Prédire le futur avec précision est quasi impossible. Néanmoins, quelques tendances à court terme semblent inéluctables. Dans ce chapitre, nous allons d’abord nous intéresser au futur immédiat, puis nous risquer à prédire ce que l’avenir plus lointain pourrait nous réserver.
Le futur immédiat (d’ici 1 à 10 ans)
Le jeu du chat et de la souris entre attaquants et défenseurs va perdurer. De nouvelles techniques et des innovations vont entrer en jeu. Cependant, les principales évolutions des années à venir découleront très certainement de l’utilisation innovante de menaces existantes. Les méthodes actuelles vont être perfectionnées et de plus en plus utilisées dans les attaques. Des systèmes informatiques seront piratés et de nouvelles vulnérabilités découvertes. Les attaques par rançongiciels vont très certainement continuer à évoluer et toucher de plus en plus d’organisations.
1) Un recours accru à l’intelligence artificielle et à l’apprentissage automatique
L’usage de l’apprentissage automatique (machine learning en anglais) et de l’intelligence artificielle (IA) va se généraliser aussi bien pour les attaquants que pour les défenseurs. Ces méthodes sont d’ailleurs déjà employées dans le but de réduire des milliers ou millions de problèmes de sécurité potentiels menaçant une entreprise à un nombre plus gérable. L’IA et l’apprentissage automatique sont actuellement utilisés pour minimiser les besoins en spécialistes humains, pas pour les remplacer définitivement. La quantité de connexions et de trafic gérés par un seul service Web est devenue tout simplement ahurissante – et que dire du trafic d’un réseau d’entreprise dans son intégralité... L’humain seul ne peut faire face à cette abondance de données. Les outils d’IA allègent ce fardeau. Ils écartent les événements pouvant être ignorés en toute sécurité et réduisent ainsi la quantité d’événements suspicieux à un nombre plus gérable.
Nous sommes encore loin d’une « IA authentique » qui serait en mesure de hacker ou de défendre automatiquement, mais des outils vont s’améliorer de façon continue.
2) Un recours accru au travail à distance
La pandémie de COVID-19 a poussé une grande partie des travailleurs à passer au « distanciel ». Le « travail distribué » (à distance) a atteint des niveaux encore jamais vus. La nature « distribuée » du travail va très certainement perdurer. Cela va créer de nouvelles problématiques dans le domaine de la protection des actifs des entreprises. Les outils de VPN vont devoir être modulés et des solutions être apportées aux problématiques liées au stockage des données – comme le chiffrement – afin que les appareils gèrent les données de façon adaptée. L’accès à Internet domestique devra être mieux protégé. Dans de nombreuses régions du monde, c’est désormais un service de base. Pourtant, la sécurité des connexions n’en est qu’à ses balbutiements.
L’essor du distanciel va augmenter la quantité de données traitées en dehors du lieu de travail. Des données que l’on considérait comme uniquement sécurisées sur le réseau du lieu de travail doivent désormais être accessibles depuis le domicile des employés, voire potentiellement stockées chez eux, sur des appareils personnels. Le partage des réseaux de bureau n’apporte pas de solution au stockage des fichiers. Le contenu des appareils personnels devra donc lui aussi être sauvegardé, afin que des données importantes ne soient pas perdues à la suite d’une panne matérielle ou de l’effacement d’un disque dur par un logiciel malveillant. Le chiffrement des données situées sur les disques (le data at rest, littéralement « données au repos » en français) va devenir aussi important que celui des données transmises lors des communications (le data in transit, littéralement « data en transit » en français).
3) Un recours accru à l’Internet des objets et à la 5G
Autre développement qui va étendre la surface d’attaque : l’émergence de l’IdO (Internet des objets) ou IoT en anglais (acronyme d’Internet of Things en anglais). En raison de leur multiplication, les appareils connectés à Internet sont aussi devenus des cibles. Tous les appareils possédant une connexion Internet sont au moins équipés d’un mini-ordinateur et donc exposés aux mêmes attaques que les autres ordinateurs. La croissance future du nombre d’appareils de l’IdO va inévitablement aller de pair avec une augmentation des abus. Très souvent, les appareils de l’IdO ne sont pas les cibles finales des attaques, mais seulement la première étape pour s’infiltrer dans un réseau. Une fois à l’intérieur, l’attaquant(e) réalise généralement une reconnaissance du réseau et tente de s’y déplacer « latéralement » pour porter atteinte à d’autres appareils ou services. Dans le contexte d’une entreprise, les appareils de l’IdO permettent aux attaquants de s’immiscer dans le réseau sans être détectés par les protections mises en place. La sécurité des appareils de l’IdO n’est pas au niveau à l’heure actuelle. Cela doit devenir une priorité à très court terme.
