Difficile à croire que 2018 soit passée si vite. L’année a été marquée par des attaques contre quelques-uns des réseaux sociaux les plus puissants au monde. À cause de problèmes de sécurité majeurs, l’année a été particulièrement noire pour Facebook, le « réseau mère ».
Tribune GlobalSign – Fin septembre, l’entreprise a annoncé une faille de sécurité générale concernant 50 millions d’utilisateurs. Or, après les révélations stupéfiantes de mars dernier, selon lesquelles le cabinet de conseil politique Cambridge Analytica avait fait main basse sur les données sensibles de 87 millions d’utilisateurs de Facebook sans leur permission, l’annonce a continué à jeter de l’huile sur le feu. Conséquences : un effondrement du cours de l’action Facebook et 11 milliards de dollars de pertes pour son PDG Mark Zuckerberg. Ce dernier avait également dû témoigner devant une commission d’enquête du Congrès pendant toute une semaine au mois d’avril. (Zuckerberg se préparerait-il pour 2019, ou quoi ?) Pour éviter que ce type d’attaques ne se reproduise, l’entreprise songerait à racheter une grosse société de cybersécurité.
Ce fut ensuite au tour du réseau Google+ qui a annoncé ce mois-ci que des informations privées concernant jusqu’à un demi-million d’utilisateurs avaient été exposées. L’attaque a d’ailleurs sonné le glas du réseau social.
En 2018, les magnats des réseaux sociaux ne sont pas les seuls à avoir été victimes de telles atteintes à la sécurité. La grande distribution et la restauration, comme Macy’s, Best Buy, Panera Bread and Whole Foods aux États-Unis , ont également payé un lourd tribut. Sans oublier la vague d’attaques de sécurité qui s’est abattue sur le secteur de la santé — avec le piratage de données à caractère médical — et les administrations publiques.
Espérons que l’année 2019 ne soit pas aussi éprouvante, surtout si les entreprises prennent plus de précautions en matière de sécurité. Chez GlobalSign, nos experts en sécurité ont une fois de plus consulté leur proverbiale boule de cristal. Nous vous livrons quelques-unes de nos prévisions pour 2019.
Lila Kee, Directrice générale et chef de produit
Les signatures numériques vont connaître un véritable essor
L’instauration du cadre réglementaire de l’eIDAS comme référence en matière de signatures électroniques et d’identités numériques va faire décoller l’adoption des signatures numériques. Dans les entreprises et les administrations, la numérisation rapide des workflows et l’établissement d’un socle juridique solide autour des signatures numériques contribueront à la disparition des processus papier.
Lancen LaChance, Vice-président Produits, Solutions IoT
Le besoin d’identités va s’accroître avec le Bitcoin ; la PKI va devenir la norme de facto.
À mesure que le Bitcoin retrouve sa place de cryptomonnaie leader, les identités vont s’imposer comme une nécessité. Le Lightning Network — la couche secondaire du protocole Bitcoin — sera rapidement adopté par les principaux fournisseurs de paiement. Entre-temps la PKI deviendra la norme d’authentification et d’identité de facto pour l’Internet des Objets (IoT) au moment où les premiers projets IoT commenceront à faire parler d’eux et se généraliseront dans les domaines de l’industrie, de l’énergie, de la santé et des télécoms. Bien plus qu’une simple cryptomonnaie, la Blockchain devrait s’installer durablement dans le paysage. Comme pour toute nouvelle technologie, il s’agit de trouver des applications et de la rendre compatible pour une commercialisation de masse. L’an prochain, les entreprises investiront dans la R&D afin de trouver d’autres utilisations à cette technologie, comme les contrats intelligents et l’authentification.
Arvid Vermote, RSSI
Lutte contre la fraude en ligne : le monde emboîtera le pas à l’UE
Sous la houlette de l’UE, de plus en plus de pays adopteront des législations portant sur les garanties élevées que les signatures numériques devront offrir pour être utilisées avec des contrats et transactions numériques — l’objectif étant de lutter contre la fraude et la criminalité en ligne en garantissant l’identité et l’intégrité.
