Sans surprise, l’année 2021 a été dense en matière de cyber-menaces. L'absence de répit pour le secteur public (santé et collectivités), l'extension des ransomwares à des cibles plus importantes (Colonial Pipeline, JBS Food...) ou encore les menaces autour de la confidentialité des données avec le logiciel espion Pegasus : autant d’exemples d'une année pas comme les autres, avec la vulnérabilité Log4Shell au pied du sapin... Alors, à quoi s’attendre en matière de menaces cyber en 2022 ? Exercice de prospective, avec nos quatre prédictions cybersécurité pour l'année 2022.
Si l’année cybersécurité 2021 devait être résumée à une tendance, ce serait celle d’une structuration du côté des cyber-criminels. En parallèle de l’explosion des cas et des montants, l’écosystème des groupes cyber-criminels se consolide en une véritable économie parallèle, avec un objectif avoué d’une amélioration de la rentabilité des attaques. Mais elle n’est pas le seul signal fort à avoir agité l’année écoulée. Quelles leçons tirer de 2021 ? Quelles menaces pourraient voir le jour en 2022 ? Comme chaque année, nous nous prêtons au jeu des prédictions.
Vers une hyper professionnalisation des cyber-criminels ?
Les signaux (pas si faibles) de 2021
En 2021, les groupes de cyber-criminels ont franchi un cap dans leur structuration. L'écosystème des ransomwares repose par exemple sur une pluralité d’acteurs, des développeurs aux revendeurs d’accès ou de données. De véritables plateformes se sont constituées, faisant également appel à des affiliés pour exécuter leurs basses œuvres. La tendance vers le Ransomware as a Service (RaaS) s’est ainsi considérablement renforcée en 2021. Et cette industrialisation fait réagir les experts. « Les cybercriminels créent des sortes d’ERP de la cyberattaque avec des plateformes qui gèrent l’outillage, les clients attaqués, les chats de service clients, le paiement de la rançon…, s’alarmait ainsi Gérôme Billois, partner cybersécurité et confiance numérique chez Wavestone, lors de la dernière édition des Assises. On est face à un écosystème qui a su passer à l’échelle qui permet à des cybercriminels lambdas d’attaquer. Ils vont jusqu’à créer des sortes de tribunaux arbitraux sur leurs forums en cas de défauts de paiement entre la plateforme et le cybercriminel. »
L’année 2021 a également été marquée par un certain nombre d’opérations de police à l’encontre de ces groupes de cyber-criminels. Marquées du sceau de la coopération internationale, ces réactions étatiques étaient très rares jusqu’alors. Mais en 2021, deux épisodes majeurs sont à signaler : celui du démantèlement du Botnet Emotet et celui du démantèlement du groupe de ransomware REvil. Un début d’une régulation ? Difficile à dire, tant les opérateurs démantelés ont tendance à se reformer rapidement derrière, voire à se faire recruter… Ainsi, entre septembre et novembre 2021, trois nouveaux groupes cyber-criminels étaient identifiés : Lockean, FamousSparrow et Void Balaur. Coupez une tête, et trois autres repousseront…
Et du côté lumineux de la Force, la tendance de 2021 est toujours à une pénurie des compétences et des talents. Si 700 000 postes ont été pourvus en plus en 2021, le domaine de la cybersécurité affiche encore un déficit de 65% en termes de main d’œuvre d’après des chiffres de Microsoft. Rien qu’aux États-Unis, un tiers des emplois liés à la cybersécurité resterait vacant.
Le scénario 2022
Vers un marché des transferts des cyber-criminels ? Il est presque déjà acté qu’un ou plusieurs nouveaux groupes de cyber-criminels émergeront dans l’année qui vient. Mais avec cette multiplication chronique des groupes ainsi qu’avec la structuration de ceux-ci, va se poser la même question que pour les professionnels de cybersécurité : celle du recrutement des talents. Dans le domaine cyber où les talents de hackers sont rares, la concurrence pourrait bien conduire à des politiques de recrutement beaucoup plus agressives de la part des groupes de cyber-criminels. Quitte à chercher à attirer certains du côté obscur de la Force… À l’instar de l’économie du sport, des agents pourraient demain apparaître, plaçant leurs poulains auprès des groupes les plus offrants. Des agents qui n’hésiteraient pas à adopter de nouvelles méthodes, comme des primes à la signature ou des « prêts » entre groupes.
