Revolve Job Zero : la revue de presse sécurité – Février 2023

Temps de lecture : 8 minutes

Qui dit nouvelle année dit bonnes résolutions (ou pas) ! Et, parmi elles, il y a celle de vous apporter une veille sur le vaste sujet qu’est la sécurité informatique. 

Dans cette édition de février 2023 de la revue de presse Sécurité, nous vous proposons quelques articles qui ont attiré notre attention, en lien avec la sécurité sur le Cloud. Nous vous invitons également à lire rePlay : la revue de presse généraliste du Cloud (lien vers la revue de presse de Janvier 2023).

Ransomware, espionnage, en 2023 c’est rebelote 

L’Anssi vient de dévoiler son panorama des cybermenaces en 2022 et le bilan est sans appel : malgré une légère diminution des ransomwares, les cas de cyber-espionnage ont fortement mobilisé les équipes de l’agence dans un contexte géopolitique perturbé par la guerre en Ukraine. Le mot d’ordre de l’Anssi : ne pas sous-estimer la menace. En effet, en 2022, l’ANSSI a traité 19 opérations de cyberdéfense et incidents majeurs, contre 17 en 2021. Neuf d’entre elles étaient des intrusions imputées à des acteurs chinois.

Dans la même veine, le Clusif a présenté le 26 janvier son panorama de la cybercriminalité 2023. Ransomware, MFA, cyberguerre, quantique, le panorama des menaces réalisé par le Clusif est complet. Il montre aussi qu’avec la guerre en Ukraine, la cybercriminalité s’est renforcée et adaptée à ce contexte. Il est donc nécessaire d’anticiper et de se préparer comme le montre l’équipe sécurité des JO Paris 2024.

En ce sens, l’International Counter Ransomware Taskforce (ICRTF), un groupe de travail international de lutte contre les ransomwares prévu par l’International Counter Ransomware Initiative (ICR), vient de débuter ses travaux sous l’égide de l’actuel gouvernement australien. Les membres de l’ICRT sont répartis au quatre coins de la planète, en passant par l’Union européenne et l’Afrique du Sud, l’Asie ou encore l’Amérique du Nord. 

Voici quelques objectifs identifiés, entre autres : 

  • Tenir les acteurs de ransomware responsables de leurs crimes et ne pas leur offrir de refuge ; 
  • Combattre la capacité des acteurs de ransomware à tirer profit des produits illicites en mettant en œuvre et en appliquant des mesures de lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT) ; 
  • Collaborer à la lutte contre les ransomwares en partageant des informations.

Cybersecurity rime avec croissance healthy, right ?  

Vous l’aurez donc compris, malgré un contexte de restrictions budgétaire, la DSI semble être une exception. En effet, comme nous venons de le voir, nous sommes confrontés à des menaces toujours plus nombreuses et sophistiquées. C’est dans ce contexte que Canalys prévoit que le marché mondial de la sécurité informatique dégagera 223,8 Md$ en 2023, soit une croissance de 13,2 % sur un an.

Comme évoqué précédemment, les ransomwares demeurent la plus grande menace pour les organisations, en termes financiers et opérationnels et du point de vue de leur image de marque. Mais l’émergence et l’usage détourné de modèles d’IA générative, tels que ChatGPT, vont faire passer les risques à un niveau supérieur.

Chiffrement sur S3 

Bonne nouvelle ! AWS chiffre désormais (enfin) tous les nouveaux objets S3 par défaut. 

De quoi ravir nos experts AWS. En effet, pour renforcer la sécurité de son offre de stockage S3, AWS a décidé de chiffrer automatiquement tous les fichiers dans les buckets en se servant AES-256 par défaut. Vous trouverez tous les détails accompagnant cette annonce sur le site d’AWS. Au sujet du chiffrement, nous vous recommandons aussi la lecture de notre série d’articles sur le chiffrement tierce-partie sur le Cloud.

La souveraineté dans le Cloud, encore et toujours

Un sujet largement traité par Revolve en 2022 fût celui du Cloud de confiance (voir les articles Cloud de confiance : état des lieux 2022 ; Cloud de confiance : état des lieux et perspectives – partie 1 ; Cloud de confiance : état des lieux et perspectives – partie 2). Aussi, je vous recommande chaudement un article de Dominique Luzeaux, directeur de l’Agence du Numérique de Défense et ingénieur général de l’armement, qui met en perspective ses récentes réflexions autour du cloud souverain / de confiance. Dans une note parue dans la Revue Défense Nationale (RDN), il nous rappelle que « la confiance n’est pas un gage de souveraineté, que la souveraineté ne se bâtit pas que sur la confiance. En fait, déjà à la base, la souveraineté relève de soi-même, alors que la confiance relève d’une relation de soi à l’autre. Les deux ne sont pas comparables ». De quoi continuer à alimenter les débats. 