La pertinence des identités au sein de la blockchain paraîtra de plus en plus évidente. Plusieurs acteurs proposeront des solutions en réponse à ce besoin, comme les infrastructures à clés publiques qui permettent de relier les identités aux adresses de la blockchain.
D’avantages d’entreprises adopteront un modèle de centre d’opérations de sécurité mutualisé, où l’on combine les analyses poussées des experts avec le tri et le traitement des événements concernés par les responsables de ces opérations en interne.
L’arrivée d’un nombre croissant d’objets et de technologies IoT sur le marché grand public et professionnel générera des violations de sécurité souvent attribuables aux vulnérabilités inhérentes à ces dispositifs. La sécurisation des objets et des réseaux IoT va évidemment devenir un enjeu prioritaire qui n’ira pas sans engendrer certaines difficultés.
John Murray, Vice-président des ventes, Amérique du Nord
L’e-mail restera un vecteur d’attaque facile pour les hameçonneurs.
Il est facile de créer des e-mails qui exploitent les services utilisés quotidiennement et en toute confiance par les utilisateurs en entreprise pour mieux les berner. En 2019, on assistera à la montée en puissance d’une nouvelle génération d’e-mails d’hameçonnage ciblés qui s’inspirent des techniques d’ingénierie sociale et sembleront provenir d’entreprises de confiance. Ces campagnes de phishing entraîneront une spirale de dégradations de la productivité et des pertes financières.
Nisarg Desai, Directeur Produits, Solutions IoT
Les fournisseurs d’IAAS impulseront les bonnes pratiques de sécurité
Les fournisseurs d’infrastructures en tant que service (IAAS) comme Google, Microsoft (Azure) et Amazon Cloud impulseront les bonnes pratiques de sécurité IoT en 2019. Nous avons souffert d’un manque de normes et de réglementations cette année, mais la situation restera inchangée l’an prochain. Ces fournisseurs IAAS procéderont à peu près comme Google l’a fait avec les bonnes pratiques SSL. Ces pratiques de sécurité finiront par devenir la règle de facto. Cela ne devrait surprendre personne étant donné les progrès réalisés dans le domaine des plates-formes et des fonctionnalités de gestion des objets IoT. On peut globalement parler de victoire pour la cybersécurité, puisque toutes ces entreprises prennent la sécurité très au sérieux.
Richard Hancock, Responsable du groupe GMO pour la protection des données et de la vie privée — Région Ouest
L’impact du RGPD au-delà de 2018
Nous avions tous hâte que 2018 arrive. Pendant six ans, le petit monde de la protection des données a attendu impatiemment la nouvelle génération de réglementations qui a fait évoluer les lois en vigueur sur la protection des données. L’impatience n’était pas de mise du côté des spécialistes marketing. Depuis l’entrée en vigueur du RGPD le 25 mai dernier, on a vu l’ICANN faire la sourde oreille et les tribunaux allemands nous livrer leurs conseils et parler de minimisation des données, jurisprudence à l’appui (en résumé : si vous n’avez pas besoin de données, n’en collectez pas). En 2019, les entreprises devraient être beaucoup plus nombreuses à maîtriser correctement le RGPD. Même en octobre 2018, moins de la moitié du monde de l’entreprise respecterait totalement le RGPD. Au Royaume-Uni, l’Information Commissioner’s Office (ICO) parlait de rationaliser les processus de demande et d’accréditation des règles d’entreprise contraignantes (BCR, Binding Corporate Rules) ; j’espère que cela se fera l’an prochain. J’ai discuté avec de nombreuses entreprises qui entreprennent de poser les fondements juridiques pour le traitement de leurs données à l’échelle mondiale. Or pour elles, les clauses contractuelles types et les BCR sont simplement trop lourdes. Les délégués à la protection des données (DPD) et les responsables juridiques souhaiteraient être un peu accompagnés par les organes de contrôle sur ce point.
