Que réserve l'année 2023 à la cybersécurité ?
Alors que nous approchons de la fin de l'année 2022, la question se pose : qu'est-ce qui nous attend en 2023 ? Qu'il s'agisse des réglementations ou des identités numériques, nous avons demandé à nos experts ce qu'ils pensaient de l'avenir de la cybersécurité.
Les identités autonomes ont le vent en poupe
L'année 2023 verra le premier portefeuille d'identité numérique prenant en charge les transactions transfrontalières de confiance dans l'UE, où les consommateurs auront le contrôle ultime de l'endroit et de la manière dont leur identité électronique sera utilisée. L'introduction d'une utilisation à grande échelle des identités auto-souveraines sera le principal facteur de démocratisation de l'identité des consommateurs/citoyens dans le monde.
- Grâce à l'extension des règlements eiDAS de 2014 et à la publication, en septembre 2022, du cadre européen d'identité numérique eIDAS 2.0 - Toolbox, l'innovation progressera rapidement avec la promesse d'une interopérabilité transfrontalière de l'identité numérique.
- Il faut s'attendre à une transformation de la société grâce à l'introduction d'applications plus larges et à leur adoption par les consommateurs, l'accent étant mis sur la facilité d'utilisation et l'amélioration de la protection de la vie privée dès la conception.
- Le consentement sera essentiel pour renforcer la protection de la vie privée des consommateurs, notamment en ce qui concerne la manière dont leurs données seront utilisées ou partagées et le lieu où elles le seront.
- Les portefeuilles numériques seront la méthode de facto permettant aux utilisateurs d'apporter leur propre identité (BT.YOI) et de prendre en charge un large éventail de cas d'utilisation commerciaux et gouvernementaux, notamment la création de comptes bancaires, la preuve d'un âge adéquat (sans communiquer la date de naissance exacte), l'accès aux dossiers médicaux et l'interaction avec les services gouvernementaux, pour n'en citer que quelques-uns.
- Si l'on considère que les appareils mobiles et les applications en ligne seront les méthodes les plus courantes d'accès aux portefeuilles numériques, l'importance de la cybersécurité des appareils mobiles et en ligne ne fera que croître.
Les outils de messagerie progressent, mais le courrier électronique restera populaire en 2023 - et au-delà
Au cours de mes presque 20 ans de carrière dans le monde de l'informatique, j'ai été exposé à de nombreuses prédictions. Même si certaines d'entre elles étaient fausses (inévitablement), elles ont tout de même déclenché des discussions et des processus de réflexion intéressants. L'une d'entre elles a été faite en Allemagne lors du salon it-sa par l'un des fournisseurs de plateformes de collaboration, en 2018. "Le courrier électronique aura disparu dans les cinq prochaines années", ont-ils déclaré et semblaient convaincus que leur déclaration se concrétiserait.
Maintenant, en regardant ces cinq dernières années, il y a eu des changements dans la façon dont nous communiquons. Les services et les applications de messagerie sont de plus en plus utilisés dans le monde des affaires, comme Microsoft Teams, ce qui fait que l'e-mail est davantage réservé à la communication interne.
Mais comment se fait-il qu'il y ait 4 milliards d'utilisateurs quotidiens envoyant des emails (et que ce chiffre augmente) ? L'une des réponses est cachée dans le dernier paragraphe. Messageries, au pluriel. Chaque entreprise utilise l'outil de messagerie de son choix. Même si le même outils est utilisé, les administrateurs ont peur d'ouvrir cette plateforme de communication à des parties externes, car ils craignent de créer une nouvelle interface d'attaque.
Ainsi, même après 50 ans, en 2023, le courrier électronique restera l'une des rares normes de communication permettant d'échanger des informations de manière fiable dans le monde entier. Tant qu'il sera sécurisé et fiable, je ne m'attends pas à des changements majeurs dans les années à venir.
Réalité virtuelle, réalité augmentée et réalité mixte : Qui sera le vainqueur à la fin ?
Les technologies du futur telles que la réalité virtuelle (VR), la réalité augmentée (AR) et la réalité mixte sont toutes considérées comme des domaines à forte croissance. Plusieurs géants de la technologie comme Meta, Microsoft, Nvidia, Alphabet, Qualcomm et même Apple ont déjà choisi leur camp et y investissent des effectifs, du temps et de l'argent.
