2023 : quelles nouvelles tendances technologiques pour la cybersécurité ?

Nouvelle année, nouveaux horizons. 2023 sera encore un terrain fertile pour la digitalisation : les dépenses en matière d’IT atteindront 4,5 trillions de dollars cette année. Une estimation qui annonce une hausse de 2,4% par rapport à 2022, mais qui reste bien en deçà des prévisions initiales de Gartner.¹ Si les cabinets de conseils spécialisés dans le numérique tablent sur une baisse substantielle de l’innovation en raison du contexte international défavorable, d’autres professionnels du secteur estiment que 2023 marquera un tournant pour certaines technologies stratégiques. Entre systèmes immunitaires digitaux, blockchain modulaire et cryptographie post-quantique, l’année en cours nous donnera à voir les prémices de ce que sera le numérique de demain.

PAR THÉO LHEN TALLIEU

Zero Trust: hausse de la vigilance généralisée

Transformation numérique et migration vers le cloud vont de pair avec une vigilance accrue des organisations. Un seul principe prévaut désormais : la confiance zéro. Selon une étude publiée par la société de sécurité du cloud Zscaler, plus de 90% des responsables informatiques qui organisent une migration vers le cloud prévoient ou mettent en place une architecture de sécurité Zero Trust. La répartition des personnels, les échanges commerciaux et la sous-traitance constituent autant de points d’entrée et nécessitent désormais d’embrasser cette posture. L’écosystème de confiance suppose qu’il n’existe pas de périphérie de réseau et exige de tous les utilisateurs qu’ils soient vérifiés quels que soient leur emplacement. C’est sans surprise que le secteur du Zero Trust Network Access (ZTNA) connaîtra une progression de 31% cette année, en faisant de ce fait le domaine de la sécurité informatique avec la croissance la plus soutenue en 2023.² L’évolution de cette vigilance se traduit aussi par la prise de conscience qu’aucune méthode n’est infaillible. Un changement de paradigme qui pousse désormais les organisations de la gestion du risque vers la gestion de leur exposition aux menaces. « Les outils d’authentification multifacteurs comme Octa ou Duo étaient perçus comme la panacée pour éviter la catastrophe de l’usurpation de compte. Pourtant, le piratage d’Uber de septembre dernier le montre : même ces systèmes sont contournables pour les attaquants. Cela montre bien qu’un outil, malgré son utilité, ne se suffit pas en lui-même. » expose Hippolyte Fouque, directeur commercial de Darktrace.

La blockchain à un tournant

La prolifération de la finance décentralisée (DeFi) et des non-fungible tokens (NFT) font percevoir l’aube du Web3. Une révolution permise par la blockchain qui souffre pourtant d’un contexte défavorable, conséquence de l’affaire FTX qui a causé la défiance de nombreux acteurs à l’égard des cryptomonnaies. Malgré la conjoncture, l’investissement dans la blockchain devrait se poursuivre. Bpifrance a notamment renouvelé son engagement pour financer le secteur. Les usagers miseront aussi massivement sur cette technologie cette année. La nouvelle enquête de CasperLabs et Zogby Analytics, menée auprès de 603 entreprises américaines, britanniques et chinoises, présente un bilan sans équivoque : près de 90% prévoient d’investir dans la blockchain cette année, la plupart pour améliorer leur architecture de sécurité.³ Particulièrement efficace pour se substituer au cryptage de bout en bout dans les messageries privées, la blockchain peut aussi servir à sécuriser les objets IoT, autre base du Web3, en décentralisant la gestion des mécanismes d’autorité des appareils pour les protéger des attaques. La démocratisation devrait s’accompagner d’une nouvelle tendance sur le marché : 2023 pourrait être l’année de l’avènement des blockchain modulaires et permettre une meilleure interopérabilité entre plateformes. La première génération de ponts cross-chain Ethereum est concentrée à 90% sur les sidechains Polygon, Arbitrum et Optimism. Cette centralisation en fait des cibles privilégiées pour les attaquants qui parviennent à y placer des exploits et logiciels malveillants. Un nouvel avenir multichaîne se dessine permettant désormais une décentralisation et une sécurité inter-chaînes accrue. Threshold, portail privé pour Bitcoin sur Ethereum, sera lancé au premier trimestre de cette année.