Vers des cyberattaques encore plus sophistiquées ?
Les signaux (pas si faibles) de 2021
Côté menaces, les attaques de ransomwares, qui ont augmenté de 62%, ont largement occupé le champ médiatique en 2021. Mais d’autres procédés se sont également développés et parmi eux, l’attaque de la chaîne logistique (ou supply chain attack). Exemple phare de l’année, l’entreprise Codecov, qui édite un logiciel d’audit de code source, faisait ainsi état d’une cyberattaque en avril 2021. En compromettant son logiciel, les cyber-criminels auraient réussi à corrompre des centaines de réseaux clients.
Autre type d’attaque qui évolue vers encore plus de subtilité, avec le logiciel d’espionnage. En juillet 2021, était révélé le fracassant « Projet Pegasus », un système mondial d’espionnage de smartphones de journalistes, avocats, militants et responsables politiques. En tout, plus de 50 000 numéros de téléphones de cibles potentielles ont été identifiés par Amnesty International et le consortium d'investigation Forbidden Stories.
Et une nouvelle vulnérabilité a fait la Une des médias en 2021. Liée à la bibliothèque open source Log4j, et baptisée Log4Shell, cette vulnérabilité Zero Day a provoqué un vent de panique. En décembre 2021, le gouvernement québécois fermait ainsi préventivement 4 000 sites gouvernementaux afin de s’assurer qu’ils n’étaient pas vulnérables. Le même mois, les équipes de cybersécurité de Microsoft annonçaient que des attaques au rançongiciel visaient des serveurs Minecraft hébergés par les utilisateurs du célèbre jeu vidéo. Un modus operandi qui met en lumière la fragilité des applications, qui reposent pour beaucoup sur des briques de code préexistantes, pas forcément très robustes et qui n’ont que rarement été évaluées avant d’être utilisées...
Le scénario 2022
Vers une explosion de failles Zero Day cachées dans des bibliothèques open source ? La puissance de l’attaque Log4Shell pourrait (malheureusement) inspirer demain plus d’un groupe de cyber-criminels. En effet, le fonctionnement même du système des logiciels libres implique que des pans entiers du Web soient maintenus par une poignée de bénévoles. Si demain, les grandes entreprises n’investissent pas dans les projets open source qu’elles utilisent, les patchs correctifs ne sauraient suivre la vitesse de découverte des failles critiques. Et les cyber-criminels pourraient alors s’attaquer aisément à des infrastructures, réseaux ou données particulièrement sensibles. Par exemple, en France, à celles contenues dans l’application TousAntiCovid. En identifiant une faille dans les éléments de code publiés, l’application la plus téléchargée en 2021 pourrait ainsi se voir ouverte aux quatre vents numériques, laissant aux cyber-criminels la possibilité d’accéder à une quantité énorme de données de santé et de passes sanitaires. En pleine élection présidentielle, l’impact politique d’une telle cyberattaque n’est pas à négliger.
Vers la fin d’un effet de loupe médiatique ?
Les signaux (pas si faibles) de 2021
Colonial Pipeline, JBS Foods, Log4Shell : toutes ces cyberattaques ont fait la Une des journaux en 2021. Vous ne voyez pas le lien entre celles-ci ? Ne cherchez pas du côté de la cyber, leur seul point commun étant l’emballement médiatique qu’elles ont suscité. Un phénomène de loupe médiatique qui peut conduire à un faux sentiment de sécurité pour les TPE et PME. Pourtant, d’après une étude internationale de Forrester Consulting publiée en janvier 2021, la part de TPE/PME de moins de 250 salariés touchées par les cyberattaques s’élève à 33%. La focale médiatique est donc sélective : qui a entendu parler de cyberattaques contre le cabinet d’avocat, les experts comptables ou encore le plombier du coin ? Et la taille n’importe que peu, tant des entreprises plus importantes passent également sous le radar médiatique. En février 2021, le fabricant de bateau Bénéteau a par exemple été frappé par une cyberattaque de grande ampleur sans émouvoir les foules, malgré les 3 900 salariés touchés. Une autre conséquence potentielle de l’effet de loupe médiatique est également à souligner : un emballement médiatique de grande ampleur peut conduire à désigner une cible aux groupes de cyber-criminels toujours enclins à trouver de nouvelles victimes peu ou mal sécurisées.