Meta, la société mère de Facebook, que nous avons vue apparaître assez souvent dans l'actualité ces derniers temps, croit fermement que le métavers est la "nouvelle grande chose" et investit des milliards de dollars pour que le rêve de Mark Zuckerberg devienne réalité. Ce monde immersif en RV 3D est la nouvelle mode et prend lentement mais sûrement forme. Cependant, certains se demandent si ces plateformes seront un jour peuplées d'autres personnes que des équipes de marketing et des développeurs GAFAM. Pour l'instant, les avis sont partagés, il faut donc attendre et voir pour l'instant.
Apple, de son côté, a placé tous ses espoirs dans la RA, qui permet à l'utilisateur de revêtir des lunettes et de vivre dans un monde où son univers réel est visuellement augmenté et où des données, des informations et d'autres détails lui sont superposés.
Avec les énormes investissements réalisés par ces entreprises technologiques dans les différents mondes/technologies, nous pourrions constater qu'en 2023, ces formes de technologies seront davantage intégrées dans nos vies. La formation, l'éducation, le marketing, le divertissement et la médecine (c'est-à-dire la chirurgie) ont tous un énorme potentiel, qui doit encore être découvert et développé. Il se peut que plusieurs années nous séparent encore du moment où toutes ces "réalités" seront bien établies, mais 2023 devrait nous donner une bonne idée de la direction vers laquelle nous nous dirigeons.
En quoi consiste la DSP3 et quand peut-elle entrer en vigueur ?
L'Open Banking n'a cessé de se développer en Europe depuis le lancement de la directive sur les services de paiement 2 (PSD2) en juin 2016.
En mai 2022, la Commission européenne (CE) a publié une consultation ciblée afin de recueillir des éléments pour sa révision de la PSD2 et élaborer de nouvelles législations comme la PSD3.
Les discussions sur la forme que pourrait prendre la PSD3 sont nombreuses. Quoi qu'il en soit, elle modifiera la législation actuelle pour rendre les paiements plus rapides et plus sûrs tout en s'alignant mieux sur le cadre juridique de l'UE. Quelques indications sur ce qui pourrait être abordé :
- Les activités non réglementées telles que les transactions utilisant des crypto-actifs, les services d'achat immédiat et de paiement ultérieur, l'exploitation de systèmes de paiement, les services de portefeuilles numériques et les services de traitement des paiements.
- Modifications de l'authentification forte du client (SCA)
- Une lutte plus efficace contre la fragmentation en Europe en incluant une spécification plus précise et concrète des normes API, des services d'annuaire et de l'infrastructure.
La PSD3 n'en est qu'à ses débuts, mais la priorité absolue est de garantir une large adoption du plus haut niveau de normes de sécurité et de solutions de paiement européennes transfrontalières. Les organes compétents de la Commission européenne examineront les questions soulevées lors de la consultation ainsi que toute autre conclusion et travailleront à l'élaboration d'un projet de PSD3, qui devrait être prêt au début ou à la mi-2023. Il faudra peut-être attendre trois à cinq ans avant que les entreprises ne soient obligées de se conformer pleinement à cette directive, mais les chefs d'entreprise doivent se tenir au courant de ces nouveaux développements. Nous prévoyons que les entreprises investiront dans la technologie liée à la PSD3 et optimiseront leurs pratiques numériques afin de renforcer l'efficacité de leurs activités.
L'authentification de l'identité sera plus importante que jamais
Sans plonger tête baissée dans la politique, la première salve d'Elon Musk sur Twitter l'a vu proposer des coches de vérification pour 8 dollars et, en quelques heures, la plateforme bannissait et suspendait des comptes d'imposteurs - dont beaucoup se faisaient passer pour Musk lui-même. C'est l'exemple anecdotique le plus récent qui montre pourquoi la capacité à vérifier l'authenticité d'une chose n'a jamais été aussi importante, surtout lorsqu'il s'agit d'identité.
Chaque jour, une part de plus en plus grande de nos vies devient numérique. Dans la vie réelle, nous avons des cartes d'identité, des passeports, des documents gouvernementaux qui peuvent authentifier nos identités. Sur l'internet, les choses continuent d'évoluer. Ce problème est particulièrement aigu dans le monde de la cybercriminalité, où l'usurpation d'identité est souvent le point de départ d'une violation ou d'une attaque beaucoup plus importante.
C'est pourquoi les entreprises s'efforcent de sécuriser leurs réseaux et leurs appareils en mettant en œuvre une PKI robuste, c'est pourquoi les mesures de sécurité du courrier électronique telles que S/MIME sont reconsidérées et plus largement mises en œuvre et c'est pourquoi l'Europe redouble d'efforts en matière de signatures numériques. Et alors que nous entrons dans une nouvelle ère de contrefaçons et de désinformation profondes, où les cybermenaces ne feront que devenir plus dangereuses et pernicieuses, le besoin pressant d'une authentification forte de l'identité ne fera que se cristalliser.
