Nous avons déjà eu le premier incident majeur de cybersécurité lié aux API pour 2023, et l’année vient à peine de commencer. La violation de l’API T-Mobile exposé les informations personnellement identifiables (PII) de 37 millions de clients. L’attaque API était en cours depuis novembre mais n’a été découverte et divulguée que le 19 janvier, illustrant la menace de l’approche”faible et lente”des attaques API, qui augmentent à un rythme régulier. Suite aux recherches de Sam Curry qui ont découvert des centaines de vulnérabilités d’API dans le secteur automobile l’industrie-de Mercedes-Benz à Nissan en passant par Kia, Ferrari et bien d’autres-il n’est pas surprenant que 2023 ait été surnommée”l’année de la sécurité des API”.
Malheureusement, les menaces ne s’arrêtent pas à la sécurité des API. Les organisations d’aujourd’hui-et le monde-sont confrontés à des risques de sécurité démesurés. À quelles autres menaces et tendances pouvons-nous nous attendre au cours de l’année à venir ?
Les attaques automatisées ciblant l’infrastructure du système de contrôle industriel (ICS) exploseront en 2023, suite à une cadence de type ransomware et conçu pour une perturbation maximale.
La guerre en cours en Ukraine sera certainement un facteur. Nous pourrions voir des cyber-perturbations de l’ICS provenir soit d’origines réelles d’États-nations (c’est-à-dire la Russie), soit d’équipes prétendant être parrainées par le gouvernement russe. Les ICS ciblés seront probablement aux États-Unis, au Royaume-Uni, etc. L’Ukraine verra également des attaques ICS comme elle l’a fait depuis la Russie en 2015.
Pour les exploits attendus, nous n’avons pas encore vu Stuxnet à grande échelle, et plus de 12 ans se sont écoulés depuis cet événement. Notre modélisation des menaces suggère qu’une série répétée d’attaques continues de type Stuxnet à grande échelle se produira, et l’accès malveillant automatisé via des API publiques sera un vecteur majeur.
Jeff Farinich, SVP Technology et CISO, New American Funding
De récentes attaques prouvent que l’authentification multifacteur (MFA) n’est plus suffisante, nécessitant l’adoption de l’authentification sans mot de passe pour une protection accrue.
La sécurité du cloud ne se limite plus à l’infrastructure en tant que service (IaaS), l’adoption généralisée des applications basées sur le cloud nécessite une gestion de la posture de sécurité du logiciel en tant que service (SaaS).
Le navigateur est devenu l’espace de travail principal mais reste plutôt peu sécurisé, nécessitant des navigateurs ou des plug-ins d’entreprise pour fournir des contrôles de sécurité granulaires.
L’extension des réglementations avec des mesures d’application plus strictes au niveau fédéral (FTC, SEC) et au niveau des États (Californie, Colorado, Connecticut, New York, Utah et Virginie) nécessitera une maturation des contrôles, des politiques et des pratiques pour mieux protéger les données des clients.
Michael Farnum, CTO, Set Solutions, Inc.
Alors que les fournisseurs SaaS continuent d’augmenter en nombre, et que les outils PaaS et low-code/no-code permettent le mouvement Citizen Developer, les employés non informatiques créeront de plus en plus d’applications et de fonctionnalités sans implication de l’informatique et de la sécurité. Les entreprises auront du mal à devancer (et à garder une longueur d’avance) l’informatique fantôme, car des fonctionnalités plus complexes sont intégrées dans des applications et des API non sanctionnées/non fédérées.
Les RSSI doivent d’abord s’assurer que la politique et la formation sont en place afin que les employés comprennent le danger et les conséquences potentielles des implémentations SaaS et PaaS non fédérées. Deuxièmement, les outils autour de la découverte, de la fédération, du contrôle et de la délocalisation des outils SaaS et PaaS doivent être étudiés maintenant pour maîtriser le shadow IT (même s’ils ne savent pas qu’ils ont ce problème).
Richard Stiennon, analyste de recherche en chef, IT-Harvest
Il y a deux ans, nous avons découvert l’une des attaques directes les plus dommageables de tous les temps : la corruption d’une mise à jour logicielle de SolarWinds.
Les processus CI/CD non sécurisés ne sont pas les problème racine. Le vrai problème est que nous avons passé des décennies à persuader les équipes de patcher immédiatement. Analysez les systèmes en continu, notez les vulnérabilités découvertes par gravité ou”risque”, et corrigez, corrigez, corrigez.