To be compliance, or not to be that is the question

L’enquête du cabinet d’avocats DLA Piper sur le RGPD et les violations de données montre une augmentation de 168 % des amendes au cours des 12 derniers mois, pour un montant record de 2,92 milliards d’euros. En 2021, c’était 1,1 milliard d’euros d’amendes infligées, soit sept fois plus qu’en 2020, selon une étude menée par DLA Piper

Le grand perdant 2022 est…(roulement de tambours) 

  • Meta Platforms Ireland Limited, avec une amende de 405 millions d’euros infligée par le commissaire irlandais à la protection des données (DPC) pour des manquements présumés à la protection des données personnelles des enfants dans l’application Instagram. 

À ce jour, l’amende record de 746 millions d’euros que les autorités luxembourgeoises ont infligée à Amazon en 2021 reste la plus importante émise par un régulateur de données de l’Union Européenne. 

Quoi qu’il en soit, cette hausse témoigne de la volonté des autorités de contrôle d’imposer des amendes élevées en cas de violation du RGPD. Encourageant.

De plus, il est à noter que les autorités de protection des données tournent désormais leur regard vers l’intelligence artificielle – technologie qui a un impact dans tous les secteurs.   

En parallèle, le 28 janvier dernier avait lieu la 17ème édition de la Journée européenne de la protection des données.

À cette occasion, l’UFC-Que Choisir a lancé une campagne de mobilisation #JeNeSuisPasUneData en proposant un outil gratuit qui offre à chaque internaute la possibilité de découvrir concrètement quelles sont les données personnelles collectées par les plateformes qu’il utilise, mais aussi et surtout, d’exercer ses droits de rectification, de suppression et à l’oubli.

Aussi, je vous incite fortement à lire l’étude publiée à ce sujet par Cisco, 2023 Data Privacy Benchmark Study – Privacy’s Growing Importance and Impact.

ChatGPT 

Il est partout, telle une star de cinéma, il fait la une de tous les journaux : c’est ChatGPT bien sûr ! Le chatbot gratuit d’OpenAI, soutenu par Microsoft, s’améliore de jour en jour et fait d’ores et polémiques. 

Au même titre qu’il peut rédiger des ouvrages ou vos dissertations de philosophie, dans la langue de votre choix,  l’outil pourrait aussi faciliter et augmenter de manière exponentielle les attaques de phishing – ce qui pose un sérieux problème du côté de la sécurité informatique. Concrètement, cet outil serait capable de permettre aux personnes n’ayant aucune connaissance en code et en développement d’imiter un développeur. Et comme la face cachée de la Lune, il y en a une plus obscure, certains acteurs de la menace utiliseraient ChatGPT pour écrire des scripts malveillants. De plus, son réalisme troublant permettrait – grâce aux scripts et à l’automatisation – de créer un nombre infini de communications personnalisées produites en masse, capables d’apprendre en temps réel ce qui fonctionne et ce qui ne fonctionne pas. 

Bref, affaire à suivre (de très près)… 

Le chiffrement quantique s’emballe (ou pas)

Le chiffrement quantique fascine autant qu’il affole et interroge. La société Quescure lance QuEverywhere, son offre de chiffrement quantique à des terminaux bout de réseau incluant PC, smartphones et objets connectés. L’objectif est d’anticiper le risque de voir un ordinateur quantique casser la cryptographie actuelle. Cette annonce intervient dans la foulée de la publication d’un article universitaire chinois indiquant être en capacité de casser le chiffrement RSA en 2048 bits avec l’appui d’un ordinateur quantique. Bon, à priori, ce n’est pas pour demain (ni même après-demain). Mais l’engouement de l’opinion publique et la peur suscitée par les médias et les industriels restent notables. 

Les enjeux stratégiques, c’est Gartner qui le dit 

Que serait une revue de presse sans un avis du Gartner ? Comme chaque année, voilà leur inventaire des 10 principales tendances technologiques stratégiques pour l’année 2023. Au programme, des technologies comme le métaverse, la 5G, les superapps ou encore l’intelligence artificielle. 

Ressources : 

Le Monde Informatique 

AWS

DLA Piper

Checkpoint

CERT-FR 

CISCO

Canalys 

Commentaires :

A lire également sur le sujet :