La perception des gens sur la sécurité et le marché des AC va changer
Il y a quelques années, les organisations mettaient en œuvre des logiciels de sécurité très basiques qui ne nécessitaient qu'une faible supervision. Aujourd'hui, la situation est très différente. Les entreprises comprennent désormais que leur avenir n'est pas si sûr et que les éléments malveillants deviennent chaque jour plus intelligents. De nouvelles cyberattaques ont lieu en permanence, et les entreprises et services informatiques peinent à les contenir.
En 2023, nous pouvons nous attendre à voir une multiplication par deux de la sensibilisation à la sécurité, ainsi que des produits utilisant l'infrastructure à clé publique (PKI), mais aussi la sécurité du cloud de manière plus générale, en particulier dans les marchés en développement comme l'APAC et les pays africains par rapport à l'Occident. Par exemple, nous pourrons constater un travail louable en Inde, où le gouvernement a déjà sensibilisé ses citoyens aux dangers qui peuvent se cacher sur leurs ordinateurs et leurs téléphones. Grâce à cela, les gens sont de mieux en mieux informés sur la sécurité numérique, et cela continuera à se développer en 2023 et au-delà.
En outre, on assistera à l'adoption de produits faciles à utiliser, qui s'intègrent bien et peuvent suffire à de nombreux cas d'utilisation - ce qui revient à "faire d'une pierre deux coups", car les entreprises se lassent de devoir s'appuyer sur une pléthore d'outils de sécurité (il y a tout simplement trop de produits différents sur le marché, il sera donc bon, d'assister à un remaniement).
Les autorités de certification comme GlobalSign verront leur demande monter en flèche, car elles sont conformes et s'appuient sur des certificats fiables.
En outre, nous verrons de nouveaux entrants sur ce marché, notamment les systèmes d'exploitation (Microsoft, Apple, Linux), car ils comprennent la nécessité d'intégrations centralisées par le biais du cloud. Certains segments comme le commerce électronique et la défense connaîtront une forte demande. Selon le cabinet d'études MarketsandMarkets, nous nous situons à environ 130 millions de dollars en AC, et nous verrons ce chiffre passer à 230-250 millions de dollars.
Lois sur les données de 2023 : Où allons-nous ?
Avant de pouvoir envisager ce que les 12 prochains mois pourraient nous réserver, il est important de récapituler l'année écoulée. Alors, que s'est-il passé en 2022 ? Bien sûr, nous avons vu de nombreuses affaires, des jugements et quelques mises en application. Cependant, ce qui est vraiment ressorti, ce sont les changements et les adaptations du paysage législatif mondial. À la suite des très graves violations des données de Medibank et d'Optus, l'Australie propose une révision radicale des lois sur les données, en réponse à une mise en œuvre largement incomprise des exigences en matière de cookies par les développeurs web, le Royaume-Uni envisage de supprimer certaines parties du règlement général sur la protection des données (RGPD), la loi californienne sur la protection de la vie privée des consommateurs (CCPA) a déclenché une boule de neige d'autres États qui réexaminent leurs propres règles et de nombreuses autres nations examinent de près leurs cadres juridiques concernant les données.
Il est presque certain que 2023 verra à la fois la poursuite et la croissance de ces activités. Nous assistons déjà à des violations de données qui font l'objet de reportages dans les journaux télévisés et cela deviendra un élément courant au cours de l'année prochaine. Au fur et à mesure que le public sera sensibilisé, la demande et les attentes en matière de confidentialité et de protection des informations augmenteront.
Même si l'on espère que, malgré les modifications apportées à la législation locale (si elles sont mises en œuvre), le Royaume-Uni conservera sa décision d'adéquation de l'Union européenne (UE). S'il perd ce statut, il deviendra très vite évident qu'il est difficile de commercer, de communiquer et d'interagir avec d'autres nations et c'est pour cette raison que nous verrons des pays dont les lois sur les données sont dépassées commencer à les revoir et à les mettre à jour pour répondre, au moins au niveau conceptuel, à la barre élevée fixée par le GDPR.
