2023 a été une année explosive pour la cybersécurité. Le débat sur la cryptographie post-quantique s'est intensifiée, plusieurs algorithmes étant désormais à l'étude en vue d'une de normalisation par le NISTL'utilisation des appareils IoT - et avec elle, les identités des machines - a continué d'exploser, créant une pléthore de défis de sécurité, l'IA est devenue plus largement disponible que jamais auparavant grâce aux solutions d'IA générative. à une pénurie de talents en matière de sécurité, et la liste est encore longue.
L'année 2024 ne dérogera pas à la règle. En fait, nous verrons un grand nombre de ces tendances se concrétiser au cours de la nouvelle année, et de nombreux autres nouveaux défis émergeront. Pour en savoir plus sur ce qui nous attend en 2024, nous avons demandé à quatre experts en cybersécurité de Keyfactorde nous faire part de leurs prévisions. Voici ce que nous avons appris.
La cryptographie post-quantique va décoller
2024 sera l'année de la "préparation quantique" pour les organisations.
C'est peut-être une idée reçue, mais je pense que cette année sera celle de la cryptographie quantique.
Alors que les premiers candidats aux algorithmes PQC du NIST devraient être finalisés au début de l'année 2024, cela marque la ligne de départ des algorithmes post-quantiques, et non la ligne d'arrivée. C'est une bonne chose, car les organisations devront procéder à des tests et à une planification importants pour adopter les nouveaux algorithmes. de tests et de planification pour adopter les nouveaux algorithmesCes derniers sont en effet complètement différents de ceux utilisés actuellement dans la cryptographie asymétrique.
En 2024, les organisations doivent commencer à planifier et à tester l'adoption de ces nouveaux algorithmes et à évaluer le degré de préparation de l'ensemble de leur chaîne d'approvisionnement. À partir de ce moment, il sera impératif que les évaluations de sécurité et les audits des fournisseurs commencent à prendre en compte la cryptographie post-quantique.
- Chris Hickman, responsable de la sécurité à Keyfactor
Le protocole sera normalisé par le NIST, ce qui entraînera une accélération du développement.
Keyfactor est suit de près la normalisation des algorithmes et sera prêt à soutenir les organisations dans leur transition vers les nouvelles normes, y compris PKI et les solutions de signature qui utilisent les algorithmes PQC, peu de temps après leur finalisation par le NIST.
En particulier, avec FIPS 204 Dilithium/ML-DSA, nous ne travaillons pas seulement sur software mais nous intégrons également les fournisseurs de HSM. Keyfactor sera le premier à proposer des produits quantiques prêts à la production une fois que la norme FIPS 204/ML-DSA sera finalisée.
D'une manière générale, lorsque les normes seront enfin publiées, l'année 2024 verra les fournisseurs de produits et les organismes de normalisation se précipiter dans le développement, et ce sera l'année où les solutions PKI et de signature prêtes pour le quantique seront déployées en production.
- Tomas Gustavsson, directeur général de PKI à l'adresse suivante Keyfactor
La croissance constante du site IoT posera des problèmes de sécurité permanents.
Les identités des machines - et les problèmes de sécurité qui en découlent - vont continuer à exploser.
Le nombre d'identités de machines continuera à proliférer en 2024. De nombreuses organisations connaissent une une croissance significative des appareils IoT qui nécessitent des connexions réseau. Souvent appelée OT pour IoT, cette nouvelle vague d'appareils continuera à faire augmenter le nombre total d'appareils et de points d'extrémité connectés.
Il va sans dire que vous ne pouvez pas traiter ces appareils avec moins d'attention et de sécurité que n'importe quel autre appareil. Malheureusement, nombre de ces appareils n'intègrent pas de protocoles sophistiqués pour automatiser la gestion de leurs identités. plateforme de gestion du cycle de vie de l'identité des machines.
- Chris Hickman, responsable de la sécurité à Keyfactor
Le risque que les attaquants utilisent IoT dans la cyberguerre va se concrétiser.
De nombreux terminaux peuvent être utilisés dans des attaques s'ils ne sont pas correctement sécurisés. Pour certains de ces appareils grand public intelligents, les entreprises qui devaient réduire les coûts au cours du processus de conception peuvent avoir supprimé certaines fonctions de sécurité. Il s'agit donc d'un point sur lequel tout le monde doit rester vigilant.
Si l'on examine de plus près l'espace de sécurité IoT , les fabricants devront sérieusement explorer la cryptographie post-quantique pour les dispositifs IoT qui ont une longue durée de vie.
