais au-delà de la sécurité, ces technologies permettent également d’obtenir des gains de performance. À la clé : une amélioration du référencement, de la publicité et du chiffre d’affaires pour les entreprises.

Côté navigateurs, la sécurité sera à l’honneur. En alertant chaque fois qu’un contenu n’est pas chiffré, les navigateurs contribueront à sensibiliser les utilisateurs à l’importance de la sécurité. Sur Internet, les connexions HTTPS deviendront le standard de facto, faisant progressivement disparaître les connexions non chiffrées (HTTP).

Mais avec des communications nettement plus opaques pour les e-mails, les applications mobiles et l’Internet des Objets (IoT), la vérification de leur authenticité, de leur intégrité et de la sécurité reste compliquée. Je prévois une augmentation des incidents de sécurité de grande ampleur dans l’IoT. En cause : le manque de chiffrement, d’authentification et de contrôles d’intégrité qui fragilise les processus industriels, les véhicules et la domotique.

Pour moi, le chiffrement par défaut est une bonne chose. Au nom de la «lutte contre le terrorisme», les gouvernements seront, à mon sens, focalisés sur leurs capacités de surveillance d’Internet, ce qui se traduira par la mise en place de lois impactantes pour notre vie privée. Mais plus important, il sera impossible de garantir que l’accès à vos données ne soit limité qu’à un seul gouvernement ou que ces données n’auront pas été modifiées (comme lors de l’ajout d’un malware).

Zachary Short – Architecte logiciel principal

zachary short

L’Intelligence Artificielle (IA) et le Machine Learning (Apprentissage machine) pèseront de plus en plus sur l’évolution de la cybersécurité.

Au lieu d’obéir à une conception spécifique, la sécurité deviendra plus organique et autonome, à la manière de votre système immunitaire. La sécurité évoluera en permanence dans un cyberenvironnement en perpétuel changement.

La formation et l’adaptation en continu permettront aux systèmes de reconnaître les nouvelles menaces, mais aussi d’y répondre.

Avec la généralisation de la détection des anomalies, les écosystèmes de l’IoT s’appuieront sur cette ligne de défense pour évaluer la fiabilité des données provenant de pairs.

Les algorithmes de traitement des données issues des capteurs ne feront pas implicitement confiance à un seul nœud de capteurs. Ils chercheront plutôt le consensus auprès des nœuds alentours — une approche guidée par le concept de fusion des capteurs, obéissant au principe selon lequel l’union fait la force, et que redondance rime avec puissance.

La détection des anomalies permet déjà de repérer les transactions frauduleuses par carte bancaire ; les algorithmes d’apprentissage machine continuent d’évoluer pour améliorer la détection des messages indésirables et des malwares.

Nisarg Desai – Chef de produit IoT

Nisarg Desai

Si tous les projecteurs seront braqués sur l’Internet des Objets grand public, la vraie valeur de l’IoT s’exprimera dans l’environnement industriel. Dans ce secteur, le caractère stratégique des ressources et les conséquences d’une sécurité défaillante conduiront à l’adoption rapide d’un vaste arsenal de sécurité.

Au fil du temps, ces solutions arriveront à maturité et seront mises à niveau ou remplacées par des solutions basées sur des standards, comme les infrastructures à clés publiques (PKI). Les pouvoirs publics, les entreprises visionnaires et une clientèle plus sensibilisée à la sécurité exigeront que chaque produit ou service IoT soit assorti d’une protection minimum. Ingrédient silencieux de chaque solution, la sécurité s’imposera au fil du temps comme une nécessité. Après tout, l’homme n’est-il pas l’élément le plus critique de tout système IoT ?

Les vecteurs de menaces qui ciblent actuellement les terminaux informatiques traditionnels seront restructurés pour pointer vers les ressources OT. On assistera au sein des structures organisationnelles à une convergence politique des centres de pouvoir, avant que de nombreuses fonctions IT et OT finissent par fusionner. À cette fusion succédera la mise en œuvre de solutions unifiées axées non plus sur la seule protection des systèmes hôtes, mais aussi sur la protection de la valeur des actifs.

Nous découvrirons aussi des usages inédits pour certaines technologies préexistantes qui chercheront à lutter contre des menaces encore inconnues à ce jour, mais qui découleront de nouveaux cas d’utilisation. Devenue implicite, la sécurité sera implémentée au niveau des plates-formes ou des écosystèmes, pour être propagée à tout ce qu’elle touche.