Les prochains changements apportés au règlement « vie privée et communications électroniques » visent à améliorer son adéquation avec le RGPD. Du côté des professionnels du marketing, cela devrait faire naître des stratégies tout à fait fascinantes. Les changements qui interviendront dans le climat politique à la fin du premier trimestre (le Royaume-Uni quittera l’UE le 29 mars 2019) auront un retentissement énorme sur les modalités de traitement des données.
L’année 2019 sera également marquée par des précédents jurisprudentiels. Tous les regards sont aujourd’hui tournés vers Google et Facebook, mais j’espère voir levées certaines ambiguïtés actuellement observées. Espérons que d’ici la fin de l’année, la plupart des interprétations et des conjectures qu’il me soit donné à entendre lors d’échanges avec des responsables de la protection des données personnelles se tarissent pour faire place à des plans d’action clairs et concis. En 2019, aucune donnée ne devrait rester en texte clair. Faciles d’accès, les technologies de chiffrement permettent de protéger vos bases de données, vos fichiers et vos courriels. Combiné avec des solutions de gestion des identités et des accès (IAM) et de gestion des clés, le chiffrement offre un moyen de défense très efficace et atteste d’une vérification de l’accès à vos données sensibles.
Les relations contractuelles entre parties de confiance devraient également connaître des changements importants en 2019. En cas de perte de données, les articles 28 et 30 du règlement parallélisent les responsabilités entre le responsable du traitement des données et le sous-traitant. Je constate déjà une nette amélioration de la rédaction des clauses contractuelles qui intègrent ces devoirs, obligations et responsabilités supplémentaires en matière de sécurité de l’information et de gouvernance des données.
Jose Sue Smith, Ingénieur commercial senior
La dématérialisation va accélérer l’adoption des signatures numériques
La transformation numérique ne peut s’opérer facilement sans dématérialisation. L’adoption des signatures numériques va donc s’accélérer en 2019 avec l’instauration de normes appropriées qui accorderont leur confiance à ces signatures. Pour faire face aux coûts engendrés, le secteur cherchera à maintenir les niveaux de sécurité, tout en réduisant les ressources nécessaires (processus et matériel). Les solutions de cloud computing continueront à avoir le vent en poupe.
Dawn Illing, EMEA, Chef de produit régional
L’augmentation des nouveaux utilisateurs de services bancaires mobiles sera du pain bénit pour les cybercriminels — même si les attaques cibleront l’infrastructure et pas nécessairement le client.
Dans un environnement concurrentiel où la rapidité prime, les modèles bancaires ont opéré une transformation radicale. Aussi, les banques en ligne ont-elles dominé l’année 2018 avec le développement de l’Open Banking et la disparition progressive des modèles bancaires traditionnels. Les téléphones se sont aussi transformés en porte-monnaie. L’année 2019 verra le nombre de cyber-attaques proliférer — l’augmentation du nombre de nouveaux utilisateurs de services bancaires mobiles sera du pain bénit pour les cybercriminels — avec des attaques qui cibleront l’infrastructure et pas nécessairement le client. La connectivité étant désormais obligatoire, les secteurs d’activité s’adapteront rapidement pour pouvoir proposer une méthode de vérification des identités numériques sécurisée. N’oublions pas que sur un marché hautement concurrentiel, les conséquences d’une panne de services peuvent être dramatiques pour la réputation de l’entreprise. En 2017-2018, l’eIDAS (electronic Identification, Authentication and trust Services) ne bénéficiait pas encore d’une immense reconnaissance dans le secteur financier.
À partir de 2019, cela va changer, car les institutions financières devront se conformer aux obligations légales et connaître avec certitude leurs clients. Même chose pour le secteur de l’assurance avec l’entrée en vigueur des réglementations sur les services et les paiements transfrontaliers dès l’année prochaine dans d’autres États membres de l’UE — d’où l’importance de faire preuve d’une extrême vigilance vis-à-vis de la clientèle.
Les dépenses de sécurité vont augmenter d’environ 10 % en 2019. En cause : le RGPD et les questions de protection de la vie privée, mais aussi les exigences autour de la sécurité des applications et de la gestion des accès aux identités.