Anticiper les cybermenaces des prochaines années n'est pas une mince affaire. C'est pourtant l'une des missions que s'est donnée le Campus Cyber en lançant un ouvrage collectif sur les perspectives et les défis à relever dans ce domaine à horizon 2030. Fruit d'une réflexion portée par le groupe de travail anticipation du campus piloté par Mathieu Cousin (directeur sécurité d'Axa) et Gérôme Billois (partner cybersécurité Wavestone), cette analyse s'appuie sur des contributions de plus d'une soixantaine d'organisations publiques et privées et débouche sur ce que pourrait être le contexte cybersécurité des prochaines années, les défis à relever et les moyens à mettre en place pour contrer de la manière la plus efficace possible de futures cybermenaces.
L'exercice parait bien complexe mais force est de constater que le rendu de ce livrable apparait clair autant que concis. En point de départ, l'ouvrage fait ressortir 4 futures tendances servant de base à l'élaboration de scénarios d'anticipation des menaces cyber. Elles plantent en somme le décor et permettent de façonner les différentes actions de lutte envisagées ; il s'agit ainsi de considérer le futur sous l'angle de l'ultra-connectivité, de l'ultra-cloisonnement, de l'ultra-green ou encore de l'ultra-réglementation. « Chacune de ces tendances, extrapolée à l’extrême, donne lieu à un scenario. Nous espérons ainsi proposer une grille de lecture de l’avenir, ayant vocation à permettre à nos lecteurs d’apprécier les impacts de ces tendances sur la société, les individus et les organisations », indique en introduction le rapport.
4 tendances du monde de demain orientant les actions cybercriminelles
Opportunités et types d'attaques informatiques et défis à relever varient selon les tendances futures auxquelles le monde se confrontera dans les années à venir. Dans le cas d'un monde ultra-connecté par exemple les cyberattaquants seront en mesure de cibler un éventail de cibles et d'accès sans précédent et pourront s'appuyer sur la généralisation de plateformes numériques et de réseaux sociaux pour réaliser leurs opérations malveillantes. Il faudra dans ce cas s'attendre à un recours plus large à des réseaux de bots pour lancer des attaques, une instantanéité de propagation de malwares ou encore à la multiplication de services numériques piégés et la diffusion en masse de fausses informations tous secteurs confondus.
Si la tendance d'un monde hyper-cloisonné prédomine, l'avenir de la cybercriminalité devrait alors passer par la recrudescence de cybergangs spécialisés sur des cibles bien déterminées, simplifiant d'autant leur détection. « La proximité entre Etats et cybercriminels permet aux groupes d'être dotés de meilleures capacités offensives tout en bénéficiant d'impunité et de protection dans leur propre espace souverain », prévient le rapport. Dans ce contexte, on devrait alors voir monter en puissance les actions de déstabilisation sur des services critiques nationaux avec la multiplication « d'attentats numériques », le renforcement d'attaques par rançongiciels et complexes de niveau étatique, du cyber-espionnage voire aussi de la destruction physique de certains câbles sous-marins ou de satellite et sur des chaines d'approvisionnement critiques.
Dans le cas d'un monde dominé par les enjeux écologiques, les cyberattaquants s'adaptent aussi bien en monétisant par exemple leurs services à des fins d'hacktivisime visant des systèmes trop énergivores mais aussi en privilégiant les actions de manipulations, d'arnaques nécessitant peu d'exploitation de ressources informatiques élevées rendues à ce stade beaucoup plus compliqué. Dans ce scénario, il faudra alors s'attendre à la prolifération d'attaques contre la réputation des personnes (morales ou physiques), la destruction de systèmes numériques trop énergivores, des attaques contre des chaines d'approvisionnement non locales ou encore l'instrumentalisation des idéologies environnementales à des fins de cyberattaques par rançongiciel, extorsion...
Enfin, dans le cadre d'un futur de société hyper-réglementée « les cyberattaquants profitent de la multiplicité des régulations pour entreprendre du cyberchantage. Ils menacent de dénoncer leurs victimes aux régulateurs pour non-conformité, ou proposent de faux services de régularisation », indique le guide. « Les investissements humains et financiers portant sur la sécurité sont délaissés au profit de ceux œuvrant uniquement à la mise en conformité réglementaire aux nouvelles exigences, dans une logique parfois idéologique et sans prise en compte des risques réels ». Avec à la clé une explosion de cyber-extorsions, la recrudescence d'attaques usurpant des autorités régulatrices, la montée en puissance de fausses amendes...
5 priorités cybersécurité à suivre
Sur la base de ces 4 scénarios d'évolution du monde, les défis cybersécurité à relever peuvent ainsi être adaptés en se focalisant sur 5 priorités communes : sécuriser par défaut tous les systèmes numériques, redonner aux individus le contrôle de leur vie numérique et de leurs données, s'orienter vers une résilience à grande échelle à base d'automatisation et d'IA, combattre l'impunité des cybercriminels et développer l'attractivité de la filière cybersécurité.