Les mises à jour de logiciels malveillants ne sont pas nouvelles. Pendant les Jeux olympiques d’Athènes en 2004, les commutateurs Ericsson du fournisseur de télécommunications grec ont été mis à jour pour activer l’interception légale standard et les athlètes, les officiels olympiques et les politiciens ont vu leurs téléphones illégalement mis sur écoute. NotPetya, un ver malveillant implanté en Ukraine, est issu d’une mise à jour compromise d’un éditeur de logiciels de comptabilité. Et le logiciel malveillant FLAME a été transmis via une mise à jour Microsoft usurpée à des cibles spécifiques.
En 2023, nous recevrons plus de rappels indiquant que nous ne pouvons pas faire confiance aux mises à jour logicielles, même si elles sont signées, scellées et livrées directement depuis la chaîne d’approvisionnement. Nous devons chercher des moyens de nous défendre maintenant, avant le prochain SolarWinds.
Patricia Titus, Directeur de la confidentialité et de la sécurité des informations, Markel Corporation
Le marché du travail de la cybersécurité continuera de lutter pour pourvoir les postes vacants et la diversité. Les talents qualifiés ayant de l’expérience dans les opérations de sécurité et les ingénieurs d’identité seront difficiles à trouver et à retenir. Les professionnels de la cybersécurité exigeront plus d’avantages comme le travail à distance et une rémunération excessive.
Les RSSI seront également touchés car ils exigent des administrateurs et des dirigeants une assurance, une indemnisation et des avantages avant et après l’emploi. Ils peuvent opter pour le rôle de numéro deux pour éviter les risques ou quitter complètement le poste, ce qui ajoute à l’écart de leadership en matière de cybersécurité.
La cible d’opportunité sera toujours le maillon le plus faible de l’armure : les humains. Avec des acteurs sophistiqués de la menace qui élaborent des campagnes de phishing plus réalistes et la prévalence des bombardements/fatigue de l’authentification multifactorielle (MFA), les attaquants continueront à pénétrer dans les systèmes de messagerie, dans l’intention de détourner les transactions financières vers des comptes bancaires frauduleux.
Daniel van Slochteren , directeur de l’innovation chez Open Line
Les investissements axés sur la technologie ne seront pas rentables. La plupart des entreprises investissent dans la cybersécurité axée sur la technologie, avec les résultats suivants : aucune vue d’ensemble, des coûts qui montent en flèche et des solutions qui sont des pansements mais qui n’arrêtent pas l’hémorragie.
Les organisations doivent lier les investissements en cybersécurité aux risques commerciaux numériques potentiels qui pourrait avoir un impact sérieux sur les objectifs commerciaux fondamentaux.
Les entreprises ont besoin d’une approche”descendante”, dans laquelle les objectifs commerciaux et la recherche sur les risques commerciaux guident leur prise de décision. La création de scénarios possibles basés sur les risques et de cas d’utilisation basés sur les risques permet aux entreprises de déterminer la journalisation, les outils et les logiciels nécessaires pour gérer les risques commerciaux numériques. En se concentrant sur ce qui compte vraiment, les entreprises prennent le contrôle des mesures et des investissements en matière de cybersécurité.
Colin Williams, Business Line CTO, Computacenter UK
Les organisations sont désormais confrontées à un défi supplémentaire, potentiellement aussi important que le cyber la bataille de défense livrée chaque jour-la complexité.
Maintenir des environnements de sécurité d’entreprise coûteux et très complexes, tout en luttant avec le plus grand défi de trouver des professionnels de la sécurité qualifiés pour les maintenir, pourrait laisser les organisations dans un état opérationnel ingérable et peu sûr. La première initiative pour 2023 est d’étudier les solutions de sécurité existantes pour les zones de chevauchement et d’éliminer cette duplication. Les seules nouvelles”solutions miracles”de sécurité à introduire devraient fournir des protections claires et différenciées qui sécurisent les actifs actuellement non sécurisés. Les entreprises doivent simplifier pour réduire les coûts, améliorer la visibilité et accroître l’efficacité opérationnelle. Concentrez-vous sur les véritables lacunes de la couverture de sécurité et jetez les bases d’une utilisation accrue de l’automatisation.
Alors que nous nous dirigeons vers 2023, les entreprises devraient chercher à se concentrer sur ce qui compte vraiment afin de pouvoir contrôler les mesures et les investissements en matière de cybersécurité.
Crédit d’image : Igor Vetushko/depositphotos.com
Michael Nicosia est COO et co-fondateur de Salt Security