Cyberdéfense

Cybersécurité : les 4 tendances à suivre pour 2022

On pouvait s’y attendre, 2021 a été riche en cybermenaces. Le logiciel espion Pegasus, la faille Log4Shell, ça n’a pas arrêté. Mais que nous réserve l’année 2022 ?

1. La professionnalisation des cybercriminels

Les organisations cybercriminelles sont passées à la vitesse supérieure en 2021. Les ransomwares autour desquels se sont développés un authentique écosystème repose désormais sur de multiples acteurs, du développement jusqu’aux revendeurs de données. Des plateformes se sont créées et la pratique du Ransomware as a Service (RaaS) s’est fortement consolidée. On a pu observer une véritable professionnalisation du secteur (support technique, chat de service client…).

On a constaté, du côté de la coopération internationale, bon nombre d’opérations de police contre ces organisations cybercriminelles. Faits qui restaient jusqu’alors anecdotiques. À l’issue de ces offensives, on retiendra le démantèlement du groupe de ransomware REvil et du Botnet Emotet, qui renaît déjà de ses cendres. Telle une hydre, des groupes cybercriminels réapparaissent quand d’autres viennent tout juste de disparaître. Du côté de la sécurité, on peine à trouver les talents qui pourraient faire face aux menaces.

Ce qu’on pourrait voir apparaître en 2022, c’est l’émergence d’un mercato des cybercriminels. Ces groupes vont être confrontés au même déficit de main d’œuvre que la cybersécurité. Les structures s’arracheront alors les services des prodiges de demain. Un nouvel intermédiaire pourrait donc faire son apparition : l’agent de hacker, en charge des intérêts de son client qu’il place au gré des propositions faites à son poulain.

2. Une protection nécessairement accrue

Les ransomwares ont fait des ravages en 2021. Le record de la plus haute rançon payée s’élève à 10 millions de dollars.

Pour autant, ce n’est pas le seul type de menaces identifié au cours de l’année. En juillet 2021, le projet Pegasus, un système d’espionnage de haut-vol, a permis à son organisation d’accéder à plus de 50 000 smartphones d’avocats, de politiques, de militants ou même de journalistes.

Le 9 décembre dernier, on apprenait l’existence de la faille Log4Shell, issue de la librairie open source Log4j. Cette vulnérabilité a bousculé Internet à tel point qu’on ne saurait à ce jour quantifier exactement les dégâts qu’elle a infligés aux entreprises et aux particuliers. Cet évènement a largement ouvert le débat sur l’entretien des logiciels open source. Malgré leur nature indispensable, ces logiciels sont maintenus par un nombre risible de bénévoles. En outre, la robustesse des briques de code utilisées n’est que trop peu souvent évaluée.

Autrement dit, cette question devient essentielle dans le domaine de la cybersécurité. Les entreprises vont avoir tout intérêt à se prémunir rapidement contre ce genre de menaces, car l’exemple de Log4Shell a mis en évidence de nouvelles opportunités pour les hackers.

3. L’émergence du Web3 et des risques associés

On y est. L’univers de demain, Meta, a été annoncé par Facebook en octobre 2021. Le projet ne manque pas d’ambition : créer un univers virtuel 3D aux possibilités infinies. Chacun pourrait y concevoir son avatar à la manière des héros du film Ready Player One.

Un monde dans lequel on coopérerait dans un espace numérique avec son entreprise, où l’on se divertirait avec toute sorte d’activités diverses et variées. Certains ont d’ores et déjà fait l’achat de terrains sur cet espace virtuel, tandis que le projet n’en est encore qu’à sa genèse. Vous voyez où on veut en venir ?

On parle déjà d’une police du NFT pour pourchasser les cybercriminels dans les tréfonds du métavers. Entre les rançons et le vol de biens numériques, il faudra être en capacité de rassurer et d’assurer la sécurité de cet espace. Cet enjeu est crucial pour toute entreprise ayant pour objectif de développer une activité dans le Web 3.0.

4. Une cybersécurité qui devient l’affaire de tous

Les hackers exploitent avant tout les vulnérabilités humaines pour créer des brèches, en utilisant la célèbre technique du phishing (hameçonnage, en français).

« Le fraudeur se fait passer pour un organisme que vous connaissez (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme. Il vous envoie un mail vous demandant généralement de « mettre à jour » ou de « confirmer vos informations suite à un incident technique », notamment vos coordonnées bancaires (numéro de compte, codes personnels, etc.). » CNIL

Cette pratique est d’autant plus dangereuse que le télétravail s’est fortement démocratisé depuis le début de la pandémie. Or, les collaborateurs utilisent le matériel de l’entreprise à des fins personnelles, ce qui décuple les chances de subir des intrusions.

Cybermenaces

 

La sensibilisation à l’hygiène numérique, et notamment la prévention face au phishing, reste une grande bataille à mener. La société KnowBe4 confiait dans son rapport 2021 qu’un quart des employés pensent que cliquer sur des liens suspects ne comporte que peu ou aucun risque.

Ainsi, certaines entreprises mettent en place la méthode du cyberscore individuel. Il s’agit de prévenir et former aux risques que nous imposent ces nouvelles problématiques. Le collaborateur possède un crédit de départ qui se verra baisser s’il est, par exemple, victime de phishing. En revanche, s’il suit une formation en cybersécurité, son score augmentera. Le but est de faire prendre conscience de l’importance du rôle de chacun dans la chaîne de transmission de données.

Prudence est mère de sûreté

Renforcer ses systèmes informatiques devient vital en cette période de haut-risques cybercriminels. Les ransomwares promettent, en 2022, de continuer sur la lancée de 2021. Alors n’hésitez pas à nous contacter afin que nous échangions sur la mise en place d’une protection sur-mesure pour votre entreprise.