La fin de l'année approchant, c'est le moment idéal pour examiner ce qui attend les entreprises en matière de cybersécurité en 2019. Alors que les violations de données continuent de poser des menaces de sécurité dans tous les secteurs, il est plus important que jamais de planifier des améliorations opérationnelles tout en prenant de l'avance sur les risques les plus récents.
J'ai récemment participé à un webinaire avec d'autres experts en cybersécurité organisé par l'Association pour la sécurité des systèmes d'information (ISSA) sur les tendances à surveiller en matière de cybersécurité en 2019 :
- Informatique quantique
- IoT l'insécurité
- IoT sécurité
- L'informatique dématérialisée et la conteneurisation
Voici pourquoi vous devriez être sur vos gardes face à ces tendances émergentes en matière de cybersécurité en 2019 - et comment votre entreprise peut s'y préparer.
Tendance n° 1 : l'informatique quantique et la cryptographie
Au cours des deux dernières décennies, nous avons considéré l'informatique quantique comme une menace de l'avenir qui n'est pas encore devenue une préoccupation à court terme, mais cette perspective est en train de changer.
Bien que les délais varient, la plupart des experts dans ce domaine prévoient aujourd'hui que l'informatique quantique deviendra viable entre 2024 et 2030. L'impact potentiel sur la cryptographie est immense : Le NIST signale que si des algorithmes tels que AES et SHA-2 seront "blessés" - c'est-à-dire affaiblis mais récupérables avec des sorties ou des tailles de clés plus importantes - les algorithmes asymétriques sur lesquels reposent RSA et ECC deviendront effectivement non sécurisés et non récupérables, même avec des tailles de clés plus importantes.
Quantum mis à part, tous les algorithmes cryptographiques finiront par devenir inefficaces. La planification et l'exécution réussie sont plus complexes que le simple audit et l'ajustement. Il faut à la fois une préparation méthodique et une piste d'élan.
Qu'est-ce que cela signifie ?
- La cryptographie que vous déployez aujourd'hui ne sera plus sûre à l'avenir. Cela a un impact particulier sur les appareils IoT qui peuvent rester sur le terrain pendant de longues périodes.
- La nécessité d'une crypto-agilité complète commence dès maintenant.
Le principe de base d'une position crypto-agile est de savoir ce que l'on a et comment fournir des mises à jour sécurisées à grande échelle. Pour commencer, prenez en compte les éléments suivants :
- Sachez ce que vous avez : Réunissez et tenez à jour votre inventaire de certificats. En ce qui concerne les certificats, sachez combien vous en avez, où ils se trouvent, à quoi ils servent et quand ils expirent.
- Élaborer des plans d'intervention : Définissez les actions et créez les processus que vous devrez mettre en œuvre si et quand des événements cryptographiques se produisent - expiration des certificats, rupture d'algorithme, violation de la racine publique et percée quantique.
Tendance n° 2 : IoT Insécurité des appareils
Il ne fait aucun doute que 2018 a été une mauvaise année pour la sécurité de IoT , et malheureusement, 2019 sera probablement pire, avec davantage d'appareils envoyant des données et permettant des connexions.
IoT offre un potentiel énorme, mais il impose la nécessité d'une ingénierie de sécurité solide à un groupe d'architectes, d'exécutants et de praticiens qui n'ont pas l'habitude de penser de cette manière. En outre, les compétences en ingénierie cryptographique sont rares et coûteuses. Et dans de nombreux cas, l'aspect économique ne permet pas de percevoir la valeur d'une sécurité supplémentaire - les marges sont souvent faibles et les clients ne veulent pas payer un supplément pour la sécurité (mais s'attendent à ce qu'elle soit présente).
Créer une base sécurisée dès le début de la fabrication est une question de bon sens. C'est au cours de la phase de conception que l'on souhaite intégrer la cryptographie, l'identité numérique contraignante, de manière à ce qu'elle soit inhérente à l'appareil. Lorsque le micrologiciel est conçu correctement, il devient extensible à tous ceux qui font partie de l'écosystème de l'appareil, de sorte que la communication bidirectionnelle non seulement fonctionne, mais maintient la sécurité de chaque appareil engagé.
Les fabricants d'appareils doivent s'efforcer de contrôler les risques, et les utilisateurs d'appareils doivent faire de même. Lorsque ces pratiques deviennent la norme, l'insécurité des objets se transforme en ce que IoT est censé être.
Tendance n° 3 : Nouvelles normes de sécurité IoT
Bien que la sécurité du site IoT ait été mise à mal cette année, il y a encore de l'espoir pour une amélioration.
Les organismes gouvernementaux et d'autres organisations ont commencé à publier davantage de lignes directrices, de réglementations et de meilleures pratiques concernant la sécurité sur le site IoT . Des lois et des propositions de lois se profilent à l'horizon pour aider à contrer le problème de "l'économie de la sécurité" décrit plus haut.
En outre, les secteurs de l'automobile et des soins de santé prennent la sécurité plus au sérieux, reconnaissant que des dispositifs médicaux ou des véhicules non sécurisés peuvent entraîner des décès. Ces deux secteurs ont été blessés par des violations antérieures et font passer la conception et la sécurité des dispositifs à la génération suivante.
Comme de plus en plus d'industries suivent l'exemple de l'automobile et des soins de santé, nous verrons la sécurité de IoT devenir une priorité plus importante.
Tendance n°4 : Cloud-First et conteneurisation
En 2019, nous pouvons nous attendre à une approche de la gestion de PKI davantage axée sur le cloud et la conteneurisation.
La sécurité numérique dans l'informatique dématérialisée favorise l'agilité et la transformation. Dans un environnement collaboratif, il est plus facile de détecter les menaces et d'y répondre à l'échelle mondiale. En outre, la sécurisation des données peut contribuer à modifier le comportement des utilisateurs finaux. Et si ces avantages ne suffisent pas, la gestion de l'entreprise PKI dans le nuage est une méthode privilégiée par de nombreuses organisations car elle permet d'externaliser le processus en tant que service géré.
Nous assistons également à une augmentation de la conteneurisation, une alternative légère à la virtualisation complète de la machine qui consiste à encapsuler une application dans un conteneur avec son propre environnement d'exploitation. Les conteneurs permettent à software de fonctionner de manière plus fiable lors du transfert d'un environnement à un autre en éliminant les limitations des divers systèmes d'exploitation et la fragmentation de l'infrastructure. Il s'agit souvent d'une approche plus rentable qui permet à une entreprise d'utiliser ses ressources en nuage de manière plus dense.
Se préparer aux nouvelles tendances en matière de cybersécurité en 2019
En somme, les organisations seront plus que jamais mises au défi de protéger leurs identités l'année prochaine et les années suivantes. Bien que ces tendances puissent nous mettre mal à l'aise, leur mise en évidence n'a pas pour but d'effrayer qui que ce soit. En tant que directeur technique, mon travail consiste à regarder l'horizon de l'industrie et à élaborer des solutions pour répondre aux besoins les plus importants.
Que vous soyez un fabricant d'appareils IoT ou une organisation qui doit protéger les identités numériques dans l'ensemble de son entreprise, nous avons de nouvelles capacités et de nouveaux cas d'utilisation à partager. Pour en savoir plus, rendez-vous sur le site www.keyfactor.com ou assistez à mon récent webinaire.
