L’été des cerises de la cybersécurité !

Cybersecurity cherry picking

Dans la cybersécurité difficile de le faire, tant les événements se succèdent et la pause estivale ne s’applique pas. Il y a eu autant de cybersecurity cherry picking de l’été 2018 que d’observateurs du secteur. Mais il faut en choisir quelques-uns ! Puis, ce fut l’heure des Assises de la Sécurité, la Mecque de la profession, le lieu où convergent début octobre, au bord de la Méditerranée, les 2000 à 2500 professionnels de notre métier, utilisateurs finaux, éditeurs, ingénieurs, consultants.

La dernière étude du Gartner sortie cet été, est à retenir. Elle donne une projection du niveau des dépenses (produits et services) de sécurité dans le monde à plus de 124 milliards de $ pour 2019, soit une croissance d’environ 9% par rapport à 2018, qui elle-même est prévue de croître de 12% par rapport à 2017.

Les menaces, les attaques, les risques pris au sérieux et au niveau des Comex des entreprises et des assureurs, le cloud, les changements de régulations (merci GDPR), alimentent la croissance du marché de la sécurité.

La pénurie des compétences …

Ce que l’analyste dit un peu moins, c’est la pénurie chronique et aiguë de compétences dans ce domaine. Le marché croît mais, nous les acteurs, notamment dans le service, sommes réduits à presque nous dévorer entre nous. Non pour le business mais pour les ingénieurs ! Et pourtant tous les acteurs ont mis en place des parcours de formation, de reconversion, de formation continue, etc.

Cette situation de forte pénurie de compétences a pour conséquence la multiplication des services en mode centre de compétences et en mode services managés mutualisés, tels que les SOC ou les Centres de Gestion des Vulnérabilités. L’étude Gartner l’indique : en 2019, les services devraient représenter 64 milliards $, c’est-à-dire plus de 50% de la projection de dépenses.

Autre annonce intéressante du mois d’août, l’Allemagne déclare sa volonté souveraine de développer ou plutôt d’investir dans ses propres outils, de protection et de sécurité. Le gouvernement indique son programme quinquennal de développement d’aide au développement d’outils de cybersécurité et le chiffre à 200 millions d’euros pour la période. L’annonce de la création de l’Agence d’Innovation dans la Cybersécurité a été faite conjointement par la chancelière Angela Merkel et les ministres de l’Intérieur Horst Seehofer et de la Défense Ursula von der Leyen. Cela dénote l’importance du sujet.

Mais, au-delà d’une volonté légitime d’indépendance nationale dans les moyens mis en œuvre pour se protéger, le montant du programme apparaît un peu limité devant les 2,95 milliards $ alloués par les USA pour 2019 seulement…. et devant les montants d’investissements des éditeurs du domaine. Une fois de plus bâtir une cybersécurité autonome ne peut se faire qu’au niveau européen, comme l’association Hexatrust le promeut depuis longtemps.

Pleins feux sur le cryptojacking

Alors que Dailymotion vient de faire l’objet, annoncé cet été, d’une amende de 50 000 € de la CNIL pour manquement à son obligation de sécurité des données, le phénomène de cryptojacking apparaît comme une nouvelle menace. L’attaque se déroule dans le sillage des monnaies électroniques, Bitcoin en tête, qui ont tourné la tête des néophytes de tous bords. Les cryptomonnaies sont générées par des ordinateurs à travers des calculs récompensés en Bitcoins (le cryptomining). Et c’est là que le cryptojacking a lieu à l’insu des utilisateurs et sur leurs ordinateurs, en utilisant ce processus afin de voler de la cryptomonnaie. Les vols des Bitcoins et autres cybermonnaies ont d’ailleurs fortement contribué à la chute vertigineuse de ces valeurs.

Autre événement de l’été, annoncé fin août par The Register, l’étonnante attaque du réseau ATM/SWIFT de la banque indienne Cosmos Bank qui a abouti au vol de 13.5 millions $. L’attaque qui s’est déroulée entre le 10 et le 13 août est surprenante par le haut niveau d’expertise réseau et télécom impliqué, tant au niveau de l’infrastructure IT bancaire de raccordement et gestion d’ATM qu’au niveau des applications de contrôle bancaire propriétaires, donc par définition difficiles à hacker. L’attaque a été la combinaison de plusieurs failles et compromissions de systèmes (comptes admin, infra réseau de switching, codes malicieux sur le protocole ISO583, etc.). Ayant généré plus de 12000 transactions VISA, dans 28 pays, l’attaque marque un niveau de sophistication et d’expertise jamais atteint.

Bien sûr, bien d’autres événements ont eu lieu cet été et mériteraient citation, mais ces quelques exemples donnent un faisceau d’évolution : un monde où la technologie, les usages et les attaques se complexifient très rapidement, un monde où l’expertise technique doit croître et s’adapter constamment, une réalité prise de plus en plus au sérieux par les gouvernements et les entreprises, mais un monde qui risque de beaucoup souffrir, voire de vivre des paralysies dans le quotidien, à cause du manque chronique des compétences, malgré les efforts de formation et de reconversion.