MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
L’année 2015 a été largement reconnue comme l’année de violation de données. Quelles cyberattaques infâmes définiront 2016 ? Pour la première fois, en tant que nouvelle société fusionnée, les experts de la cybersécurité Raytheon|Websense ont partagé aujourd’hui leurs prédictions concernant la sécurité pour l’année à venir. Les chercheurs suggèrent d’être à l’affût pour : les cyber-pitreries pour les élections présidentielles aux États-Unis ; le vol à la tire du portefeuille sur votre téléphone par les cybercriminels ; et une augmentation des vulnérabilités entraînées par l’Internet vieillissant, parmi d’autres problèmes de sécurité.
1. Le cycle des élections américaines va entraîner des attaques thématiques importantes :
Les attaquants vont utiliser l’attention accordée aux campagnes politiques, aux plateformes et candidats, comme une occasion pour adapter des leurres d’ingénierie sociale. D’autres se concentreront sur l’hacktivisme, ciblant les candidats et les plateformes de médias sociaux. En plus de l’ingénierie sociale évidente des menaces autour des campagnes politiques, des plates-formes et des candidats, les outils et l’infrastructure de ceux qui sont impliqués dans le processus politique seront ciblés (comme les candidats, les sites d’actualités, les groupes de soutien). Les Hacktivistes pourront révéler des détails personnels importuns ou utiliser les comptes compromis pour diffuser de fausses informations semblant venir du candidat. Les failles de sécurité et les lacunes dans les défenses vont se révéler coûteuses pour ceux qui ne sont pas diligents pendant cette période.
2. Les portefeuilles mobiles et les nouvelles technologies de paiement vont introduire des possibilités supplémentaires pour le vol de carte de crédit et la fraude :
Les hacks ciblant les appareils mobiles et les nouvelles méthodes de paiement auront une incidence sur la sécurité des paiements plus que les EMV. L’augmentation des moyens de paiement non traditionnels sur les appareils mobiles ou via des balises et paniers virtuels ouvriront la porte à une nouvelle vague de violations de données dans la vente au détail.
3. Le manque d’entretien de l’Internet va devenir un problème majeur pour les défenseurs tandis que les coûts augmentent, la gérabilité est en chute et la main-d’œuvre est limitée :
Comme des balanes fixées à un bateau, le coût de la maintenance de la sécurité va commencer à croître et créer d’énormes problèmes avec les pratiques de l’Internet et de la sécurité. Un nombre surprenant de sites les plus populaires sur l’Internet ne sont pas aussi sûrs qu’ils le devraient relativement aux certificats. D’autres problèmes comprennent : des versions anciennes et cassées de javascript qui invitent les compromis ; des mises à jour OS rapides et de nouvelles tendances dans les processus logiciels en fin de vie qui causent des ravages ; et de nouvelles applications construites sur un code recyclé contenant de vieilles vulnérabilités. Tous ces fantômes du passé de l’Internet vont revenir nous tourmenter en 2016.
4. L’ajout du système de gTLD (domaines génériques de premier niveau) offrira de nouvelles possibilités aux attaquants :
Le nombre de gTLD en date de novembre 2015 dépasse 700 domaines, et environ 1900 autres sont sur la liste d’attente. Comme de nouveaux domaines de premier niveau apparaissent, ils seront rapidement colonisés par des attaquants bien avant les utilisateurs légitimes. Profitant de la confusion des domaines, les criminels et les attaquants de l’Etat-nation vont créer des leurres d’ingénierie sociale très efficaces pour orienter les utilisateurs peu méfiants vers des logiciels malveillants et le vol de données.
5. Les assureurs de cybersécurité vont créer un modèle actuariel plus définitif du risque - changer la façon dont la sécurité est définie et mise en œuvre :
Les compagnies d’assurance vont redéfinir leurs offres avec l’ajout de qualifications, d’exceptions et d’exemptions leur permettant de refuser le paiement pour des manquements causés par des pratiques de sécurité inefficaces, alors que les primes et les paiements correspondront mieux aux postures de sécurité sous-jacentes et à une meilleure modélisation des coûts engendrés par une violation réelle. En outre, les compagnies d’assurance vont grandement affecter les programmes de sécurité, vu que les exigences en matière d’assurance deviennent aussi importantes que de nombreuses exigences réglementaires (PCI, HIPAA, ISO 27001).
6. L’Internet des objets (IOT) nous aidera tous (et nous nuira) :
Les frontières entre les appareils d’entreprise et personnels sont devenus plus flous, ce qui provoque des frictions croissantes et des défis de sécurité touchant les infrastructures essentielles. Les industries qui utilisent un grand nombre de périphériques connectés et des systèmes en réseau dans le cadre de leur activité quotidienne, comme les soins de santé, sont susceptibles de faire face à un plus large éventail de vulnérabilités et de menaces de sécurité.
7. L’adoption de la PAO va augmenter considérablement dans plusieurs sociétés principales :
En raison des violations très publiques de 2015, des changements prévus dans la cyber-assurance, de la visibilité accrue dans la salle de réunion pour toutes les choses cyber et des inquiétudes continuelles au sujet de la perte de données, il y aura une adoption plus agressive de stratégies de prévention du vol de données en dehors de sa base d’installations traditionnelle pour les services financiers. L’hypothèse qui prévaut parmi les équipes de sécurité deviendra « Nous sommes déjà compromis » pour les aider à renforcer leur capacité à faire face à l’inévitable.
8. Les perceptions sociales sur la vie privée vont évoluer, avec un grand impact sur les défenseurs :
L’augmentation de la fréquence des violations de données, comme celles vues en grand nombre en 2015, changent la façon dont nous percevons les informations personnelles identifiables (PII). Les autres manquements et la perte de données personnelles provoqueront des changements majeurs dans la façon dont la vie privée est perçue. Tout comme la dernière décennie a vu l’introduction du « droit à être oublié », nous pouvons anticiper que dans la prochaine décennie de grands changements similaires dans les droits et attentes à l’égard de la confidentialité vont émerger.
« L’augmentation de la connectivité et de la numérisation de la vie quotidienne des entreprises et du grand public vont également conduire à une exploitation des systèmes de paiement, des appareils IOT et la reformulation de notre perception actuelle de la vie privée. »
« La cybersécurité intelligente ne concerne plus simplement le fait d’empêcher une violation, mais la construction de la résilience et la flexibilité de répondre et de minimiser les conséquences négatives potentielles d’une violation. »- Joshua Douglas, CTO, Raytheon | Websense
« 2015 sera vu rétrospectivement comme une année charnière pour la sécurité de l’information, comme beaucoup de menaces changeantes et de pratiques de sécurité maintenant émergentes seront directement imputables à des événements au cours de la dernière année. »
« Des leurres créés à partir de l’intérêt pour les élections américaines, ainsi que d’autres événements très médiatisés, présenteront des possibilités d’ingénierie sociale, non seulement pour les consommateurs mais aussi pour les candidats eux-mêmes. À l’ère numérique, les données qui ne sont pas utilisées avec sureté pourraient avoir un impact sur les élections ou même les candidats eux-mêmes. »
« L’évolution et l’expansion d’un Internet vieillissant présenteront une occasion importante pour les attaquants tout en piégeant simultanément les défenseurs. »- Carl Leonard, analyste principal de la sécurité, Raytheon | Websense Security Labs.