IA : menace ou solution?

À cette vaste interrogation, une réponse nuancée sera de mise. « En matière de cyberattaques, nous pouvons noter la multiplication des attaques générées par l’IA. » explique Hippolyte Fouque. « L’évolution des IA génératives à l’image de ChatGPT donnent la perspective d’une utilisation malveillante de ces solutions. Il est possible d’utiliser un tel outil pour augmenter l’efficacité de l’ingénierie sociale en automatisant la collecte d’informations sur les structures visées. D’autres IA permettent aussi de générer du code malveillant, diminuant le coût à l’entrée pour les cybercriminels qui obtiennent ainsi des solutions clés en main, sans forcément détenir de connaissances techniques ». En dépit de ce constat, la capacité de calcul, la finesse d’analyse et la possibilité de réponse autonome que permet l’IA change la donne autant pour les attaquants que pour les défenseurs. Deux méthodologies coexistent. L’une basée sur l’attaquant, centrée sur les signatures, par le référencement des groupes d’attaquants connus et leurs modes opératoires afin de les détecter. Une méthodologie renforcée par l’IA supervisée mais qui connaît une importante contrepartie : elle nécessite un patient zéro. De nouvelles solutions, basées sur la défense, émergent à l’image de celle proposée par Darktrace. « L’IA nous permet une analyse fine des utilisateurs et des machines d’une organisation afin de la connaître au mieux et d’établir une norme de fonctionnement qui permettra l’identification des anomalies et attaques, même non répertoriées. Le meilleur moyen de se protéger contre une IA générative, c’est de disposer soi-même d’une IA qui connaît mieux l’organisation que l’IA offensive: l’avantage revient à celle qui aura l’algorithme le plus éprouvé. » développe Hippolyte Fouque. Ces nouvelles pratiques ouvrent sur la création de systèmes immunitaires digitaux, qui doivent s’imposer comme un modèle de résilience dès cette année selon Gartner. Pour le cabinet de conseil, la connaissance accrue des systèmes au travers des tests assistés par l’IA, l’ingénierie du chaos, la restauration automatique, l’ingénierie appliquée à la fiabilité des sites deviendra la norme. Une nouvelle architecture qui aura des effets bénéfiques sur l’activité commerciale : « d’ici 2025, les entreprises qui auront investi dans la mise en place d’une immunité numérique augmenteront la satisfaction de leurs clients en réduisant leur temps d’arrêt de 80%. » soutient Gartner.

Le management du risque poussé par NIS 2

Adoptée en fin d’année 2022, la directive européenne NIS 2 pousse le management des entreprises vers de nouveaux usages. Alors que le texte précédent se restreignait à une certaine catégorie d’acteurs, NIS 2 élargit le champ d’application et sa nomenclature, ainsi que les obligations et les sanctions. Les entités essentielles, les entités importantes, les collectivités territoriales et les acteurs de la supply chain devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. »L’obligation de gestion des risques repose sur plusieurs mesures fondées sur une approche « tous risques » parmi lesquelles figurent les politiques de sécurité des systèmes d’information. L’analyse des risques et la prise en compte des cybermenaces définie par le règlement 2019/881 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications, devra être adressé. « L’entrée en vigueur de la directive NIS 2 contribue à renforcer les exigences de sécurité et va considérablement accroître la montée en maturité de tous les acteurs européens en matière de cybersécurité. Les obligations relatives à la gestion des risques sont complétées avec une liste d’exigences imposant des mesures fortes en matière d’analyse de risques, de politiques de sécurité des systèmes d’information (évaluation de l’efficacité des mesures de sécurité en matière de gestion des risques, contrôle d’accès, gestion des actifs, etc.), de procédures de gestion de crise (réponseaux incidents, maintien de l’activité, etc.), d’utilisation d’outils cryptographiques. Lesfondamentaux en matière d’hygiène informatique et la formation en cybersécurité sont également évoqués. Et pour la première fois, enfin, NIS 2 aborde la cybersécurité de la chaîne d’approvisionnement, et l’obligation de la gestion des risques associés à ces entités tiers. La responsabilité de la direction de l’entreprise dans le respect des mesures de gestion des risques de cybersécurité est également soulignée. Tout cela, ainsi que les obligations de reporting comme de divulgation de vulnérabilités vont nécessiter de faire appel à des solutions logicielles déjà éprouvées en capacité d’accompagner les organisations dans l’appréciation et la quantification de leurs risques cyber et des mesures à prendre pour y remédier ou les atténuer, et cela en continu. Ce que nous avons développé avec EGERIE, avec peut-être une approche un peu visionnaire il y a plus de 20 ans, qui se veut aujourd’hui plus que jamais en phase avec l’actualité et les besoins des opérationnels. Par exemple, au sein de notre plateforme, nous avons ajouté à notre approche initiale qualitative de l’analyse du risque « bottom-up », une démarche « top-down » qui quantifie les pertes financières possibles. En créant une convergence des deux, nous permettons aux dirigeants de disposer d’indicateurs plus performants facilitant la définition de leurs stratégies cyber avec plus de précision. Nous partons de l’existant, de la qualification des risques issus de son existant technique qui nous parait essentielle, pour in fine quantifier ces derniers et ainsi obtenir une analyse et une maîtrise de bout en bout. » explique Jean Larroumets, fondateur et président d’EGERIE et d’ajouter : « Nous avons avec cette accélération européenne l’illustration que réglementation et innovation vont de pair et constituent les deux socles d’une réponse coordonnée et efficace pour affronter les défis mouvants de notre temps. Nous sommes déjà prêts et saurons répondre présent pour contribuer au renforcement de la cyber-résilience européenne. »

