Plus les réseaux s’étendent et se complexifient, plus les possibilités de connexions se multiplient. Les opportunités commerciales numériques n’ont jamais été aussi élevées. Le revers de la médaille s’incarne dans les problèmes de sécurité IT.

Yves Roggeman
chercheur en cryptographie et sécurité informatique à l’ULB

Quelles sont les nouveautés au niveau de la sécurité IT en 2017?
« L’expérience nous apprend que l’évolution des outils IT est intimement liée aux événements médiatiques. Ceux-ci sont conçus pour créer des besoins souvent futiles, voire totalement inutiles auprès du grand public avide de prétendues nouveautés. Malheureusement, vu les délais beaucoup trop courts de mise au point imposés par ce modèle économique, chaque nouvelle application, chaque nouvelle version, chaque nouveau modèle apporte son lot de nouvelles failles de sécurité. Sans contrer véritablement celles de la génération précédente. Cette fuite en avant est une aubaine pour les hackers! L’année 2017, comme les précédentes, sera certainement riche en nouvelles attaques originales et imprévues. »

Quels sont les grands défis futurs concernant la sécurité IT des entreprises?
« On présente souvent les défis IT comme une question d’investissement des entreprises, en matériel et en formation du personnel. Certes, il est important d’insister sur la nécessité d’une formation poussée pour le personnel à l’emploi des outils et aux enjeux de sécurité et de qualité des données associés. Mais le véritable défi sera sans doute d’intégrer véritablement les partenaires extérieurs à l’entreprise dans son modèle de sécurité. Elle repose en effet largement sur le comportement d’agents extérieurs communiquant avec son système. Actuellement, l’on tente de gérer les relations B2B, mais le tendon d’Achille reste les citoyens inconscients de leur responsabilité en la matière. »

Le Big Data pourraient-elles être un problème en termes de sécurité IT?
« Le Big Data sont un ensemble de techniques d’exploitation intégrée de données volumineuses, hétérogènes et d’origines diverses. Comme toute science, elles peuvent être un moyen d’attaque ou de protection, selon l’usage et l’intention. Le risque sécuritaire principal est celui de l’inférence d’informations confidentielles, i.e. de leur reconstruction indirecte à partir de données librement disponibles. Il ne s’agit plus de se prémunir contre les seules fuites directes, mais de tenir compte de toutes les sources d’information potentiellement exploitables. Mais ces outils sont aussi utilisés pour analyser et contrôler les gros systèmes IT. Ils contribuent ainsi véritablement à leur protection. »



Damien Giry
 
BlueKrypt
, Professional Security Consulting

Quelles sont les nouveautés au niveau de la sécurité IT en 2017?
« Une nouveauté: les objets connectés à Internet of Things (IoT) tels les montres, les frigos etc. sont une réelle menace pour la sécurité! Des attaques de grande ampleur peuvent être réalisées sans que l’utilisateur ne s’en rende compte. En 2016, une attaque par déni de service bloqua les sites Internet de grandes sociétés. Sécuriser les éléments IoT reste complexe, même pour une entreprise. Une tendance confirmée: le virus informatique qui une fois installé, réclame une rançon pour recouvrir ses données. L’appât du gain facile rend les attaquants plus “malins” pour duper l’utilisateur par le biais d’emails personnalisés qui interpellent directement. Eduquer l’utilisateur final reste une priorité. »

Quels sont les grands défis futurs concernant la sécurité IT des entreprises?
« Pour les entreprises, le contrôle de leur environnement informatique est primordial. Le télétravail et l’utilisation par les employés de leurs appareils personnels sont des nouvelles façons de travailler impactant la sécurité. Cette tendance n’est pas nouvelle, mais elle se confirme au point de devenir un comportement standard. Ce besoin de contrôle sera accentué par la mise en place en 2018 de la nouvelle directive européenne sur la vie privée (GDPR). Celle-ci contraint les entreprises à mieux gérer la sécurité des données privées qu’elles possèdent. Se mettre en conformité sera long et complexe avec un investissement financier parfois très important. »

Le Big Data pourraient-elles être un problème en termes de sécurité IT?
« Le Big Data peut améliorer la sécurité informatique. Le progrès est énorme, notamment au travers des antivirus. Il s’agit d’un atout indéniable permettant une réaction rapide à des attaques complexes ou ciblées, généralement difficiles à détecter. Pour autant, cette technologie, par la puissance de calcul et l’espace de stockage qu’elle nécessite, implique de transmettre vers l’extérieur l’ensemble de ses données sensibles et confidentielles. À contrario, la sécurité des données du Big Data reste également un problème: un attaquant peut exploiter celles-ci et adapter ses attaques en restant invisible pour les outils de sécurité et les utilisateurs. »


 

Dominique Bleus
spécialiste de l’infogérance informatique pour les PME chez LimeLogic

Quelles sont les nouveautés au niveau de la sécurité IT en 2017?
« Il est plus simple de faire des analyses rétrospectives que de prédire l’avenir. Néanmoins, une majorité des acteurs du domaine semble s’accorder sur quelques tendances, comme le ransomware, bête et méchant. Ça continuera son bout de route (très) rentable. Une autre tendance est la recrudescence du “lanceur d’alerteˮ. Ainsi que le mobile et l’Internet des objets, deux vecteurs d’infection en forte croissance. Enfin, des avancées techniques importantes dans les infections ciblées. En somme, plus de possibilités d’attaque, plus difficiles à détecter et faisant plus de dégâts. Dans ce cadre peu idyllique, notons quand même plus d’intérêt des sociétés pour la sécurité et un possible rééquilibrage des forces. »

Quels sont les grands défis futurs concernant la sécurité IT des entreprises?
« Une réponse complète à cette question ne prendrait pas moins d’un livre. Un défi majeur est l’intégration de l’équipe de sécurité dans le processus de production (DevSecOps). Lors de la conception d’un produit, la sécurité est souvent vue comme un frais annexe et facultatif! Si ce raisonnement fut compréhensible à l’époque où l’attaquant avait pour but l’amusement, il devient dangereux quand l’attaquant est une association à but lucratif. Un autre défi est le rapport département informatique de l’entreprise/utilisateur. La sécurité informatique doit tenir compte de la façon dont les utilisateurs travaillent et non brider ceux-ci. »

Le Big Data pourraient-elles être un problème en termes de sécurité IT?
« Le Big Data implique de grandes quantités de données brutes. Ces données sont comme de la matière première: une valeur sous forme brute, une grande plus-value une fois transformée en un produit fini. Une fuite de données est profitable pour tout concurrent, qui récupère de la matière première gratuitement. L’ensemble des technologies manipulant le Big Data sont fort récentes et pas forcément éprouvées en matière de sécurité informatique. La probabilité d’une attaque sur des systèmes d’information manipulant du Big Data est grande et les implications d’une attaque réussie sont très graves. »