L’industrie de la cybersécurité repose sur deux types de concurrence : celle entre les fournisseurs de sécurité et les adversaires cybercriminels, et celle entre les fournisseurs eux-mêmes.
Ce qui est inhabituel dans la situation, c’est la manière dont ces deux champs de bataille sont connectés ; pour empêcher les pirates d’infecter les appareils avec malware et infiltrant les réseaux commerciaux, les fournisseurs de cybersécurité doivent souvent établir une trêve temporaire.
Cet équilibre entre concurrence et collaboration est caractérisé par Jaya Baloo, CISO chez antivirus société Avast, comme une « rivalité amicale » qui permet à tous les plus grands acteurs du marché de travailler main dans la main lorsque cela est important.
En conversation avec Tech Radar Pro à CMM 2022, Baloo a parlé de la relation non conventionnelle entre les fournisseurs du secteur. Elle insiste sur le fait que la communauté de la cybersécurité se concentre avant tout sur la protection des personnes contre les attaques, et que la réalisation de bénéfices est une considération secondaire.
« Je me fiche de l’antivirus que vous utilisez, tant que vous en utilisez un », nous a-t-elle dit. « Nous voyons toujours tant de personnes attaquées sur tant d’appareils différents, donc notre plus grande préoccupation concerne les personnes qui ne sont absolument pas protégées. »
Partager c’est aimer
Dans les années à venir, on s’attend à un mélange de diverses technologies émergentes, ce qui créera la base de nouvelles expériences numériques pour les consommateurs et les entreprises.
Au MWC 2022, par exemple, on a beaucoup parlé de l’interaction entre la 5G, l’IA, l’IoT et l’informatique de pointe, un mélange enivrant qui permettra des cas d’utilisation allant des voitures sans conducteur aux usines autonomes et plus encore.
Cependant, ce niveau d’interaction entre les technologies est lié à créer des maux de tête pour les professionnels de la sécurité, a noté Baloo, surtout si de nouveaux produits et services ne sont pas développés avec la sécurité en tête.
« Il y a un rapprochement organique et orgasmique des technologies en ce moment », a-t-elle déclaré. « Mais cela impliquera une augmentation de la complexité, et la complexité est l’ennemi de la sécurité. »
Dans un scénario comme celui-ci, les entreprises de cybersécurité ont les meilleures chances de protéger leurs clients contre les attaques si elles partagent des informations sur les nouveaux vecteurs, vulnérabilités et groupes cybercriminels.
Baloo a souligné le travail de l’équipe de renseignement sur les menaces d’Avast, qui publie des rapports réguliers déballant ses découvertes. Une rapport récent a analysé une augmentation des attaques de phishing contre les entreprises ukrainiennes à la veille de l’invasion russe, par exemple, et le précédent épisode couvrait le pic de DDoS hacktivisme.
Lorsque l’équipe de renseignement sur les menaces découvre une nouvelle souche de malware ou une nouvelle voie d’attaque, non seulement Avast intègre des protections dans ses propres services lorsque cela est possible, mais offre également une assistance aux victimes et alerte la communauté au sens large de ses découvertes, a expliqué Baloo.
« Nous travaillons avec toutes les personnes avec lesquelles vous pensez que nous serions en concurrence. Il y a un niveau de dialogue très sain à travers l’écosystème », nous a-t-elle dit.
« C’est pourquoi c’est tellement amusant ; nous collaborons avec des personnes partageant les mêmes idées pour éliminer les méchants. J’adore notre travail de renseignement sur les menaces.
Lorsqu’on lui a demandé s’il y avait des cas dans lesquels Avast ne partagerait pas de renseignements, par exemple, si la rétention d’informations avait le potentiel de conférer un avantage concurrentiel, Baloo nous a donné un hochement de tête désapprobateur. « Quand il s’agit d’informations sur les méchants, nous partageons. C’est aussi simple que ça. »
Aller à l’aveugle
L’année dernière, le cycle de l’actualité de la cybersécurité a été dominé par l’attaque SolarWinds et la vulnérabilité Log4J, qui ont toutes deux mis en évidence les dangers posés par la chaîne d’approvisionnement logicielle, une source de risque souvent négligée par les entreprises.
