Madame Irma : les prédictions de sécurité pour l'année 2016

Pour la troisième année consécutive Madame Irma revient avec ses prédictions pour l’année à venir. Ce que 2016 devrait nous apporter en terme de menaces, vous le découvrirez en lisant cette somme, qui je l’espère, ne se transformera pas en pensum.

Objets connectés, êtes-vous donc menacés ?

Bon je sais, c’est un peu boiteux comme accroche mais que voulez-vous je voulais commencer cette année par quelqu’un chose d’un peu original. N’en déduisez pas que les objets connectés représenteront la cible principale des pirates, mais sans doute une des plus spectaculaires. En la matière l’étude de Charlie Miller et Chris Valasek sur la prise de contrôle de deux voitures a laissé des traces ! Selon Fortinet, Sophos et McAfee, nous pourrions voir en 2016 un développement des attaques en particulier contre les objets les plus personnels (montres, vêtements connectés etc) ou ceux du quotidien. Ceci a déjà été signalé par Symantec il y a quelques semaines pour les TV connectées. Dans quel but ? Collecter des données personnelles ou bancaires, injecter des publicités intempestives sur votre écran, voire verrouiller l’objet et demander une rançon pour le « libérer ».

Est-ce qu’en 2016 nous serons amenés à payer pour reprendre le contrôle de nos objets du quotidien ? Potentiellement oui, même si le risque est encore faible. Pour Cloudmark c’est d’ailleurs ce qui va motiver le plus les pirates : trouver un moyen de valoriser/monétiser les attaques contre ces objets connectés. Plus inquiétant, 2016 pourrait voir des objets médicaux compromis dans le but de collecter des données médicales. Cette menace est relevée dans une étude de Forrester (malheureusement payante) mais également par PaloAlto ou Websense. L’étape suivante consisterait à passer de la collecte d’informations à la demande de rançon dans le domaine du médical, le FBI prend la chose au sérieux… D’autant que selon Gartner, qui se risque à des prévisions à 5 ans, 2 millions de personnes porteront en 2018 des objets de santé connectés pour mesurer leur condition physique dans le cadre d’emplois pénibles ou dangereux.

La donnée au centre des attaques et l’évolution des APTs

Les années 2014 et 2015 ont été caractérisées par l’apparition des ransomwares et les vols massifs de données. Si vous en doutiez, voici l’impressionnante liste des vols de données pour l’année passée. L’affaire Ashley Madison est l’exemple typique le plus souvent cité. Après une première divulgation des données avec une connotation moralisante, les victimes du piratage commencent à recevoir des courriers menaçants de communiquer à leurs proches leur inscription sur le site.
Watchguard estime qu’une source intéressante de données pour les pirates pourrait être les données scolaires ou universitaires.
Pour Trend Micro, l’année 2016 sera celle de la cyber extorsion ciblant de plus en plus les entreprises selon Zscaler. Pour Bitdefender collecter des données d’entreprises va amener les pirates à repenser leurs techniques d’infiltrations aux profits d’attaques plus ciblées et de plus courtes durées. Kaspersky relève également la tendance. Le sigle APT pourrait perdre le P et la notion d’APT pourrait se transformer en BA pour « Blitzkrieg Attacks » ! Dans la même veine CheckPoint parle de logiciels malveillants « Snipers ».
Même si l’analyse de Proofpoint diffère sur la notion persistance, l’éditeur spécialisé dans la protection des mails recommande de surveiller particulièrement le trafic entre les zones de l’entreprise pour éviter la fuite des données sensibles via des APTs.

