Cybersécurité : quelles sont les tendances pour 2022 ?

2021, une année bien chargée pour la cybersécurité

L’année n’est pas encore terminée, néanmoins un premier bilan des mois écoulés montre à quel point les attaques informatiques en tout genre ont connu une année record. Les chiffres sont vertigineux. Plus de 590 millions de dollars ont été extorqués entre janvier et juin 2021 par des ransomwares, selon un rapport du Département du trésor américain, publié le 15 octobre. Soit 170 millions de dollars de plus par rapport à l’année précédente. Et le nombre d’activités suspectes appelées en anglais « suspicious activité report » a bondi de 30 % d’une année à l’autre.

Le groupe d’informatique Acer a ainsi été victime du ransomware REvil avec une demande de rançon de 50 millions de dollars. Des attaques d’extorsion de données ont été aussi à la une de l’actualité en France au mois de septembre avec les Hôpitaux de Paris qui se sont fait dérober des informations sensibles concernant 1,4 million de patients ou encore il y a quelques mois lorsque les serveurs de Microsoft Exchange ont été touchés.

« Des cybercriminels plus intelligents et plus rapides »

S’il est encore tôt pour établir un bilan détaillé de la cybersécurité en 2021, l’Agence nationale de la sécurité des systèmes d’information (Anssi) montrait déjà qu’en 2020, le nombre d’attaques informatiques contre les entreprises et les administrations françaises avait été multiplié par quatre entre 2019 et 2020. A la vue de la multiplication des affaires de ces douze derniers mois, 2021 devrait donc connaître une accélération par rapport aux années précédents. « 2021 a été exceptionnelle et 2022 le sera tout autant avec toujours plus d’attaques et de rançons importantes », souligne Sébastien Jardin, executive security advisor pour IBM Security Corp qui retient trois grands faits qui se sont déroulés ces derniers mois : « Le continent européen a été le plus attaqué dans le monde, la vitesse grandissante de déclenchement des attaques et l’augmentation de leur complexification. » « Ce qui m’a marqué, c’est le fait de continuer à trouver des vulnérabilités de façon très importante », pointe de son côté Laurent Hausermann, engineering director IoT security chez Cisco et co-fondateur de Sentryo.

Établissements de santé, administrations, entreprises (petites et grandes) ont été concernés par des centaines d’attaques, ou encore, dans une autre version, l’affaire Pegasus mettant en lumière l’espionnage à grande échelle de smartphones de personnalités dans le monde entier. Les hackers n’ont pas fait de pause dans leur quête criminelle. 

« En 2021, les cybercriminels ont adapté leur stratégie d’attaque pour exploiter les périodes de vaccination, les élections et le passage au travail hybride. Mais aussi pour cibler les chaînes d’approvisionnement et les réseaux des organisations afin d’obtenir une perturbation maximale », a indiqué Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Le Covid et le développement du travail à distance ont eu pour effet d’accélérer les attaques, bien que les entreprises se soient fortement adaptées et équipées depuis 2020. Seulement, elles utilisent plus d’outils et génèrent davantage de données, donc elles augmentent naturellement la surface d’attaque », affirme Florian Malecki, VP international product marketing d’Arcserve

« Nous avons vu les cybercriminels devenir plus intelligents et plus rapides à réoutiller leurs tactiques pour suivre les nouveaux schémas de mauvais acteurs – des ransomwares aux États-nations – et nous pensons qu’il en sera de même en 2022 », analysa de son côté Raj Samani, chief scientist de McAfee.

La France investit

Pour mieux se préparer aux menaces et répondre aux attaques massives toujours plus importantes, le président de la République Emmanuel Macron a annoncé il y a quelques mois le déploiement de la stratégie française en matière de cybersécurité avec un programme d’investissement doté d’une enveloppe d’un milliard d’euros. Un plan qui vise à structurer la filière, faire émerger trois licornes, multiplier par trois le chiffre d’affaires du secteur (le porter à 25 milliards d’euros) et doubler les emplois (objectif : 75 000). De plus, un campus Cyber ouvrira en janvier prochain, lieu totem de la filière regroupant sur un même site entreprises, services de l’Etat, organismes de formation, recherche et associations.