Malgré l’agitation qui a entouré les deux incidents, Baloo nous a dit qu’elle s’attend à voir la même chose en 2022, car les leçons nécessaires n’ont toujours pas été apprises.
« Les attaques de la chaîne d’approvisionnement ne vont nulle part », a-t-elle déclaré. « Le plus gros problème est que nous ne comprenons pas pleinement nos potentiels points de faiblesse. »
« Nous avons atteint un certain niveau de maturité en termes de technologies que nous utilisons, mais nous ne comprenons pas comment elles s’imbriquent pour créer des zones de faiblesse. »
C’est un problème qui affecte les logiciels open source dans la même mesure que les services propriétaires, note Baloo. Le fait que le code soit accessible à tous ne signifie pas nécessairement que quelqu’un l’a fait avec le niveau de contrôle requis, comme l’a démontré Log4j.
Cependant, Baloo est optimiste sur le fait que la réglementation obligeant les entreprises à maintenir une plus grande surveillance de leur nomenclature logicielle (SBOM) pourrait jouer un rôle dans la minimisation des risques pour leurs clients.
Au lendemain de l’attaque de SolarWinds, par exemple, le président américain Biden a mis en place un décret exécutif qui a conduit à de nouveaux conseils qui oblige les éditeurs de logiciels à fournir un SBOM complet dans le cadre du processus d’approvisionnement du gouvernement.
Les États-Unis ont cessé d’exiger des fournisseurs qu’ils fournissent des SBOM à tous les clients, mais l’espoir est que la pratique deviendra plus courante et, à tout le moins, que la nouvelle réglementation rehaussera le profil des risques liés à la chaîne d’approvisionnement.
La prochaine frontière
Non seulement les entreprises de cybersécurité sont chargées d’anticiper les types d’attaques susceptibles de menacer les clients à court terme, mais elles doivent également regarder plus loin et plus loin.
Un autre domaine technologique en développement qui devrait avoir un impact significatif sur le paysage de la cybersécurité est l’informatique quantique, qui se trouve être un domaine d’expertise supplémentaire pour Baloo, qui conseille le Forum économique mondial sur la question.
Les ordinateurs quantiques résolvent les problèmes d’une manière entièrement différente des machines classiques, en exploitant un phénomène connu sous le nom de superposition (par lequel les particules subatomiques existent dans plusieurs états à la fois) pour effectuer certains calculs plusieurs fois plus rapidement qu’il n’est actuellement possible.
Bien que le plus puissant du monde processeurs quantiques offrent actuellement trop peu de bits quantiques (qubits) pour établir un avantage significatif par rapport aux superordinateurs traditionnels, la maturation de l’informatique quantique créera divers problèmes du point de vue de la sécurité.
Plus important encore, les ordinateurs quantiques à grande échelle auront suffisamment de puissance pour casser la cryptographie moderne. C’est donc une erreur de supposer que les informations protégées par cryptage aujourd’hui resteront sécurisées pour les années à venir. Les acteurs de la menace parrainés par l’État collectent peut-être déjà de grandes quantités de données cryptées dans l’espoir de pouvoir un jour y accéder.
« L’informatique quantique répondra aux questions scientifiques fondamentales de l’aiguille dans la botte de foin », a noté Baloo. « Mais on est foutu dès qu’on a un ordinateur quantique capable de casser le cryptage actuel. »
« Pour profiter des avantages de l’informatique quantique, nous avons besoin d’un nouvel ensemble d’algorithmes cryptographiques qui seront incassables même avec un ordinateur quantique. En tant que communauté de la cybersécurité, nous devons avoir une défense tournée vers l’avenir, nous sommes donc prêts à relever ce genre de défis.
Encore une fois, il s’agit d’un problème sur lequel les entreprises de sécurité devront collaborer étroitement dans les années à venir, à la fois pour développer de nouveaux algorithmes quantiques sûrs et pour faire pression en faveur d’une réglementation qui garantit que les parties les plus vulnérables de l’économie sont « prêtes pour le quantum ».
Dans un scénario dans lequel les technologies de sécurité quantique ne se développent pas au même rythme que les ordinateurs quantiques, les fondements de la cybersécurité moderne seront compromis.
Et le temps presse, a prévenu Baloo.