Les États-Unis sont le pays où l'on s'attend à ce que les lois sur les données subissent le plus de changements. Dans ce pays, les changements sont multiples et comprennent l'accélération de l'adoption de lois sur la protection des données au niveau fédéral. Historiquement, et jusqu'à ce jour, il n'y a pas eu d'unité ou de centralisation d'un ensemble commun de principes dans ce domaine, en dehors de secteurs verticaux spécifiques (pensez à la FTC, HIPAA, etc.). Les actions qui se déroulent dans les espaces d'ouverture bancaire vont presque certainement imposer le passage à cette cohésion législative centrale, gérée et alignée, ce qui aura pour effet de créer un modèle de protection de la vie privée qui pourra s'appliquer à tous les États et à toutes les industries et qui sera le véhicule de transferts de données efficaces et sans friction dans tout le pays.
L'un des grands titres de l'année prochaine sera certainement le nouvel accord-cadre entre les États-Unis et l'Union européenne. Longtemps attendu depuis l'invalidation du Privacy Shield en 2020, son remplacement est très attendu pour le début de l'année 2023. Il faudra bien sûr du temps pour que cet accord s'installe et que l'on puisse s'en servir comme base juridique pour le transfert, mais l'espoir qu'il remplace les actuelles évaluations d'impact du transfert (EIT) est grand.
Certaines questions sont impossibles à prévoir. Le Royaume-Uni va-t-il supprimer le GDPR et repartir de zéro ? Max Schrems contestera-t-il instantanément le remplacement du Privacy Shield ? Les instabilités politiques dans certaines régions feront-elles dérailler la politique dans ce domaine ? Davantage de pays adopteront-ils des exigences en matière de localisation des données ? Il existe cependant quelques certitudes absolues : l'importance de la protection des données va croître, la sensibilisation aux utilisations des données va s'intensifier et les données vont devenir encore plus précieuses pour les fraudeurs, ce qui incitera les organisations du monde entier à surveiller et à améliorer en permanence la protection de leur propre infrastructure.
2023 sera une année à surveiller et à retenir.
La gestion automatisée des certificats sera un moteur émergent dans le DevSecOps
En 2023 et au-delà, la sécurité ne sera plus une seconde pensée dans les pipelines DevOps. Ce n'est qu'au cours des dernières années que DevSecOps a émergé comme un segment important de l'industrie DevOps globale. Mais compte tenu de l'augmentation massive des violations de données, des attaques de phishing et autres, il est tout à fait clair que les développeurs doivent de plus en plus compter sur des outils tels que la gestion automatisée des certificats pour assurer la sécurité de leurs systèmes.
Je dis cela parce que, pour avoir une approche DevSecOps centrée, les développeurs doivent s'assurer que la sécurité est injectée dans chaque couche du cycle de vie du développement, ce qui n'est pas possible sans la gestion automatisée des certificats. L'automatisation de la gestion des certificats permet de garantir une sécurité stricte dans le pipeline de développement.
1. Visibilité des certificats - Une infrastructure PKI centralisée aidera les organisations à suivre et à gérer leurs certificats depuis la validation du code sur les systèmes de contrôle de version jusqu'au déploiement.
2. Automatisation et intégration dans CI/CD - Avec l'aide du protocole ACME, il est facile de configurer et d'installer des certificats à proximité du pipeline CI/CD.
3. Sensibilisation à la sécurité et mise en œuvre - L'infrastructure de gestion automatisée des certificats aide les développeurs à comprendre les protocoles de sécurité et ils seront en mesure d'appliquer les certificats dans leurs flux de travail automatisés pour sécuriser leur infrastructure de bout en bout.
Ainsi, les organisations qui veulent assurer la sécurité de leurs systèmes doivent se concentrer et investir davantage dans la gestion automatisée des certificats.
L'industrie de l'automatisation en Amérique latine devra mettre en œuvre davantage de solutions de cybersécurité l'année prochaine
En 2023, les économies d'Amérique latine commenceront à se remettre d'une combinaison d'impacts : la pandémie, les perturbations économiques et les cyberattaques. Dans l'ensemble, la région, qui compte 33 pays, aura besoin d'une plus grande productivité. L'automatisation est la clé, car elle permettra d'optimiser la production dans diverses industries telles que l'automobile, l'agroalimentaire et les mines, qui sont les principaux secteurs de la région. Par conséquent, avoir accès à des systèmes de sécurité informatique qui permettent de mettre en œuvre ces technologies de manière efficace est essentiel, mais constitue également un défi pour notre région.