- Ellen Boehm, vice-présidente exécutive de IoT Strategy and Operations à l'adresse suivante Keyfactor
Des réglementations qui semblaient encore lointaines deviendront réalité en 2024.
Le programme de labellisation "U.S. Cyber Trust Mark" de l'administration Biden "programme de labellisation "U.S. Cyber Trust Markconçu pour aider les Américains à choisir plus facilement des appareils intelligents plus sûrs et moins vulnérables aux cyberattaques, devrait être lancé en 2024.
Il s'agit sans aucun doute d'un pas dans la bonne direction, car nous reconnaissons l'existence d'une lacune dans la sensibilisation à la cybersécurité et nous devons faire en sorte que les consommateurs soient davantage conscients des risques. Tout comme les consommateurs attendent un certain niveau de qualité et de sécurité des produits qu'ils achètent, ils ont les mêmes attentes en ce qui concerne la sécurité intégrée dans les technologies de la maison intelligente et les appareils connectés. à l'intérieur des technologies domestiques intelligentes et des appareils connectés qu'ils choisissent d'utiliser. qu'ils choisissent d'utiliser. Comme pour tout nouveau programme, il y aura des itérations, mais il est important d'avoir cette conversation pour que nous puissions commencer à progresser et à sensibiliser davantage les consommateurs américains au niveau national.
- Ellen Boehm, vice-présidente exécutive de IoT Strategy and Operations à l'adresse suivante Keyfactor
L'impact tant attendu de l'IA va se faire sentir - les bons et les mauvais côtés
L'IA va commencer à avoir un impact réel sur la cryptographie.
Selon moi, le plus grand avantage de l'IA est de réduire le "travail" global nécessaire pour casser la cryptographie. L'IA pourrait également être utilisée pour identifier efficacement des modèles dans les données ou réduire le "bruit" global qui peut être présent pour casser les clés. Par exemple, la combinaison d'un ordinateur quantique suffisamment puissant et de l'IA pourrait être utilisée pour réduire le nombre de candidats potentiels pour les attaques contre les clés.
- Chris Hickman, responsable de la sécurité à Keyfactor
L'IA jouera un rôle important dans la sécurité du site IoT - pour le meilleur et pour le pire.
L'IA peut être utilisée pour le développement de codes ou la conception de produits afin de faire progresser le développement des produits IoT et de lancer plus efficacement de nouveaux concepts.
D'un autre côté, l'IA facilitera tellement le décryptage des implémentations faibles des algorithmes qu'il n'y aura pas d'autre choix que d'utiliser des éléments sécurisés ou des MCU sécurisés pour exécuter les algorithmes cryptographiques et d'utiliser des implémentations fortes de ces algorithmes sur le site software , comme par exemple Bouncy Castle pour les serveurs, les HSM et les Objets de confianceTO-Protect pour les MCU.
- Ellen Boehm, vice-présidente exécutive de IoT Strategy and Operations à l'adresse suivante Keyfactor
L'utilisation généralisée de l'IA créera davantage d'opportunités, tout en posant de sérieuses questions sur ce en quoi nous pouvons avoir confiance.
Comme toute technologie de rupture, l'IA est une arme à double tranchant. L'IA existe depuis longtemps, mais la différence tient en un mot : disponibilité. Toute nouvelle technologie est initialement coûteuse, n'est pas largement disponible et est parfois trop complexe pour le commun des mortels. L'IA générative et les grands modèles de langage ont été les accélérateurs qui ont permis de surmonter ces obstacles, rendant l'IA abordable, utilisable et accessible à tous au cours de l'année écoulée. C'est là que les problèmes se posent.
Il n'existe pas (encore) de norme sur la manière dont l'IA doit être utilisée, sur ce à quoi l'IA doit avoir accès et sur la manière d'éviter les abus. L'IA peut être un copilote ou un assistant pour les équipes de cybersécurité, en les aidant à travailler plus efficacement et à mieux comprendre le flot d'alertes et d'avertissements qu'elles reçoivent quotidiennement.