Autre signal (pas si faible) en février 2021, quand l'éditeur de jeux vidéo CD Projekt a été victime d'un ransomware, juste avant la sortie d'un nouveau jeu... sur l'univers cyberpunk. Un clin d’œil et, surtout, un nouvel épisode après Capcom et Electronic Arts, victimes les années passées. Car les grands éditeurs et studios de jeux vidéo sont déjà des cibles de choix pour les cyber-criminels. Mais si à ce jour, les conséquences étaient surtout réputationnelles, la donne pourrait (vite) changer.
En effet, fin octobre 2021, Facebook annonçait en grandes pompes le lancement des univers virtuels, comme prochain vague de l'internet et suite logique des jeux vidéo en ligne. Et l'emballement rapide : des achats de terrains d’une grande valeur, supérieure à un million de dollars, ont même déjà été effectués au sein de cet univers virtuel.
Le scénario 2022
« Police du métavers, NFT s’il-vous-plaît ». Popularité, focus médiatique et montants conséquents ; ces mondes virtuels pourraient bien devenir le nouveau terrain de jeu privilégié des cyber-criminels. Et leur motivation première resterait évidemment l’argent. Du rançonnage d’artefacts numériques achetés pour des sommes exorbitantes au vol de NFT, les possibilités délictuelles sont multiples. Les éditeurs de mondes virtuels ou de jeux en ligne pourraient rapidement se voir dépasser par les vagues de cyberattaques nuisant au développement de leurs produits. Une police du métavers, fondée sur des outils d’investigation propres, deviendrait alors nécessaire. Elle rassemblerait des experts du monde entier dont l’objectif serait de traquer les cyber-criminels dans les recoins les plus reculés des métavers. Une gageure, tant les transactions au sein de ses espaces vont massivement s’accroître au cours de l’année.
Vers une cybersécurité pour tous ?
Les signaux (pas si faibles) de 2021
En 2021, l’humain reste la principale porte d’entrée dans le réseau d’une entreprise. Selon une étude IDG, 44% des grandes entreprises (500 à 999 employés) ont subi cette année des interruptions de réseau de plus d'un jour en raison d'attaques de phishing, contre 14% pour les petites entreprises (25 à 100 employés). Et les derniers chiffres disponibles indiquent qu’en 2021, 22% des violations de données signalées ont commencé par un e-mail de phishing.
Par ailleurs, avec un quart des salariés français en télétravail au moins un jour par semaine en 2021, la question de l’accessibilité des solutions de cybersécurité apparaît encore plus essentielle : les collaborateurs utilisent en effet leurs appareils professionnels à des fins personnelles, multipliant ainsi les portes d’entrées potentielles.
Et la sensibilisation à l’hygiène numérique et à la cybersécurité est encore un long chemin de croix. D’après le rapport 2021 de la société américaine KnowBe4, un quart des employés pensent que cliquer sur des liens ou des pièces-jointes suspectes comporte peu ou pas de risque. À se taper la tête contre un mur…
Le scénario 2022
Vers un cyber-score individuel pour les collaborateurs ? Le 22 novembre 2022, Jeanine, secrétaire de direction dans un grand groupe d’électroménager, clique sur un lien dans un mail lui annonçant avoir remporté le dernier iPhone. Quelques jours plus tard, la DSI de l’entreprise parvient, après plusieurs jours de lutte, à contenir la cyberattaque de ransomware qui frappe le réseau informatique de l’entreprise. Après une courte enquête, Jeanine est convoquée par la DRH : elle se voit signifier le retrait de points sur son cyber-score personnel. Depuis quelques mois, certaines entreprises ont en effet décidé de mettre en place ce système, qui permet à leurs salariés de mieux comprendre que la cybersécurité est l’affaire de toutes et tous. Chacun dispose d’un crédit de départ, qui baisse en cas de manquements ou augmente après des sessions de formation ou quand de bonnes pratiques sont mises en place. Ainsi, Paul, manager d’une équipe de commerciaux, voit son cyber-score grimper après avoir fait installer une solution endpoint sur les ordinateurs portables de ses collaborateurs nomades. Et gare au cadre dirigeant qui suit les matchs de football de son équipe favorite sur des sites illégaux de streaming…
Autant de scénarios et de futurs possibles pour les tendances cybersécurité 2022 – à suivre de très près. Et celles de 2023 ?