« Dans le cadre de nos réflexions, trois invariants ont été identifiés. Il est indispensable de les prendre en compte pour répondre aux différents défis afin d’assurer le succès et la crédibilité des solutions à mettre en place, mais aussi la définition d’une filière responsable », peut-on lire par ailleurs dans le guide. Il s'agit en l'occurrence de la capacité des acteurs (privés, publics, institutionnels...) à coopérer, orienter et prendre des décisions à l'échelle européenne, et adapter la sobriété numérique par exemple en décommissionnant les systèmes informatiques trop énergivores. La baisse de la consommation énergétique des ressources et actifs informatiques appliqués à la cybersécurité doit également constituer un objectif, ceci concernant aussi bien la cryptographie, la sauvegarde que la blockchain et les cryptoactifs.
Mieux appréhender le chiffrement homomorphique
S'agissant de la nécessité de mettre en oeuvre un principe de security by design à tous les niveaux possibles des produits et services numériques, le guide met en avant le défi de construire des méthodes et des outils d'évaluation « faciles, fiables et automatisables » portant à la fois sur les produits que les organisations. Il préconise notamment de soutenir la création d'un standard d'évaluation d'un « cyber-score » et d'assurer son déploiement. Les premières actions au niveau du Campus Cyber sur ce volet concernent un benchmark des solutions d'évaluation existantes, des produits et des organisations pour en déterminer en particulier leurs forces et leurs faiblesses. Cela passe aussi par le fait d'identifier et porter/soutenir des projets de recherche associés.
En termes de meilleur contrôle de vie numérique et des données, 3 défis sont à relever : maîtrise de l'identité à l'aide d'un service fiable, interopérable et partagé, des données grâce à des dispositifs et des mesures ad hoc et aussi en élargissant le recours au chiffrement. Sur ce point, le Campus Cyber va étudier l'émergence d'un modèle centralisé de gestion de la vie privée numérique, lancer un challenge sur le chiffrement homomorphique et analyser plus en profondeur avantages et inconvénients de la blockchain pour l'identité numérique.
Un impératif pour développer l'attractivité de la filière cybersécurité
Pour ce qui concerne une meilleure résilience grâce à l'automatisation et à l'IA, le rapport du groupe de travail recommande aussi bien d'améliorer la détection des cybermenaces que d'accélérer la capacité de réaction face à des cyberattaques de plus en plus nombreuses et complexes. Pour y faire face, les actions engagées sont orientées sur le développement d'une plateforme pour expérimenter les usages IA en cybersécurité, développer les challenges IA dans ce domaine et ouvrir les vannes de l'open data orienté cyber à des fins d'expérimentations.
Combattre et poursuivre les cybercriminels sur le terrain juridique doivent aussi être renforcés, nécessitant pour cela un arsenal technologique de pointe pour recouper les volumes de données relatifs aux cyber-escrocs (outils d'attaques, modes opératoires, infrastructures utilisées...). Cela nécessite dès lors des actions pour « créer des environnements de simulation d'attaque et des projets R&D sur l'entraînement d'IA pour imputer des attaques » et « créer des projets R&D pour remonter ou suivre les parcours d'argent et automatiser la saisie de cryptoactifs ».
Enfin, poussée depuis des années par des organismes tel que Hexatrust en France regroupant plusieurs dizaines d'acteurs français de la cybersécurité, la nécessité de développer l'attractivité de cette filière apparait plus que jamais vitale. Pour former efficacement et assurer la disponibilité des compétences cyber de haut niveau, un renforcement de la coopération avec l'Education nationale doit être engagé.
L'informatique quantique en embuscade
Véritable épée de Damoclès pour la sécurité des ressources, des infrastructures et des données, l'informatique quantique apparait aussi bien comme une opportunité à saisir qu'une menace à contrecarrer.
« Le quantique, par le changement de paradigme qu’il implique et les résultats potentiellement impressionnants qu’il présente pour le numérique, peut être une menace pour la cyber, de par sa capacité à casser plus simplement les méthodes de chiffrement utilisées actuellement. Mais, il représente aussi une opportunité pour repenser la cybersécurité. Dans ce contexte, le Campus cyber devra suivre de près ces évolutions », explique le rapport. « L’apport et l’efficacité des approches sur le quantique restent à évaluer, mais elles pourraient permettre de mettre en œuvre des mécanismes nouveaux, avec une plus-value importante pour la cyber : transmission de clé de chiffrement entre nœuds non « de confiance », délégation de calculs quantiques, calcul distribués quantiques... ».