Dans cette ambiance, 2022 s’annonce bien chargée. Quelles sont alors les grandes tendances émergentes pour les mois futurs ? Les objets de plus en plus connectés augurent-ils une surface d’attaque plus grande ? La pédagogie suffira-t-elle pour éviter des attaques ?

Les tendances 2022

Pour obtenir une vision étendue des challenges à relever de l’année à venir, les experts des plus grands cabinets spécialisés en cybersécurité et des entreprises éditeurs de solutions de sécurité comme McAfee, Fireeye, Gartner, Check Point Software ont publié récemment leurs tendances 2022. En voici un résumé, avec les analyses de spécialistes :

• Ransomware

Si on ne les présente plus, les ransomwares vont perdurer encore et encore malgré les moyens déployés pour les contenir. Les attaques pourraient devenir plus sophistiquées et cibler les entreprises, de n’importe quelle taille, capables de payer une rançon, note Check Point Software dans son rapport publié en octobre.

Vous souhaitez travailler dans la cybersécurité ?

2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité

Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

BACHELOR (BAC+3)

DÉVELOPPEUR INFORMATIQUE OPTION CYBERSÉCURITÉ

En savoir +

MASTER OF SCIENCE (BAC+5)

EXPERT
CYBERSÉCURITÉ

En savoir +

Analyse : « Ce type d’attaque est loin d’être fini. Elle fonctionne toujours avec une filière criminelle qui s’est organisée et professionnalisée », souligne Xavier Michaud, senior manager au sein d’Almond Consulting, acteur de la cybersécurité en France. « La croissance des rançons logiciels a été très importante du fait, entre autres, du télétravail et de la vulnérabilité des salariés isolés chez eux et sans collègue à proximité. Si bien que ces attaques ne sont pas prêtes de s’arrêter », observe Laurent Hausermann.

• Fuite de données

Elles devraient ne pas s’arrêter en si « bon » chemin, bien au contraire et plutôt même augmenter, selon Check Point Software. « Les failles seront également plus impactantes et plus coûteuses pour les organisations et les gouvernements touchés », indique l’entreprise installée en Californie.

Analyse : « Souvent, c’est l’humain qui est attaqué avant même l’informatique. Il est beaucoup plus facile de faire installer un logiciel espion sur un ordinateur par une personne en lui faisant croire quelque chose, que de dépenser énormément d’énergie à trouver une hypothétique vulnérabilité. Donc le phishing a encore de grandes heures devant lui. Les vulnérabilités type top 10 OWASP ne devraient pas non plus être détrônées. Ça reste des « bugs exploitables » qui sont encore assez courants », remarque Corinne Henin, experte en cybersécurité.

Xavier Michaud le confirme : « Nous réalisons des campagnes de phishing pour nos clients et cela fonctionne toujours. Il y a toujours une personne au sein d’une organisation qui clique sur quelque chose qu’elle ne devrait pas faire. »

• Crypto-monnaies

Malheureusement, les criminels devraient s’attaquer plus largement aux monnaies virtuelles dont le développement ne cesse de progresser partout dans le monde.

• Appareils mobiles, applications, 5G

Si les crypto-monnaies ont le vent en poupe, les moyens de paiement sur smartphone également. En 2022, les appareils mobiles seront encore dans le viseur des pirates. Une tendance relevée par Check Point. L’éditeur avait d’ailleurs montré en 2020 que « 97 % des entreprises avaient été confrontées à des menaces mobiles utilisant plusieurs vecteurs d’attaque ». Sans oublier que le travail à distance à mis en évidence l’augmentation de la surface d’attaque. Conséquence : les menaces se sont démultipliées.