Lancen LaChance – VP Gestion Produit

Lancen LaChance

Des standards IoT cloisonnés... avant de converger

Avec l’essor de l’Internet des Objets, de nombreuses solutions privilégieront les approches de sécurité basées sur des systèmes propriétaires ou fermés dans l’espoir de capter de la valeur — par verrouillage des solutions ou par facilité.

Dans un contexte d’adoption accélérée et face à des écosystèmes en plein essor, l’intérêt des clients pour les solutions basées sur des standards ira croissant, car avec un écosystème étendu, les critères d’interopérabilité et de compatibilité pèseront lourd dans la balance. Les modèles de confiance pour les écosystèmes IoT suivront une tendance similaire, notamment les solutions de première génération qui s’articulent autour d’un modèle de confiance fermé. Mais avec la diversification des partenaires et des équipements connectés, les professionnels évolueront vers des modèles de confiance plus larges où l’assignement et l’émission d’identités s’appuient sur des tiers et des systèmes de confiance pour maintenir des relations de confiance fortes.

Infrastructures critiques et secteur automobile : les actes de piratage IoT pressent pour plus de sécurité

Le «succès» d’attaques dans certains cas d’utilisation (infrastructures critiques et automobile) accélérera les déploiements de mesures de sécurité pour les systèmes cyberphysiques. Outre une sensibilisation accrue à la sécurité, ces actes viendront renforcer les éventuelles législations qui exigeront des OEM et des opérateurs système qu’ils garantissent la sécurité.

La blockchain

Les mécanismes de confiance décentralisés comme la blockchain vont progresser, mais l’implémentation de cas d’utilisation n’ira pas sans poser problème. La blockchain devrait rester marginale pendant encore quelques années, le temps que les innovateurs et les premiers utilisateurs (early adopters) accompagnent son développement et l’aident à surmonter les difficultés inhérentes à son application en environnement et à l’éducation de ses utilisateurs potentiels.

Richard Hancock – Responsable protection des données - West

richard hancock

La ratification de la Directive sur la protection des données a affecté comme jamais encore dans l’histoire contemporaine le rapport culturel que nous entretenons avec notre identité personnelle. Face à l’évolution et au développement de nos lignes de défense contre le vol et l’usurpation d’identité, les hackers affûtent leurs armes et retournent ces mêmes technologies contre nous — les principales étant les rançongiciels, cryptolockers et consorts.

Au cours des prochaines années, le grand public devrait être davantage sensibilisé à la cybersécurité, aux données personnelles et à la manière dont ces dernières sont utilisées par les entreprises et administrations. Avec les nouvelles législations, il incombe à chacun de donner son consentement pour l’utilisation et le stockage de ces informations. Ce régime déclaratif marque à lui seul une évolution par rapport aux pratiques actuelles qui requièrent de décocher une case, que nous connaissons tous bien, sans pour autant prendre le temps de lire les informations correspondantes.

Les violations de données s’accompagneront de nouvelles sanctions retentissantes qui motiveront les entreprises à investir du temps, des efforts et — élément stratégique — de l’argent (non budgétisé, car jusqu’alors inutile) dans de nouvelles mesures, de nouveaux processus et équipements pour prévenir ce genre de pertes. Les entreprises doivent repenser la conception et l’implémentation de leurs systèmes pour placer la confidentialité des données au cœur de leur concept. Partant de ce principe, nous devrions voir apparaître des plates-formes de commerce en ligne très différentes des plates-formes actuelles. Les entités voudront transférer au maximum les risques et pour cela, le moyen le plus simple consiste à ne pas conserver les données. Les établissements financiers ne pourront plus considérer le chiffrement de leurs bases de données comme une option facultative. Les leaders du secteur devraient encourager la normalisation de ces bonnes pratiques.