Montée en gamme de la cryptographie

En matière de cryptographie, certaines solutions semblent susciter un intérêt particulier cette année, le chiffrement homomorphe en tête. Permettant d’effectuer des calculs de données sans même avoir accès à leur contenu, ce type de chiffrement s’avère particulièrement pertinent pour la protection de données sensibles. La start–up française Ravel Technologies s’est donné pour mission de démocratiser ce mode de chiffrement qui permettra à terme la possibilité de garder les données sous protection durant leur traitement. Ces perspectives encourageantes le sont d’autant plus que ce chiffrement permettra de résister aux attaques d’un ordinateur quantique. La cryptographie post-quantique continuera de centraliser les attentions cette année, tandis que la technologie quantique avance pas à pas vers sa forme aboutie. L’ANSSI l’annonçait en janvier 2022, la cryptographie asymétrique qui couvre aujourd’hui la majorité des infrastructures numériques ne suffira plus à l’ère du quantique. L’Agence évoquait cependant en avril l’immaturité des solutions post-quantiques. Les acteurs du secteur de la cryptographie joueront ainsi un rôle décisif, pour préparer le terrain tandis que l’ANSSI débutera la distribution de visas de sécurité « post quantique » à l’horizon 2025. « Le passage à la phase de production dépendra de la vitesse de publication des standards finaux, des référentiels de certification et de l’appétence du marché. On estime par exemple qu’aux Etats-Unis, il y aura des premières mises en production dès 2024-2025.» explique Florent Grosmaitre, PDG de CryptoNext Security. Start-up née en 2019 du spinoff de l’INRIA, du CNRS et de Sorbonne Université, CryptoNext est à l’origine du pilote de messagerie sécurisée de l’OTAN sur laquelle viendra s’ajouter une surcouche de cryptographie post-quantique, ou encore de la mise en place d’un VPN interbancaire résistant au quantique mis en oeuvre par la Banque de France.

Sur le plan algorithmique, la course contre-la-montre est lancée pour savoir qui du NIST américain, de la Chine, de la Russie, des agences européennes, imposera ses standards algorithmiques. Et pour cause. « Les enjeux sont nombreux : d’abord sécuritaires puis industriels et économiques. Les discussions actuelles à l’IETF et au NCCoE sur l’hybridation des certificats X.509 portent sur plusieurs standards éventuels : formats hybrides rétro compatibles, composites ou pur post quantique. Le choix final aura un impact décisif sur la manière dont la transition sera conduite. » conclut Florent Grosmaitre.

1^ « Gartner Forecasts Worldwide IT Spending to Grow 2.4% in 2023 », Gartner, 18 janvier 2023.

2^ « Gartner Identifies Three Factors Influencing Growth in Security Spending », Gartner, 13 octobre 2022.

3^ Fortis, Savannah. « 90% of businesses adopting blockchain technology, data », Cointelegraph, 12 janvier 2023.