Les mobiles encore les mobiles, enfin les mobiles ? Pas si sûr ou alors pas directement…

Madame Irma voyait déjà en 2014 et 2015 des menaces toucher les terminaux mobiles. Force est de constater qu’elle s’était trompée, le phénomène est resté très marginal. 2016 sera-t-elle l’année des premières menaces d’envergure sur les mobiles ? Pas sûr du tout. D’ailleurs les éditeurs de sécurité évoquent globalement assez peu ces menaces cette année à l’exception de CheckPoint, Zscaler et Sophos. Même si le nombre de menaces visant les terminaux mobiles augmente, le pourcentage de terminaux infectés demeure très faible (moins de 1 % selon Alcatel Lucent) à l’exception notable de la Chine où, selon Trend Micro, 3 applications sur 4 contiennent des malwares. WatchGuard et Sophos font cependant remarquer que 2016 pourrait être l’année des menaces sur iOS en suivant la voie ouverte par XcodeGhost et WireLurker. PaloAlto ajoute que la vulnérabilité WireLurker doit amener à repenser la sécurité des mobiles, qui doit non seulement sécuriser l’équipement lui-même mais aussi tout son éco système, en particulier les ordinateurs auxquels le terminal se connecte. Alors 2016 sera t’elle l’année du changement de paradigme pour la sécurité mobile avec une approche holistique PC + smartphone ? Cela me plairait assez… pas vous ?

Les solutions cloud menacées ?

Dans la lignée de la vulnérabilité Venom, Fortinet pointe du doigt la menace que représente désormais la capacité de certains malwares à « s’évader » d’un hyperviseur pour accéder et sans doute compromettre le système d’exploitation d’un environnement virtualisé. Cette infection latérale pourrait porter préjudice à des sociétés utilisatrices de services cloud sans être infectées directement.  Bitdefender appelle cela une « relation de mauvais voisinage » !

Comme le fait remarquer PaloAlto cette mise en lumière de la sécurité du cloud public devrait amener les entreprises à challenger d’avantage leurs fournisseurs sur ce sujet.

Les USA particulièrement visés ?

En 2014 Madame Irma évoquait la coupe du monde de football comme étant propice aux attaques. Force est de constater que les menaces sont restées très marginales. En revanche, 2016 étant une année d’élections aux USA, les hacktivistes de tout poil pourraient s’en prendre aux Etats-Unis selon Websense. Cloudmark estime que c’est la personnalité des candidats qui pourrait inspirer les pirates. Pour Forrester, les USA pourraient subir une fuite majeure de données en 2016. Et les sous-traitants de la défense pourraient être particulièrement ciblés. Cette menace devrait s’accompagner d’une révision des politiques de sécurité du gouvernement américain pour prioriser les investissements destinés à couvrir les risques et non pour assurer la conformité.

L’assurance investit le terrain du risque de cyber sécurité

La nature du cyber risque, « impossible à prévoir, difficile à comprendre » selon Websense, faisait que ce sujet était très peu traité jusqu’à présent. En 2016 pourtant assureurs et actuaires devraient repenser leur analyse et leurs produits de cyber assurance, et probablement revoir à la hausse le montant de leurs primes ! Les assureurs pourraient même imposer à leurs clients des niveaux minimum de protection s’ils veulent s’assurer contre les attaques. Les entreprises pourraient ainsi être classées selon 4 critères :

  • la perception de la valeur de l’entreprise par le marché (Market Cap) ;
  • la préparation de l’entreprise par rapport au risque d’attaque et son profil de risque (Risk Profile) ;
  • le nombre d’attaques subies par l’entreprise et sa surface d’attaque (Targeting Profile) ;
  • la vitesse et la capacité de réaction à une attaque (Responsiveness).

Symantec relève que si les assurances ont un rôle à jouer dans ce domaine, il faut étudier soigneusement les contrats proposés pour être correctement couvert. L’exercice d’évaluation pour couvrir les dégâts portés à la marque, la réputation et les risques opérationnels reste cependant délicat !

En plus de ces grandes tendances certains éditeurs (Sophos, Symantec) estiment, comme l’an dernier, que les produits Apple pourraient être particulièrement ciblés et que les moyens de paiement seront particulièrement visés (PaloAlto, Websense ou encore McAfee).

Je vous laisse lire l’intégralité des prédictions de chaque éditeur ou cabinet. La liste des sources n’est bien sûr pas exhaustive, certains éditeurs livreront leur copie courant Janvier.
 

Bonne année 2016 à tous.


Philippe

Pour aller plus loin

Une approche globale de la sécurité

Je veux sécuriser mes applications, mon site et tous mes accès

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.