Des milliards d’appareils électroniques – de l’IdO ou non – vont pouvoir se connecter à Internet grâce à la généralisation des réseaux mobiles les plus performants, notamment la 5G. La surface d’attaque va donc s’étendre de façon exponentielle. Plus d’appareils signifie plus de cibles potentielles. Les attaquants devront toutefois davantage s’appuyer sur l’automatisation. La segmentation réseau acquiert une importance nouvelle. Si vos appareils de l’IdO sont scindés de votre réseau, le facteur de risque est bien plus limité. De nombreuses entreprises se servent déjà de la segmentation réseau pour limiter le risque. Cependant, dans la plupart des foyers, on trouve actuellement un seul réseau auquel sont connectés tous les appareils par connexion sans fil.
Qu’en est-il de la sécurité de votre appareil de l’IdO ?
Des projets de test et de classification de la sécurité des appareils de l’IdO commencent à voir le jour. C’est notamment le cas du label de sécurité du National Cyber Security Centre Finland (NCSC-FI). Les fabricants peuvent solliciter le label et s’en prévaloir si la conception de leur appareil est jugée sécurisée. Cette initiative est récente, mais on peut espérer que ce type de label se généralise à court terme. Sans cela, les consommateurs auront du mal à évaluer la sécurité d’un appareil.
Apprenez-en plus sur ce label de cybersécurité et les produits approuvés sur https://tietoturvamerkki.fi/en/products (page en anglais).
4) Le manque d’experts de la cybersécurité
Toutes les entreprises intègrent aujourd’hui une composante informatique (et ce n’est qu’un début). Les professionnels de la sécurité vont donc devenir de plus en plus importants. Fin 2014, on estimait le déficit d’experts de la sécurité à un million. En 2021, ce chiffre s’élève à 3,5 millions. Le manque de travailleurs dans ces industries stimule néanmoins le développement de l’apprentissage automatique et de l’IA. On espère en effet que ces technologies contribueront à remédier à cette pénurie. La cybersécurité, en tant que champ professionnel distinct, doit devenir un élément à part entière de l’informatique. Les programmeurs qui ont quelques notions de cybersécurité sont, déjà aujourd’hui, valorisés aux yeux des employeurs.
5) La vie privée, une problématique plus prégnante
La question de la vie privée va dans les prochaines années revêtir une importance majeure dans les secteurs public et privé. Des réglementations comme le RGPD dans l’UE, la CCPA en Californie ou la LPRPDE au Canada visent à protéger la vie privée des citoyens contre les entreprises qui tentent de tirer un profit des informations qu’elles possèdent sur leurs clients. Certaines entreprises vont continuer à repousser les limites de l’exploitation des données, tout en observant (à peu près) le cadre de ces réglementations. Il est ainsi essentiel que les réglementations suivent le rythme d’évolution des technologies et que les entreprises et les individus soient capables de se protéger en prenant mieux conscience de la mutation des risques.
6) L’essor possible de la cyberguerre
Nous allons certainement assister prochainement à des cyberattaques militaires plus ciblées. Les attaques contre des infrastructures peuvent infliger à des ennemis pris au dépourvu des dommages dévastateurs. Cibler les systèmes de direction ou de guidage des missiles ennemis peut s’avérer tout aussi destructeur. Des exemples d’opérations de cyberespionnage ont été documentés, mais l’envergure des outils utilisés dans ces attaques reste mal connue. Comme dans tous les autres domaines, ces risques vont mécaniquement augmenter puisque de plus en plus de ressources sont numérisées, stockées et exploitées en ligne.
La cyberguerre peut aussi prendre des formes plus discrètes. La propagande et d’autres méthodes plus subtiles d’influence de l’opinion sont des stratégies tout aussi efficaces. Les attaques « sous fausse bannière » nous ont déjà donné un aperçu de ce que ces méthodes de cyberguerre recouvrent. Une opération sous fausse bannière signifie que la source de l’attaque est masquée et brouillée dans le but d’aiguiller les représailles vers un tiers. En 2015, par exemple, des menaces de mort ont été formulées à l’encontre de militaires américains dans le cadre d’une opération sous fausse bannière. L’attaque a d’abord été imputée au cybercalifat de Daech, avant d’être attribuée au groupe russe APT-28, aussi nommé Fancy Bear. Elle a été suivie de représailles étasuniennes contre des Syriens faussement accusés d’en avoir été les auteurs. C’est ce qui rend cet événement significatif.