McAfee-Fireeye indiquent aussi qu’avec la 5G et l’IoT, les applications et les services ciblés vont devenir (très) lucratifs. Le cabinet Gartner le prédit également. Le télétravail engage un défi de taille en matière de sécurité pour les entreprises et demande alors une consolidation importante des systèmes de sécurité existants.

Analyse : « Qui dit plus de périphériques branchés sur internet dit effectivement une surface d’attaque plus grande. Chaque périphérique accessible offre un point d’entrée, donc les opportunités d’infiltration sont effectivement de plus en plus grandes. Par contre, il est tellement plus facile de faire du phishing que je ne pense pas que ça soit plus exploité que ça ne l’est actuellement, analyse de son côté Corinne Henin. Pour les objets connectés, chaque modèle devant être étudié individuellement pour trouver une hypothétique vulnérabilité que ce n’est pas très rentable pour les pirates. La 5G ne va pas changer grand chose. » Sébastien Jardin d’IBM estime pour sa part que « le fait qu’il y ait plus de digital, de services numériques (cloud, SaaS, travail à la maison, etc.), d’objets connectés augmentent forcément les attaques ».

• Cloud

Dans le cloud, les vulnérabilités sont nombreuses, si bien que les cybercriminels vont utiliser ses failles à mauvais escient afin de lancer des attaques massives.

Analyse : « Le cloud a de nombreux avantages (flexible, innovant, etc.), toutefois, il tend à se standardiser. Une aubaine pour les attaquants qui peuvent tester leurs attaques sur des solutions justement standardisées », prévient Sébastien Jardin.

• Deepfake

C’est l’une des menaces fortes pour 2022, la technologie deepfake (il s’agit d’une vidéo ou d’un enregistrement audio réalisé ou modifié par l’intelligence artificielle pouvant être utilisé pour la création de faux contenus, mais rendus crédibles) pourrait être davantage déployée afin de manipuler des populations ou obtenir des autorisations pour accéder à des données confidentielles ou sensibles. Manipulation, désinformation et diffamation font craindre le pire, notamment en matière de déstabilisation internationale.

Analyse : « Les attaques de cette manière vont empirer, on l’a déjà constaté cette année, explique Xavier Michaud d’Almond. Aux entreprises de s’en prémunir avec la mise en place de garde-fous avec des procédures de double validation par exemple. »

• Supply chain

Les attaques sur les chaînes d’approvisionnement devraient perdurer au grand dam des entreprises et des administrations, relève l’entreprise de logiciel américaine. Ses experts prévoient qu’elles « seront même plus courantes », ce qui va obliger les gouvernements à réagir et à prendre des mesures comme envisager la coopération entre États et avec des organisations privées.

Analyse : « Les vulnérabilités au niveau de la chaîne d’approvisionnement sont devenues un objet de convoitise pour les attaquants », indique Kevin Bocek, VP of Security Strategy pour Venafi dans un texte publié sur le site Global Security mag. Et Laurent Hausermann d’ajouter : « Plus on innove, plus il y a des vulnérabilité. On le voit sur la supply chain où des attaquants ne vont pas se confronter à des entreprises équipées en matière de sécurité informatique, mais plutôt privilégier leurs fournisseurs qui peuvent posséder des données confidentielles : experts-comptables, avocats, etc. »

• Réseaux sociaux

Pour McAfee et FireEye, les attaquants vont continuer à investir ce type de canaux pour infiltrer des organisations et des entreprises par l’intermédiaire de faux profils. Une manière ainsi d’appâter des victimes très facilement. De plus, les campagnes de désinformation et de fake news (colporter sur les réseaux sociaux) seront encore à l’origine de pratiques de phishing de masse ou d’arnaques, souligne dans ses prédictions Check Point. Ce qui a été le cas par exemple avec de faux certificats de vaccination cette année.

