Dans cet article invité, Thoughtworks’ RSSI Nitin Raina et responsable de l'architecture de sécurité Nazneen Rupawalla partagent leur vision du paysage de la sécurité pour 2025, y compris les risques émergents et les nouvelles approches pour les affronter.
En tant que responsables de la sécurité, nous surveillons constamment les nouvelles menaces qui se profilent juste à l'horizon. Pour protéger notre entreprise et nos clients, nous devons garder une longueur d'avance sur les acteurs malveillants, en anticipant les risques avant qu'ils ne causent de dommages. À l'approche d'une nouvelle année, voici quelques-unes des menaces émergentes que nous observons en cybersécurité, ainsi que quelques conseils sur la meilleure façon de les contrer.
Menaces et solutions alimentées par l'IA
L'ère de l'intelligence artificielle (IA) est officiellement arrivée, et nous observons une innovation extraordinaire alimentée par l'IA des deux côtés du combat pour la sécurité. Les cyberattaques pilotées par l'IA, telles que les deepfakes et les attaques de phishing, deviennent de plus en plus sophistiquées. Ils évoluent pour mieux échapper à la détection et tromper les utilisateurs finaux. Et à mesure que l'IA elle-même mûrit rapidement, nous nous attendons à ce que ces attaques ne fassent que devenir plus efficaces.
Les deepfakes sont particulièrement préoccupants. Nous ne voyons plus seulement des vidéos trompeuses, mais des simulations complètes avec des réponses en direct et en temps réel, ce qui peut être incroyablement convaincant. Et nous sommes encore en train de rattraper notre retard en tant qu'industrie.
Tout n'est pas si sombre, cependant. L'IA offre également de nouvelles opportunités pour combattre ces dangers et d'autres. Par exemple, l'IA peut exceller dans la reconnaissance de modèles, détecter rapidement les menaces et les virus, et isoler l'activité des bots pour en minimiser l'impact. En 2025, nous prévoyons que l'IA deviendra plus puissante en tant que moyen de contrecarrer les activités malveillantes.
Mais la technologie n'est qu'un outil parmi d'autres dans notre boîte à outils. Chez Thoughtworks, une autre tactique cruciale consiste à assurer la Formation de nos employés pour accroître la sensibilisation interne aux deepfake et à apprendre comment les détecter. Par exemple, si l'un de nos employés reçoit un message vocal de quelqu'un qui prétend être notre PDG, doivent-ils croire que c'est authentique ? Ce type d'hygiène de sécurité fondamentale — être sceptique et vérifier l'authenticité — demeure une défense puissante et efficace.
Ransomware as a service (RaaS)
Récemment, nous avons observé une nouvelle tendance où les attaquants ciblent les victimes en utilisant la technologie d'autrui. Ce phénomène de « ransomware en tant que service » (RaaS) a créé un nouveau modèle commercial pour les menaces. Vous n'avez plus besoin de connaissances techniques pour mener une ransomware attack contre une Organizations ou un gouvernement ; il vous suffit de payer pour accéder à la malware strain nécessaire.
Le RaaS est l'une des raisons pour lesquelles les attaques de ransomware ont augmenté en fréquence et en impact ces dernières années. En effet, Chainalysis a découvert que le total des paiements de ransomware a atteint un niveau record en 2023, dépassant pour la première fois le milliard de dollars. Le coût moyen d'une attaque a également augmenté, le paiement moyen d'une rançon ayant plus que doublé pour atteindre près de 4 millions de dollars en 2024, selon Sophos.
La lutte contre ces attaques exigera la vigilance d'entreprises comme la nôtre, ainsi que la coopération avec, et l'attention continue des organismes d'application de la loi du monde entier.
Vulnérabilités de la chaîne logistique
Les attaquants continueront également à rechercher les points faibles de la chaîne logistique en logiciels et, malheureusement, ils auront de nombreuses occasions. Après tout, les jours où toutes les données et applications d'une entreprise se trouvaient sur des serveurs et réseaux locaux sont révolus. La migration mondiale vers le cloud a conduit à de grands progrès en productivité et en sécurité, mais elle a également introduit de nouvelles vulnérabilités.
Le recours à des outils SaaS tiers et à des API basés sur le cloud rend très difficile pour les Organizations de retracer comment les attaquants pourraient exploiter ces services, car ils sont contrôlés par des fournisseurs externes. Et comme les outils SaaS ont proliféré si largement, l'exploitation de l'un d'eux peut instantanément affecter des milliers, voire des millions, de clients.
Bien que ces attaques puissent être difficiles à prévenir entièrement, il est toujours judicieux d'évaluer le risque de tout fournisseur ou partenaire sur lequel vous pourriez compter, et de mettre en œuvre une approche Zero Trust pour renforcer constamment la sécurité de tous vos utilisateurs et de leurs terminaux.
