Quelque chose ne va pas dans le paysage de la cybersécurité des entreprises. Dans l'ensemble, les organisations consacrent des sommes de plus en plus importantes à la lutte contre les cybercriminels. En 2018, les dépenses internationales en matière de cybersécurité pourraient atteindre 96 milliards de dollars, selon Gartner, soit une augmentation de 8 % par rapport à 2017.
Le nombre de violations de données monte également en flèche. En 2017, il y a eu plus de 1 579 violations divulguées publiquement aux États-Unis, selon l'organisation à but non lucratif Identity Theft Resource Center. Il s'agit d'une augmentation de 44,7 % par rapport aux 1 091 atteintes à la sécurité des entreprises en 2016. Le coût de ces cyberattaques est également en hausse. Selon une étude réalisée en 2018 par le Ponemon Institute, le coût total moyen d'une violation de données dans le monde s'élève à 3,86 millions de dollars, soit 6,4 % de plus que l'année précédente.
Les causes de l'augmentation simultanée des dépenses des entreprises en matière de cybersécurité et des violations de données sont multiples, mais l'une d'entre elles est fondamentale : Les équipes de cybersécurité de nombreuses entreprises ont du mal à suivre le rythme du climat de risque moderne. En un mot, les cybercriminels dans leur ensemble dépassent la capacité des entreprises à les contrecarrer. De nombreux chefs d'entreprise multiplient les initiatives numériques tout en exigeant des professionnels de la cybersécurité qu'ils suivent le mouvement. En outre, à mesure que l'adoption de l'internet des objets (IoT ) progresse, un nombre croissant de professionnels de la cybersécurité doivent désormais se préoccuper de la gestion des identités de milliers de nouveaux points d'extrémité du réseau. Qui plus est, nombre de ces dispositifs IoT sont conçus pour avoir une longue durée de vie. Il n'est pas rare que les équipements industriels et les appareils médicaux soient utilisés pendant une décennie ou plus. Lorsque ces appareils sont livrés avec la fonctionnalité IoT , cela signifie que même s'ils sont raisonnablement sécurisés aujourd'hui, ils pourraient ne plus l'être en 2028. De plus, de nombreux appareils IoT ont une puissance de calcul limitée, ce qui rend difficile leur mise à jour cryptographique sans une planification préalable suffisante. Il n'est pas étonnant que l'étude 2018 Cost of a Data Breach du Ponemon Institute ait révélé que les organisations qui utilisent beaucoup les appareils IoT ont tendance à subir des violations plus dommageables (coûtant 5 $ de plus par enregistrement compromis) que celles qui ne dépendent pas des appareils IoT . Dans le cas d'une violation à petite échelle impliquant un nombre limité de fichiers, la différence peut être minime. Mais dans le cas d'une infraction entraînant la perte de milliers ou de millions de fichiers, la différence peut rapidement devenir coûteuse. En revanche, les entreprises qui utilisent largement l'automatisation de la sécurité subissent nettement moins de dommages que celles qui ne le font pas. Selon l'étude Ponemon, le coût moyen pour une organisation dans le premier camp est de 2,88 millions de dollars. Pour les autres, le coût moyen est de 4,43 millions de dollars.
Ce qui complique encore les choses, c'est que la puissance de la cryptographie établie a tendance à diminuer avec le temps. Il y a plusieurs raisons à cela. Les chercheurs en sécurité peuvent découvrir des failles cryptographiques dans des systèmes que l'on croyait robustes. Et même lorsque les chercheurs découvrent une faiblesse dans un algorithme de chiffrement standard, la transition vers un algorithme mis à jour peut prendre du temps. Regardez ce qui s'est passé avec le Secure Hash Algorithm 1 (SHA-1), qui a été découvert en 2005. Près d'une décennie plus tard, l'algorithme était encore fréquemment utilisé. Au premier semestre 2014, neuf certificats SSL sur dix sur l'internet utilisaient encore SHA-1. La date d'expiration finale de l'algorithme était le 1er janvier 2017.
Certes, pour qu'un adversaire parvienne à casser SHA-1 en 2005, il fallait qu'il soit bien pourvu. Mais les coûts financiers et le temps nécessaires pour y parvenir ont diminué régulièrement au fil des ans. En 2010, le chercheur en sécurité allemand Thomas Roth a cassé 14 hachages SHA1 en moins d'une heure en louant de la puissance de calcul auprès d'AWS. Le coût ? $2.10.
Dans les années à venir, d'autres algorithmes de chiffrement connaîtront le même sort. L'essor de l'informatique quantique ne fera qu'exacerber le problème. En 2016, des chercheurs du MIT et de l'université d'Innsbruck ont presque réussi à décrypter le cryptage RSA. Gartner prévoit que d'ici 2022, les ordinateurs quantiques pourront casser RSA en temps quasi réel. À mesure que les algorithmes de cryptographie couramment utilisés deviennent obsolètes, les professionnels de la sécurité devront faire preuve de rapidité pour supprimer ces certificats, ces clés et ces réserves de confiance, tout en installant rapidement des solutions de remplacement résistantes au quantum. (Pour en savoir plus sur le sujet, consultez le livre électronique gratuit intitulé Crypto-Agile PKI for the Future.
Les estimations varient quant à la date à laquelle l'informatique quantique sera prête pour le prime-time. Mais que ce soit dans cinq ans, comme le prévoit IBM, ou dans deux décennies, c'est maintenant qu'il faut planifier la crypto-agilité, ainsi que l'automatisation de la sécurité.