D'autre part, l'IA peut être utilisée pour produire des images ou des vidéos frauduleuses, accélérer la production de logiciels malveillants ou même porter les attaques DDoS à un niveau supérieur en permettant à des robots dotés d'IA de faire le sale boulot. L'un des domaines qui nous préoccupe le plus est celui de l'authenticité du contenu et du code. Dans un monde où l'IA est accessible à tous, comment savoir si une image ou une vidéo a été produite par un humain ou par l'IA, comment savoir si elle a été augmentée, comment savoir quand et où elle a été prise ? Toutes ces questions sont importantes, en particulier dans le contexte des conflits récents, qui ont soulevé des questions sur l'authenticité et montré les dangers de la désinformation potentielle ou même de la désinformation par le biais de contenus qui se répandent comme une traînée de poudre sur les médias sociaux. Les signatures numériques sont l'une des meilleures méthodes actuelles pour prouver l'origine et l'authenticité des images et des vidéos.
Il en va de même pour le développement sur le site software . Si les équipes renforcent le développement avec l'IA, comment connaître la source de votre code ? Comment savoir s'il a été altéré ou modifié ? Là encore, les signatures numériques sont l'un des meilleurs outils dont nous disposons actuellement pour prouver l'intégrité et l'authenticité du code.
Tous ces éléments - qu'il s'agisse d'images, de vidéos ou de software - constituent une propriété intellectuelle qui doit être protégée. Nous vivons aujourd'hui dans un monde où nous ne pouvons pas nous fier immédiatement à ce que nous voyons et entendons : Tout doit être vérifié. L'authenticité est la clé pour l'authenticité est la clé pour établir la confiance dans un monde qui ne l'est pas.
- Ryan Sanders, directeur principal du marketing produit et client chez Keyfactor
PKI devra évoluer en même temps que les technologies post-quantique, l'IA et d'autres technologies.
La sécurité des clés cryptographiques a été l'un des principaux défis de 2023, et cette tendance se poursuivra en 2024.
Rétrospectivement, le plus grand défi de l'année écoulée reste la sécurité des clés. En 2023, un certain nombre d'incidents sont survenus à la suite du vol ou de la compromission de clés. Ces incidents ont entraîné la diffusion de logiciels malveillants, l'accès non autorisé à des réseaux et la divulgation de dizaines de milliers de courriels gouvernementaux sensibles. La tendance au vol de clés et à leur utilisation à des fins malveillantes devrait se poursuivre au cours de l'année à venir.
- Chris Hickman, responsable de la sécurité à Keyfactor
La confiance zéro sera la principale priorité PKI pour les organisations et les responsables de la sécurité, mais il ne sera pas facile d'y parvenir.
La confiance zéro En 2024, la confiance zéro sera au cœur des préoccupations de nombreuses organisations. Cependant, le champ est si vaste que ces organisations auront du mal à définir les éléments les plus importants de la confiance zéro. De plus, pour des composants comme les conteneurs et Kubernetes, il existe tellement d'options différentes pour atteindre le même objectif qu'il est difficile de trouver les meilleures pratiques, et il y a un risque de solutions ponctuelles ad-hoc qui ne sont pas efficaces à long terme.
- Tomas Gustavsson, directeur général de PKI à l'adresse suivante Keyfactor
Les solutions ponctuelles exacerberont l'étalement urbain sur le site PKI .
PKI étalement continuera d'être un casse-tête en raison du besoin accru de PKI, des connaissances et des effectifs limités pour soutenir PKI dans les organisations, et des nombreuses solutions ponctuelles qui apparaissent sur le marché. Ces solutions ponctuelles répondent à des besoins spécifiques à court terme, mais ne tiennent pas compte de l'efficacité organisationnelle et manquent de compétences pour soutenir la gouvernance à l'échelle de l'organisation pour les composants de sécurité critiques.
- Tomas Gustavsson, directeur général de PKI à l'adresse suivante Keyfactor
La pénurie de talents en matière d'informatique et de sécurité persistera en 2024.
Le fossé le fossé des talents continue de se creuserLes années 2010 et 2024 montreront la véritable pression exercée sur les organisations par le manque d'actualisation des compétences du personnel chargé de la sécurité informatique.
Grâce à l'assouplissement des conditions de travail, les travailleurs qualifiés peuvent désormais travailler pour pratiquement n'importe quelle entreprise sur la planète, ce qui pose un énorme problème aux organisations situées en dehors des grandes zones métropolitaines et à celles qui ne peuvent tout simplement pas payer les salaires de ces professionnels command.
Si l'on ajoute à cela les nouvelles préoccupations liées à des éléments tels que la migration vers la cryptographie quantique et l'IA/ML, les organisations auront besoin d'un plus grand nombre de personnes pour rester en sécurité. Or, le marché du travail n'est tout simplement pas en mesure de répondre à ce besoin.
- Chris Hickman, responsable de la sécurité à Keyfactor