Se protéger en 2022 : entre pédagogie et innovations

Si toutes ses tendances ne font que confirmer la puissance des cybercriminels, pour Corinne Henin, 2022 ne devrait toutefois pas beaucoup changer par rapport à ce qu’il s’est passé en 2021. Pour deux raisons : « Au niveau étatique, tant que la diplomatie fait son travail et que la « guerre froide » informatique et les « mines » posées par les États contre les autres États ne sont pas utilisées. Le phishing et donc les ransomwares et les menaces RGPD continueront à frapper les entreprises et les administrations tant que le cloisonnement et l’importance de faire des sauvegardes ne seront pas entrés dans les mœurs. Il y a peut-être un risque pour les objets connectés, mais c’est sous-exploité actuellement tant que le reste est beaucoup plus rentable (en énergie dépensée vis-à-vis de l’argent récupéré). »

Également experte judiciaire près la cour d’appel de Montpellier, Corinne Henin pense plutôt « que le gros changement des années à venir sera une professionnalisation et une spécialisation des pirates. C’est en cours et cela devrait s’achever dans les prochaines années. » Une professionnalisation des attaquants que note également Laurent Hausermann : « Il ne faut pas penser que les pirates informatiques agissent seuls dans leurs chambres. Bien au contraire, la tendance est à la structuration avec la création d’une filière crime as a service. Autrement dit, des personnes développent des logiciels criminels en mode SaaS, vont les vendre à d’autres, qui s’en serviront pour mener des attaques, et prenant au passage une commission. »

Prise de conscience

Pour se défendre et anticiper toute attaque, « plus de rigueur et de sobriété », comme le rappelle Corinne Henin, doivent désormais être prises en compte par les organisations privées et publiques. Ce qui traduit en particulier par l’éducation aux bonnes pratiques. « Ne pas cliquer sur tout et n’importe quoi, avoir des mots de passe différents suivant les sites internet, protéger sa boîte mail avec un dispositif de multi-factor authentication (MFA), etc. Tout cela doit être pris en compte par tout le monde. Aujourd’hui, ce n’est plus tant de savoir si on sera attaqué, mais plutôt quand », prévient Xavier Michaud. « Une grande part d’entreprises et d’établissements publics n’est pas encore à niveau en matière d’hygiène informatique. Peut-être assisterons-nous à ce que la prise de conscience soit transmise par les grands groupes qui exigeront des critères de sécurité à leur partenaire. Face à un impératif business, la prise de conscience surviendra peut-être alors », remarque Laurent Hausermann de Cisco.

Et une rigueur qui s’appuie aussi sur des innovations qui vont continuer à émerger comme un meilleur contrôle des identités grâce des technologies nouvelles ou encore un renforcement de la confidentialité des données par des techniques de calcul d’un nouveau genre. Selon le cabinet Gartner, d’ici à 2025, 60 % des grandes entreprises devraient utiliser une ou plusieurs technologies de ce type. Toutefois pour Ramyan Selvam, systems engineer chez Juniper, « si les entreprises auront aussi de plus en plus tendance à renforcer leur protection, elles montrent par ailleurs la volonté de mieux utiliser ce qu’elles ont déjà ». Quand certaines remettent au goût du jour la bonne veille cassette de sauvegarde des données. « On observe un retour aux fondamentaux avec la réintroduction de la bande cassette qui, pour le coup, n’est connectée à réseau réseau », constate Florian Malecki.

A tout cela s’ajoute le recrutement massif de responsables de la sécurité des systèmes d’information (RSSI) et de dirigeants ou managers mieux formés au risque. Sébastien Jardin constate que ces clients (une majorité de grands groupes) sont par exemple de plus en plus volontaires à être informés sur la façon de se protéger, à vouloir comprendre, à s’entraîner et à se préparer. « Nombreuses sont les demandent provenant des comités de direction, ce qui est positif. »