Bonne Lecture.
Après une année où l’on a vu des failles majeures apparaître, comme chez Home Depot ou Sony, ou encore des vulnérabilités informatiques répandues à grande échelle, au sein de certains logiciels, à la plus grande joie d’ailleurs des Heartbleed et Shellshock, il est facile de deviner que la sécurité informatique sera un sujet brûlant en 2015.
Vous trouverez ci-dessous, les 10 points qui auront un impact certain en 2015, mais aussi au-delà.
Le traitement des exploits a fortement réduit l’efficacité de certaines vulnérabilités
Les attaques basées sur l’internet des objets, sont passées du stade de prototype à celui de risques bien réels
Le cryptage devient un standard, mais cela ne plait pas à tout le monde !
De nombreuses failles concernant des logiciels grand public, ont échappés à la vigilance de l’industrie de la sécurité informatique ces 15 dernières années.
Les réglementations en vigueur obligent à un renforcement des règles de divulgation et de responsabilisation, surtout en Europe.
Les hackers prennent pour cible de plus en plus les systèmes de paiement mobile, cependant leur domaine de prédilection reste le paiement traditionnel.
Le manque de compétences continue de s’accroître : la formation et l’éducation restent la priorité.
Les services d’attaque et les kits d’exploits voient le jour pour les mobiles et autres plateformes.
Le décalage entre ICS/SCADA et la réalité de la sécurité informatique ne fait que croître.
Le potentiel de certains Rootkits et autres Bots, peuvent donner naissance à de nouveaux vecteurs d‘attaque.
Les cybercriminels se sont régalés pendant des années, grâces à Microsoft Windows. Heureusement, Microsoft a investi dans la réduction des exploits, qui rend le codage d’attaques plus compliqué. Ainsi, avec les difficultés croissantes au niveau de l’exploitation, certains hackers se sont tournés vers l’engineering social, et nous voyons aussi de plus en plus de pirates prendre pour cible des plateformes non-Microsoft.
En 2014 nous avons pu nous rendre compte que les fabricants d’équipements connectés (faisant partie de ce que l’on appelle l’internet des objets), n’ont pas réussi à implanter le minimum de sécurité informatique requis. Ainsi, les attaques ayant pour cible ces équipements, ont des chances d’avoir un impact plutôt important, au niveau du grand public. Le monde de la sécurité informatique doit absolument évoluer, pour prendre en compte l’univers de l’Internet des Objets.
La prise de conscience croissante de l’importance de la sécurité informatique et de la confidentialité, du fait des récentes révélations concernant, d’une part l’espionnage pratiqué par les agences de renseignements, et d’autre part, les failles de sécurité majeures, le cryptage devient finalement une sorte de standard par défaut. Certaines organisations comme les services de Police, les agences de renseignements ne se réjouissent pas de cette tendance, sous prétexte que cela pourrait impacter négativement la sécurité.
De Heartbleed en passant par Shellshock, il est clair aujourd’hui que de nombreux codes, non sécurisés, sont largement utilisés au sein de nos équipements. Les évènements survenus en 2014 ont largement motivés les cybercriminels à s’intéresser, à l’avenir, à des logiciels ou des systèmes délaissés jusqu’à présent. Ainsi, nous vous conseillons fortement d’adapter votre stratégie de sécurité informatique.
Les lois bougent doucement par rapport à la technologie et au monde de la sécurité informatique, mais des changements de réglementation importants, qui étaient en préparation, sont en train de se mettre en place. Il est probable que ces derniers vont déclencher une prise en compte, via une réglementation progressive, de la protection des données dans d’autres domaines de compétences.
Les systèmes de paiement mobiles étaient au centre des discussions en 2014, après le coup d’éclat d’Apple avec Apple Play. Ainsi, les cybercriminels vont certainement se penchés sur les potentielles failles au sein de ces systèmes. Cependant la conception actuelle de ces derniers comporte des fonctionnalités en terme de sécurité plutôt efficace. Ainsi, les cybercriminels devraient continuer, encore pour un moment, à prendre pour cible les moyens de paiement traditionnels, tels que les cartes de crédit, dans la mesure où ces derniers restent aujourd’hui des cibles plus faciles.
La technologie fait partie intégrante de nos vies aujourd’hui. Elle représente un pilier à part entière de notre économie globale. Ainsi, le manque de compétences, en matière de sécurité informatique, devient de plus en plus critique, et est enfin reconnu, à présent, par les gouvernements ainsi que le monde de l’industrie. Ce fossé qui se creuse, est un réel problème pour certains gouvernements qui estiment pourvoir combler en 2030 seulement, leurs besoins actuels en professionnels de la sécurité informatique
Ces dernières années, la sécurité informatique a été principalement marquée par l’arrivée de produits et services, permettant de faciliter la vie des hackers. Grâce aux plateformes mobiles, et à leur popularité croissante (sans parler des données qu’elles véhiculent), il ne faudra pas longtemps avant de voir émerger des packs et autres outils, facilitant le piratage de ces équipements. Il se pourrait fortement aussi que cette tendance s’applique à d’autres plateformes, telles que l’univers des objets connectés (l’Internet des Objets), dans la mesure où ces objets sont déjà, de plus en plus, présents autour de nous.
L’ICS (Industrial Control Systems) a tout simplement 10 ans de retard, si ce n’est plus, en matière de sécurité informatique. Ces dernières années, j’avais signalé que nous verrions apparaître de nombreuses failles, plutôt sérieuses, et qui seraient utilisées par des hackers, dont les motivations oscillent entre les attaques d’état, et les attaques à but lucratif. En résumé, ce sont des domaines qui représentent un réel danger pour la plupart d’entre nous.
Nous sommes sur le point de changer les principales plateformes, et les protocoles sur lesquels nous nous étions reposés depuis quelques années. Ces changements mineurs vont amener avec eux des failles mineures, sur lesquelles les cybercriminels pourront certainement capitaliser. Nous sommes dans un processus de changement majeur des standards technologiques. Soyez très prudents donc, et surveillez de près ces vielles blessures qui pourraient se rouvrir, ainsi que ces nouvelles catégories de failles qui pourraient voir le jour.
Voici juste un aperçu …. Lisez le rapport complet (le téléchargement est gratuit, pas d’enregistrement préalable demandé) : Rapport Complet ici
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.