Les prédictions d’un RSSI pour 2020 en matière de cybersécurité

2020 est arrivé, et espérons que les équipes de sécurité ont toutes pris la bonne résolution d’améliorer la cybersécurité de leur entreprise au cours de la nouvelle année. Mais quels sont les nouveaux défis et développements de 2020 auxquels vous devez vous préparer ?

Comment la cybersécurité va-t-elle évoluer au cours des 10 prochaines années ?

Moins de mots de passe : Les prochaines années verront l’adoption de technologies d’authentification grand public qui ne s’appuient plus sur le mot de passe (comme FIDO). Les consommateurs tout comme les entreprises technologiques mettent la pression pour passer à des systèmes qui s’émancipent du mot de passe. Les technologies comme l’authentification unique (SSO) et l’authentification multifacteur (MFA) permettent d’authentifier les utilisateurs sans les obliger à mémoriser des mots de passe.

Biométrie : La tendance vers l’exploitation de facteurs biométriques avancés (comme l’analyse de l’iris) va s’intensifier. Ces facteurs biométriques de pointe s’appuieront sur des capteurs plus perfectionnés et précis (scan de l’iris, posture du corps, etc.) qui seront intégrés aux appareils grand public.

Apprentissage automatique : Des modèles d’apprentissage automatique avancés permettront une meilleure authentification en fonction du contexte et une amélioration du processus authentification, notamment grâce au gardiennage virtuel et aux capteurs biométriques intégrés aux appareils. Certains de ces modèles et technologies sont déjà disponibles. Par exemple, les solutions MFA peuvent effectuer du gardiennage virtuel basé sur les coordonnées GPS. Des capteurs plus avancés seront également intégrés aux appareils au cours des années à venir.

La clé de la mise en œuvre est l’instrumentation au niveau du back-office. L’apprentissage automatique doit apprendre à distinguer les comportements normaux des anomalies, ce qui prend du temps.

Failles de sécurité et mots de passe

Selon le rapport Data Breach Investigations de Verizon, 80 % des failles sont encore provoquées directement ou indirectement par des mots de passe faibles ou réutilisés. La question reste donc entière : quand les consommateurs et utilisateurs finaux vont-ils améliorer leurs comportements relatifs aux mots de passe ?

Ce que l’on peut décomposer en deux questions : 1) Quand sera-t-il possible de diminuer les failles afin de réduire le nombre de mots de passe exposés ? et 2) Quand les utilisateurs utiliseront-ils des mots de passe plus fiables et plus forts ?

Pour ce qui est de diminuer les failles, le chemin est long et il exige des entreprises qu’elles encouragent les bonnes pratiques de sécurité, par exemple en favorisant le développement sécurisé plutôt que les fonctionnalités tape-à-l’œil. Sur la durée, les services non sécurisés auront plus de chances d’échouer en raison de la perte de confiance des clients. C’est déjà le cas (voir les réactions aux fuites de données de Facebook), mais il faudra encore du temps pour que les entreprises considèrent ce problème comme un risque majeur.

Quant au renforcement des mots de passe, il passe par la sensibilisation des consommateurs. De nouvelles technologies d’authentification continueront à prendre le pas sur les systèmes basés sur les mots de passe, ce qui réglera en partie le problème. Mais les entreprises qui gèrent des données sensibles (finance, santé, etc.) devront également commencer à imposer des règles de mots de passe plus complexes pour atténuer les risques.

Principaux défis et tendances en matière de gestion des identités et des accès en 2020

Les entreprises seront toutes confrontées à des défis différents en fonction de leur taille et de leur secteur d’activité. Toutefois, toutes les entreprises doivent relever le défi de la sensibilisation à la sécurité des employés, des sous-traitants et des clients. Et sans l’implication de tous les utilisateurs, les efforts technologiques ne seront pas complètement efficaces.

Pour contribuer à cet effort, voici quelques recommandations :

La communication multidirectionnelle est extrêmement importante dans le cadre d’un programme de sécurité, ce qui signifie qu’il faut faire passer votre message de haut en bas, de bas en haut et horizontalement. Le renforcement des bonnes pratiques de sécurité doit venir du manager de l’employé, de ses pairs, de sa direction et plus encore. Et effectivement, c’est vrai : la sécurité est la responsabilité de chacun.

Les gens apprennent différemment. Certains répondent mieux aux instructions visuelles ou aux instructions écrites tandis que d’autres préféreront les cours pratiques. Et le contenu peut varier selon votre public. Certains préféreront du contenu humoristique ou sérieux ou qui fournit du contexte. Quel que soit votre choix, fournir une communication cohérente est essentiel pour un programme de sensibilisation réussi. Un de nos objectifs est de nous assurer que nous offrons nos formations et matériels de sécurité sur différents canaux. Nous avons également impliqué les employés, avec des créations vidéo ou des concours, ce qui renforce leur implication et leur enthousiasme.

Sur les secteurs de haute technologie comme la finance ou la santé, la clé consiste à établir et maintenir le contrôle sur les politiques et la philosophie d’utilisation des appareils et des applications personnelles, sans nuire à la productivité des employés.

J’ai hâte de savoir où cette nouvelle décennie va nous mener. Laissez un commentaire ci-dessous pour nous faire part de vos prédictions pour 2020.