Heureusement, les grandes entreprises prévoient d'investir dans l'automatisation au cours de l'année prochaine. Selon la troisième édition du rapport Now and Next de Futurum Research, 77 % des entreprises ont l'intention d'accroître leurs investissements dans l'automatisation. De même, Gartner prévoit que 85 % des responsables des infrastructures et des opérations (I&O) envisagent d'automatiser leurs entreprises dans les trois ans à venir.
Les processus d'automatisation utilisent des logiciels et des systèmes de connectivité susceptibles d'être attaqués. C'est pourquoi ils exigent des mises en œuvre qui résolvent ces vulnérabilités, afin d'améliorer les systèmes de production. En ce sens, les investissements ne doivent pas être destinés uniquement au processus d'automatisation, mais les entreprises doivent également prendre en considération les processus de sécurité nécessaires pour éviter toute attaque afin de ne pas compromettre la productivité de l'entreprise.
eIDAS 2 : de nouveaux horizons pour l'identité numérique européenne
2023 apportera des changements pour le travail à distance, les infrastructure en ligne et la sécurité des données, et la collaboration internationale.
Chaque année, nous pensons avoir une idée de ce que nous réservent les améliorations et les avancées technologiques. Ces deux dernières années, nous avons assisté à d'énormes bouleversements, comme la pandémie et maintenant la guerre en Ukraine, qui ont catapulté ces changements et nous ont fait réévaluer notre façon de travailler, de vivre et de jouer.
La pandémie a apporté des changements qui nous sont restés ou que nous apprenons encore à gérer, à savoir le travail à distance et la communication numérique. Cette année, la guerre en Ukraine a entraîné davantage de changements et d'inquiétudes, notamment en ce qui concerne la cyberguerre.
Travail à distance - Les attaques par hameçonnage constituent une menace omniprésente pour la sécurité du secteur informatique, de nombreuses personnes étant encore victimes d'e-mails d'hameçonnage. Sans compter que les employés utilisent leurs appareils personnels pour l'authentification à deux facteurs, et qu'ils peuvent très bien avoir des versions mobiles d'applications de messagerie instantanée.
Infrastructure en ligne et sécurité des données - Les violations de données coûtent plus cher que jamais et les ransomwares sont chaque jour plus prolifiques dans tous les domaines d'activité, notamment dans les secteurs de la santé, de la finance et de l'éducation. Il ne suffit plus de sécuriser votre site web. Les pirates informatiques sont plus malins que jamais !
Collaboration mondiale et signature numérique - Le marché mondial de la signature numérique se développe à un rythme effréné. Le lancement du portefeuille d'identité numérique de l'UE (et d'eIDAS 2) sera le plus notable. En bref, la signature numérique crée une confiance électronique entre les personnes, les entreprises et les organismes publics en normalisant l'identification et les signatures électroniques dans le monde entier. Votre compétitivité sur le marché dépendra de la rapidité avec laquelle vous pourrez mener vos affaires au niveau national ou international en toute sécurité et dans le respect des directives de conformité.
Les directives à venir
Après des cyberattaques de toutes sortes qui semblent interminables, les gouvernements du monde entier commencent à avoir la bougeotte. Comme l'a déclaré en octobre Anne Neuburger, conseillère adjointe à la sécurité nationale des États-Unis pour les technologies cybernétiques et émergentes, "si vous êtes un fournisseur de technologie, vous êtes responsable de la sécurité de base de cette technologie".
Un mois plus tôt, des leaders internationaux de la cybersécurité s'étaient réunis à l'occasion du WSJ CIO Network Summit. Le titre du Wall Street Journal sur cet événement du 21 septembre résume bien la situation : Les investissements dans la cybersécurité ne sont plus facultatifs, avertissent les responsables.
Lors de l'événement, Lindy Cameron, directrice générale du UK National Cyber Security Centre, a déclaré que "trop souvent, les organisations n'étaient pas préparées".
Les messages sont assez clairs : des changements sont à venir.
Dans cette optique, ne soyez pas surpris si le gouvernement américain - et d'autres - annoncent dans le courant de l'année 2023 leur intention de mettre en place des réglementations obligatoires en matière de cybersécurité d'ici 2025. Ces réglementations seront considérées comme un mal nécessaire pour s'assurer que les entreprises, grandes et petites, prennent les mesures nécessaires pour mettre en place des mesures de cybersécurité. Tant que les cyber-gangs ne seront pas éradiqués, il sera impossible d'éviter ces nouvelles réglementations. La bonne nouvelle : ces réglementations devraient contribuer à réduire les cyberattaques. La mauvaise nouvelle : comme les impôts, les nouvelles réglementations seront probablement en place pendant de nombreuses années encore.