Le futur plus lointain (les années 2030 et au-delà)
1) L’informatique quantique
L’informatique quantique est susceptible de remettre en cause toutes les protections par chiffrement actuellement employées. Le chiffrement symétrique à partir de clés plus longues sera vraisemblablement toujours utilisable, mais le chiffrement à clé publique risque de ne plus pouvoir protéger les secrets. Les fonctions cryptographiques à clés publiques actuelles fondent leur sécurité sur la difficulté de factoriser de grands nombres. Les ordinateurs quantiques peuvent casser le chiffrement asymétrique au moyen, par exemple, de l’algorithme de Shor qui permet de factoriser plus facilement ces grands nombres.
À l’heure actuelle, les ordinateurs quantiques n’en sont qu’à leurs balbutiements. De nombreuses évolutions seront donc nécessaires avant de pouvoir casser ces chiffrements. De nouvelles méthodes d’utilisation de ces ordinateurs vont cependant être développées. Il faut faire en sorte que les actifs nécessitant d’être protégés pendant de nombreuses années – les secrets d’État, par exemple – puissent résister à l’informatique quantique. Toutefois, toutes les données confidentielles ne sont pas menacées par l’informatique quantique. Les ordinateurs quantiques ne vont pas devenir des outils « magiques » capables de casser les systèmes de chiffrement en deux temps trois mouvements. Ils vont rester inaccessibles aux individus et aux criminels pendant encore bien longtemps.
Le bon côté des choses, c’est que l’informatique quantique permet également de mieux protéger les données grâce à des mécanismes de chiffrement et d’échange des clés plus performants. Ces avancées vont très certainement permettre d’améliorer la protection de l’internaute moyen.
À quand l’essor de l’informatique quantique ? Eh bien, cela dépend. Certains usages de l’informatique quantique vont se concrétiser prochainement. Certaines fonctions – notamment l’usage efficace de l’algorithme de Shor – nécessitent des méthodes que les scientifiques ne maîtrisent pas encore. On estime généralement qu’un ordinateur quantique sera capable de factoriser un nombre de 2048 bits à partir de l’algorithme de Shor entre 2030 et 2040.
2) L’obsolescence des mots de passe
Au-delà du chiffrement, l’essor de l’informatique quantique va avoir des effets sur de nombreux autres domaines, notamment les mots de passe. On présume que l’informatique quantique va grandement faciliter les attaques par force brute des mots de passe et donc les rendre obsolètes. L’authentification multifactorielle ou matérielle saura certainement apporter des solutions à ce problème. L’authentification biométrique existe déjà, mais ses faiblesses sont dès à présent évidentes. De nouvelles solutions seront nécessaires pour combler ces failles de sécurité.
3) L’accroissement des performances de l’intelligence artificielle
Dans vingt ans, l’intelligence artificielle aura peut-être atteint certaines des fonctionnalités prédites aujourd’hui. On pourrait voir l’IA détecter avec fiabilité de nouvelles menaces et les gérer de façon autonome. Elle sera également utilisée par les attaquants. La « course aux armements » va donc continuer sur le même rythme. Si l’on en croit la plupart des prédictions, nous serons cependant toujours bien loin de l’intelligence artificielle réelle et automatisée.
4) L’omniprésence de l’Internet des objets
D’ici 2030, près de 100 milliards d’appareils devraient être connectés à Internet. De petites puces informatiques vont devenir omniprésentes et être intégrées un peu partout. Cela signifie donc que la surface d’attaque va s’étendre fortement et que la sécurité des appareils de l’IdO deviendra d’autant plus importante.
Les technologies continuent d’évoluer à un rythme plus rapide que prévu. Sans boule de cristal, il est difficile de prévoir quoi que ce soit dans le domaine des technologies au-delà de quelques années. De grandes avancées peuvent surgir sans crier gare et changer le centre d’attention de la cybersécurité, aussi bien en matière d’attaque que de défense. Ce qui est sûr, c’est que de nouvelles menaces vont émerger et que ce jeu du chat et de la souris n’est pas près de s’arrêter.
