Tribune de Sébastien Viou, directeur Cybersécurité Produit chez Stormshield

Sans surprise, l’année 2021 a été dense en matière de cyber-menaces. Les attaques contre le secteur public, les hôpitaux et collectivités, l’extension des ransomwares à des cibles plus diversifiées, Log4Shell ou encore les menaces autour de la confidentialité des données avec le logiciel espion Pegasus : autant d’exemples d’une année pas comme les autres… Alors quelles menaces pourraient voir le jour en 2022 ?

Tendance 1 : vers un marché des transferts des cyber-criminels ?

En 2021, les groupes de cyber-criminels ont franchi un cap dans leur structuration. En parallèle de l’explosion des cas et des montants, l’écosystème des groupes cyber-criminels se consolide en une véritable économie parallèle, avec un objectif avoué d’une amélioration de la rentabilité des attaques. L’écosystème des ransomwares repose par exemple sur une pluralité d’acteurs, des développeurs aux revendeurs d’accès ou de données. De véritables plateformes se sont constituées, faisant également appel à des affiliés pour exécuter leurs basses œuvres.

Pour 2022, il est presque déjà acté qu’un ou plusieurs nouveaux groupes de cyber-criminels émergeront dans l’année qui vient. Mais avec cette multiplication chronique des groupes ainsi qu’avec la structuration de ceux-ci, va se poser la même question que pour les professionnels de cybersécurité : celle du recrutement des talents. Dans le domaine cyber où les talents de hackers sont rares, la concurrence pourrait bien conduire à des politiques de recrutement plus agressives de la part des groupes de cyber-criminels. À l’instar de l’économie du sport, des agents pourraient demain apparaître, plaçant leurs poulains auprès des groupes les plus offrants. Des agents qui n’hésiteraient pas à adopter de nouvelles méthodes, comme des primes à la signature ou des « prêts » entre groupes.

Tendance 2 : vers une explosion de failles Zero Day cachées dans des bibliothèques open source ?

Côté menaces, les attaques de ransomwares, qui ont augmenté de 62% l’année dernière, ont largement occupé le champ médiatique en 2021. Mais d’autres procédés se sont également développés comme l’attaque de chaînes logistiques, le fracassant « Projet Pegasus » ou encore la vulnérabilité Zero Day Log4Shell.

Pour 2022, la puissance de l’attaque Log4Shell pourrait inspirer demain plus d’un groupe de cyber-criminels. En effet, le fonctionnement même du système des logiciels libres implique que des pans entiers du Web soient maintenus par une poignée de bénévoles. Si demain, les grandes entreprises n’investissent pas dans les projets open source qu’elles utilisent, les patchs correctifs ne sauraient suivre la vitesse de découverte des failles critiques. Et les cyber-criminels pourraient alors s’attaquer aisément à des infrastructures, réseaux ou données particulièrement sensibles. Par exemple, en France, à celles contenues dans l’application TousAntiCovid. En identifiant une faille dans les éléments de code publiés, l’application la plus téléchargée en 2021 pourrait ainsi se voir ouverte aux quatre vents numériques, laissant aux cyber-criminels la possibilité d’accéder à une quantité énorme de données de santé et de passes sanitaires. L’impact d’une telle cyberattaque n’est pas à négliger.

Tendance 3 : vers la fin d’un effet de loupe médiatique ?

Colonial Pipeline, JBS Foods, Log4Shell : toutes ces cyberattaques ont fait la Une des journaux en 2021. Vous ne voyez pas le lien entre celles-ci ? Ne cherchez pas du côté de la cyber, leur seul point commun étant l’emballement médiatique qu’elles ont suscité. Un phénomène de loupe médiatique qui peut conduire à un faux sentiment de sécurité pour les TPE et PME. Pourtant, d’après une étude récente, la part de TPE/PME de moins de 250 salariés touchés par les cyberattaques s’élève à 33%. La focale médiatique est donc sélective : qui a entendu parler de cyberattaques contre le cabinet d’avocat, les experts comptables ou encore le plombier du coin ? Et la taille n’importe que peu, tant des entreprises plus importantes passent également sous le radar médiatique.

Popularité, focus médiatique et montants conséquents ; ces mondes virtuels pourraient bien devenir le nouveau terrain de jeu privilégié des cyber-criminels pour 2022. Et leur motivation première resterait évidemment l’argent. Du rançonnage d’artefacts numériques achetés pour des sommes exorbitantes au vol de NFT, les possibilités délictuelles sont multiples. Les éditeurs de mondes virtuels ou de jeux en ligne pourraient rapidement se voir dépasser par les vagues de cyberattaques nuisant au développement de leurs produits. Une police du métavers, fondée sur des outils d’investigation propres, deviendrait alors nécessaire. Elle rassemblerait des experts du monde entier dont l’objectif serait de traquer les cyber-criminels dans les recoins les plus reculés des métavers. Une gageure, tant les transactions au sein de ses espaces vont massivement s’accroître au cours de l’année.

Tendance 4 : vers un cyber-score individuel pour les collaborateurs ?

En 2021, l’humain reste la principale porte d’entrée dans le réseau d’une entreprise. Et avec un quart des salariés français en télétravail au moins un jour par semaine en 2021, la question de l’accessibilité des solutions de cybersécurité apparaît encore plus essentielle : les collaborateurs utilisent en effet leurs appareils professionnels à des fins personnelles, multipliant ainsi les portes d’entrées potentielles. Et la sensibilisation à l’hygiène numérique et à la cybersécurité est encore un long chemin de croix. D’après le rapport 2021 de la société américaine KnowBe4, un quart des employés pensent que cliquer sur des liens ou des pièces-jointes suspectes comporte peu ou pas de risque…

Pour 2022, certaines entreprises pourrait décider de mettre en place des systèmes de cyber-score personnel qui permettent à leurs salariés de mieux comprendre que la cybersécurité est l’affaire de toutes et tous. Chacun disposerait d’un crédit de départ, qui baisserait en cas de manquements ou augmenterait après des sessions de formation ou quand de bonnes pratiques sont mises en place. Ainsi, Paul, manager d’une équipe de commerciaux, verrait son cyber-score grimper après avoir fait installer une solution endpoint sur les ordinateurs portables de ses collaborateurs nomades. Et gare au cadre dirigeant qui suivrait les matchs de football de son équipe favorite sur des sites illégaux de streaming…

Autant de scénarios et de futurs possibles en matière de cybersécurité à suivre de très près.