Comme chaque année, ou presque, depuis le Moyen-Âge cyber [1] l'année calendaire écoulée est propice aux bilans [2] mais aussi, et sans doute surtout, aux prévisions pour la nouvelle année. Cet exercice est même devenu une sorte d'incontournable pour un certain nombre d'entreprises de cybersécurité, sans doute en quête d'une certaine forme de respectabilité si ce n'est de crédibilité. Et pourtant, l'exercice est délicat quand il n'est pas casse-gueule ! En effet, nos vendeurs de solutions et autres (cyber)camelots cherchent à prescrire en filigrane un certain nombre "d'onguents miraculeux" à appliquer sur des systèmes d'information le plus souvent perclus de vulnérabilités exploitables donc exploitées. Si les plus grandes entreprises n'y échappent pas (IBM, Kaspersky, Trend Micro, etc.) [3], j'ai choisi cette année [4] de "céder la parole" à une société un peu moins connue et, dans son registre, pas moins lancée dans la course à l’échalote [5].Experian est une société britannique, dont le siège fiscal est en Irlande, qui possède des implantations sur les cinq continents. Son directoire se compose de membres qui viennent pour l'essentiel du secteur bancaire. Nous avons ici affaire à une société dont l'activité principale est la génération de valeur principalement tournée vers la fourniture de services basée sur les data, les données : pour le crédit, l'analyse décisionnelle, le marketing et les clients [6]. Experian a récemment publié un "livre blanc" intitulé "Hacktivisme et plus : les prédictions 2016 des données dérobées" [7] dont un résumé est disponible sur le blog de l'entreprise [8].
Plutôt orientées cybercriminalité, quelles sont ces prédictions que ne renieraient peut-être pas notre regrettée Madame Soleil ?
En premier lieu, la prévision que les internautes et les entreprises pourraient devenir des victimes collatérales des conflictualités de niveau étatique dans le cyberespace. Et bien, vous savez quoi ? On a peut-être là des champions qui viennent de découvrir l'existence du cyberespace, peuplé de méchants agresseurs pour beaucoup d'origine étatique sinon (très proches) de leurs gouvernements. Qui n'ont pas attendu 2016 pour évaluer, tester, pénétrer, s'immiscer, se positionner, etc. dans d'innombrables systèmes d'information quel que soit le secteur d'activité ou la taille de l'entreprise.
Une autre prévision concerne la résurgence de l'hacktivisme. Il est certain que notamment les Anonymous ont connu une sorte d'acmé en 2011/2012 mais je n'ai pas le sentiment que l'hacktivisme politique, philosophique ou religieux ait baissé en intensité ces dernières années. L'impression est plutôt même qu'il aurait fait des émules et que de nombreux groupuscules sont apparus et ont fait de l'Internet leur terrain de jeux favori. Enfin, et parce que l'intérêt de passer en revue chacune des prévisions ne m'apparait pas d'une grande pertinence autre que de faire de l'ironie à (très) bon compte, la proximité des élections présidentielles de 2016 aux USA donne lieu également à une prévision que les candidats seront des cibles majeures de cyberattaques. On ne peut que regretter cet ethnocentrisme anglosaxon car c'est, par exemple, oublier des événements majeurs d'envergure mondiale comme l'Eurofoot 2016, organisé en France, ou les Jeux Olympiques d'été au Brésil.
S'il est cependant une bonne nouvelle, c'est de comprendre que de plus en plus d'entreprises sont sensibilisées et sensibles aux risques cyber. Qui, pour beaucoup d'entre elles, s'intègrent avant tout comme un risque financier ce qui est le réflexe normal pour toute entité dont la survie est liée à sa capacité à créer de la valeur. Au pire, ce sont les analystes financiers qui y prêtent attention [9] avant les entreprises elles-mêmes ce qui peut donc être considéré comme un "mal pour un bien". La prévision des cybermenaces continue donc de naviguer entre simplisme et complexité [10] quand ce n'est pas l'ouverture de portes ouvertes à coups de grosses bottes maculées de boue [11]. A tout prendre, il serait probablement plus sensé de faire preuve de curiosité et de développer une vision prospective adossée au respect respect des fondamentaux [11]. Mais ce serait moins sexy et vous n'auriez pas eu le bonheur de commencer l'année 2016 ni de recevoir mes meilleurs vœux par une lecture aussi récréative ! :-)
[1] une période qu'il est possible de dater aux alentours de 2008/2009, "l'ère industrielle" pouvant être datée à partir de la révélation de Stuxnet (2010) et de ses implications (2011/2012)
[2] auxquels je ne résiste évidemment pas : http://si-vis.blogspot.fr/2014/12/chiffres-et-articles-2014-avant-le-cap.html
[3] par exemple http://prnewswire.sys-con.com/node/3598027 ou http://www.globalsecuritymag.fr/Cyber-Securite-AVG-devoile-ses,20151228,58613.html
[4] précédemment : http://si-vis.blogspot.fr/2013/04/le-plus-grand-risque-actuel-les.html
[5] les cinéphiles apprécient sans doute la comédie française du même nom : http://www.allocine.fr/film/fichefilm_gen_cfilm=53310.html
[6] https://www.experianplc.com/about-us/
[7] traduction approximative de "Hacktivism and more: predictions for the data breach landscape of 2016"
[8] http://www.experian.com/blogs/data-breach/2015/11/30/hacktivism-and-more-predictions-for-the-data-breach-landscape-in-2016/
[9] http://www.journaldunet.com/solutions/expert/62960/les-analystes-financiers-s-inquietent-de-la-securite-numerique-des-entreprises.shtml
[10] http://si-vis.blogspot.fr/2014/01/previsions-de-la-menace-cybernetique.html
[11] prévoir que les professionnels en SSI/cybersécurité seront toujours en forte demande et que Windows 10 et iOS9 seront la cible des hackers, cela ne peut venir que d'un extralucide...http://www.net-security.org/article.php?id=2433
[11] http://si-vis.blogspot.fr/2014/05/detection-avancee-des-cyberattaques.html
Aucun commentaire:
Enregistrer un commentaire