Attaques de social engineering
En 2025, nous prévoyons la croissance continue du social engineering et des attaques de phishing, qui peuvent souvent contourner la protection de l'authentification multifacteur (MFA). L'authentification multifacteur (MFA) est certainement une pratique de sécurité intelligente, mais elle n'est pas infaillible. Les attaques de social engineering ne cesseront de se sophistiquer, imitant des conversations légitimes avec une conscience contextuelle et trompant les utilisateurs non méfiants plus efficacement que jamais auparavant.
Un exemple est Scattered Spider, un collectif lâche de hackers qui s'appuient sur des tactiques de social engineering pour contourner l'authentification multifacteur (MFA) et accéder à des données et systèmes précieux. En septembre 2023, le groupe a revendiqué la responsabilité de deux attaques de ransomware à Las Vegas, perturbant les opérations d'une douzaine d'hôtels et de casinos pendant des jours et coûtant à leurs sociétés mères plus de 100 millions de dollars.
La CISA a récemment publié un avis de cybersécurité qui comprend des recommandations sur ce que les entreprises devraient faire pour atténuer l'impact de telles activités. Mais plus que tout, nous devons nous tenir informés de leurs tactiques et adapter nos défenses tout aussi rapidement.
Gestion des risques d'initié
Bien que les cybercriminels externes nécessitent toujours une vigilance, nous ne devons pas non plus ignorer les menaces internes possibles. Nous pensons souvent que, parce que nous faisons confiance à nos employés, ils n'ont pas besoin du même niveau de protection que ceux qui sont à l'extérieur de l'entreprise. En réalité, l'essor du télétravail et la dépendance généralisée aux prestataires dans l'ensemble du secteur technologique ont introduit de nouveaux facteurs de risque qui nécessitent une attention particulière.
Encore une fois, nous vous suggérons d'adopter une architecture de sécurité Zero Trust pour traiter tous les employés et terminaux avec un niveau de prudence approprié. De cette manière, vous pouvez vous assurer plus efficacement que les bonnes personnes ont accès aux bonnes ressources au bon moment et refuser l'accès à ceux qui présentent un risque.
Conseils pour les autres CISO
Alors que nous abordons la nouvelle année, voici quelques conseils supplémentaires pour les autres RSSI cherchant à renforcer la posture de sécurité de leurs Organizations, quoi qu'il advienne :
- Investissez dans de nouveaux outils là où vous le pouvez. En général, plus vite vous pouvez détecter une menace, y répondre, la contenir, puis la corriger et la résoudre, mieux c'est. Cela pourrait nécessiter un budget et des capacités hors de portée de nombreuses entreprises. Même avec des budgets serrés, dédier une petite équipe à l'exploration et à l'établissement de capacités dans des domaines moins matures peut donner des résultats puissants. Avec une plus grande concentration et innovation dans ce domaine, nous pouvons nous attendre à ce que de nouvelles solutions rentables soient plus largement adoptées.
- Mettez en œuvre les bons contrôles de sécurité. Pour les RSSI et autres responsables de la sécurité, de meilleurs contrôles sont un excellent point de départ. Déployez les contrôles de détection et de réponse qui conviennent à la taille et à la complexité de votre Organizations.
- Passez à l'offensive. Si vous en avez les moyens, mettez en place une équipe pour traquer les menaces. Cela vous aidera à identifier les failles de vos systèmes avant que les attaquants ne le fassent. Il existe même des outils automatisés de chasse aux menaces qui peuvent aider à détecter et à prédire automatiquement les attaques.
- Effectuez des simulations avec les dirigeants. Entraînez-vous avec vos équipes les plus expérimentées afin d'être prêt à gérer un incident s'il se produit.
- Restez informé. Consommez toutes les informations de Threat Intelligence que vous pouvez obtenir des gouvernements, des organisations à but non lucratif et de vos pairs. Ces partenariats sont essentiels pour mettre en lumière de nouveaux vecteurs d'attaque, afin que vous puissiez vérifier vos propres systèmes et vous assurer que vous êtes correctement préparé.
Enfin, commencez petitement. Il est impossible d'adopter une posture de sécurité infaillible du jour au lendemain, mais des améliorations progressives peuvent vous rapprocher chaque jour. Il sera difficile de suivre les attaquants à mesure qu'ils deviennent de plus en plus audacieux et sophistiqués. Mais nous pouvons et devons faire tout ce qui est en notre pouvoir pour garder au moins une longueur d'avance.
Vous êtes intéressé par plus d'informations de la part des RSSI ? Consultez notre contenu d'experts sur la sécurisation de votre personnel étendu et l'instauration d'une culture de la sécurité.