L’invalidation de l’accord Safe Harbor (ou «accord relatif à la sphère personnelle») qui encadrait le transfert des données personnelles de l’UE vers les États-Unis a fait naître des craintes chez la plupart des citoyens européens. Leurs données qui résidaient dans les centres de données américains n’étaient soudainement plus protégées par cet accord et tombaient sous le coup des lois étasuniennes sur la surveillance des données. En réaction, les fournisseurs Cloud ont commencé en 2016 à ouvrir des centres de données basés dans l’Union européenne pour satisfaire leurs clients et se conformer aux dispositions légales. Un nombre croissant de fournisseurs devraient poursuivre dans cette voie dans les années à venir. Avec les incertitudes liées au successeur du Safe Harbor, le Privacy Shield, ou «bouclier de protection des données personnelles» — qui reste en vigueur en 2017 après son rejet par le Groupe Article 29 — les entreprises et les particuliers veulent savoir où leurs données sont stockées.

Oublier un dossier confidentiel dans le train ou le taxi appartiendra bientôt au passé ; les violations de données qui défraient régulièrement la chronique sont également sur le point de disparaître. Si les pirates informatiques feront toujours preuve d’inventivité pour s’infiltrer dans nos données, les progrès en termes de puissance de calcul — même au niveau grand public — se traduiront par des algorithmes de chiffrement plus complexes. En d’autres termes, les «gentils» conserveront une longueur d’avance sur les «méchants».

Nous assisterons tous à cette révolution des données d’identification personnelle (PII, Personal Identifiable Information). Il nous faudrait l’accueillir à bras ouverts, car c’est elle qui nous apportera la protection dont nous aurons besoin au cours des prochaines décennies qui seront marquées par l’écrasante domination du numérique. Les «0» et les «1» seront cent fois plus précieux que tout ce qui existe sur papier.

Lila Kee – Directeur Général de GlobalSign Inc & Chef de produit

Lila Kee

Les entreprises et consommateurs réagiront avec virulence aux mesures de sécurité devenues tellement rigides que la productivité s’en trouvera entravée. Pire encore, elles généreront frustrations et anxiété chez les utilisateurs qui auront bien du mal à accéder aux informations, ressources et données pourtant indispensables à leur productivité et à leur engagement, mais aussi à leur satisfaction expérientielle en ligne.

À la demande pressante des gouvernements, de l’industrie et sous la pression du marché, les vendeurs de solutions de sécurité répondront par des solutions moins intrusives, mais néanmoins sécurisées. En toile de fond, les infrastructures PKI joueront un rôle discret, mais déterminant pour les offres de sécurité axées sur la transparence.

Jun Hosoi – Chef de produit S/MIME et Authentification

Jun Hosoi

Je crois que l’authentification «les mains vides» va devenir la norme. Les utilisateurs n’auront ni besoin de carte à puce, de dispositif générant un mot de passe à usage unique, de smartphone pour recevoir un code, ou de mot de passe/identifiant pour se connecter à leurs équipements et services.

Ils se connecteront en fait à leur PC. Leur webcam détectera et identifiera par reconnaissance faciale qu’ils sont bien le propriétaire de l’ordinateur.

Et pour acheter quelque chose à la boutique du club de gym ou effectuer un retrait d’argent au distributeur, il leur suffira de placer leur doigt sur un scanner. L’appareil lira leur empreinte digitale et les identifiera. Ils pourront ensuite accéder au service souhaité ou acheter l’article désiré.

Lorsque la personne utilisera un service Internet, le scanner reliera ses données d’identité au certificat client X.509 puis un service côté serveur sera capable d’identifier sérieusement l’utilisateur. Dans ce scénario, la clé privée de l’utilisateur est stockée sur un modèle HSM hébergé.

L’idée ? Nous nous dirigeons tout droit vers un avenir où nous n’aurons pas besoin de nous rappeler quoi que ce soit ni d’être en possession de quoi que ce soit pour accéder à des services ou acheter des articles. Bientôt nous pourrons tout faire «les mains vides».

Perspectives

Notre équipe semble penser que de nombreux changements sont à venir. Que l’on évoque le renforcement des réglementations ou l’appétence pour l’Internet des Objets, la cybersécurité de demain ne semble pas si lointaine. Les consommateurs vont devenir plus exigeants pour tout ce qui touche à leurs données et les entreprises vont devoir répondre en leur facilitant la vie tout en protégeant les données importantes contre les hackers.

Je suis sûr que nous ne sommes pas les seuls à faire des prévisions sur l’avenir de la cybersécurité, des données et de la vie privée. Et vous, quelles sont vos prédictions ? Nous serions ravis de vous lire. Donnez-nous votre avis sur Twitter ou dans les commentaires sur ce blog.

Partager ce blog