L'équipe d'analystes de cybersécurité d'ESG s'est réunie pour comparer et collaborer à nos prévisions en matière de cybersécurité pour 2020. Après de nombreuses discussions et débats, nous avons dressé la liste suivante dans trois catégories : les menaces, la technologie et la communauté de la cybersécurité.

Le paysage des menaces pour 2020

Comme indiqué précédemment, les menaces deviendront encore plus sophistiquées en 2020, profitant d'une surface d'attaque toujours croissante. Cela conduira à une situation dans laquelle :

Les compromissions des e-mails professionnels (BEC) et d'autres types de cyberfraude continueront de croître dans tous les secteurs. Une compromission des e-mails professionnels est un exploit dans lequel un cyber-adversaire accède à des comptes de messagerie d'entreprise, puis assume l'identité d'un responsable ou d'un dirigeant pour tromper les employés en leur faisant payer de fausses factures, transférer des fonds, etc. Certaines études du secteur indiquent que les BEC ont augmenté de 2 à 3 fois en 2019, et ESG le pense deviendra encore plus omniprésente en 2020 pour une raison : le BEC fonctionne. Dans le passé, les BEC étaient plus répandus dans le secteur des services financiers et de l'immobilier, où les transactions importantes sont effectuées en ligne. Les cybercriminels imiteront ces attaques dans d'autres secteurs en 2020, en mettant l'accent sur des secteurs tels que les universités et les agences gouvernementales étatiques/locales ayant une formation limitée en cybersécurité et un chiffre d'affaires élevé. Dave Gruber, d'ESG, s'attend à des paiements plus faibles mais à un volume BEC plus important l'année prochaine. D'autres types de cyberactivité frauduleuse, y compris ceux qui exploitent l'utilisation généralisée d'applications cloud pour acheminer les paiements vers des comptes personnels, augmenteront également en 2020.

Au moins trois États américains déclareront l'état d'urgence en raison de vagues de ransomwares. En juillet 2019, le gouverneur de Louisiane John Bel Edwards a déclaré l'état d'urgence en réponse aux attaques destructrices de rançongiciels perpétrées contre trois districts scolaires publics. Bien que l'État du Texas n'ait pas emboîté le pas, les agences de 22 villes de cet État ont subi un sort similaire en août. Au total, les ransomwares auront un prix de plus de 10 milliards de dollars cette année. Les ransomwares continueront d'affliger les agences étatiques et municipales qui manquent de compétences, de contrôles et de contre-mesures appropriés. Cette situation atteindra son paroxysme en 2020, car au moins trois autres États américains subissent des infestations d'attaques de ransomwares et déclarent l'état d'urgence en réponse. Cela va-t-il s'intensifier au niveau national ? L'ESG donne 20 % de chances à cette possibilité. Washington DC reste très en retard en matière de connaissances et d'actions en matière de cybersécurité, donc c'est peu probable, mais si les États de droite sont attaqués au cours d'une année électorale, les législateurs des deux partis pourraient être plus disposés à offrir une aide fédérale.

Les malwares mobiles continueront de croître. Les smartphones sont devenus un outil essentiel pour les services bancaires mobiles, les paiements et la gestion des soins de santé. En outre, les appareils mobiles et IoT sont de plus en plus répandus dans tous les types de réseaux : domestiques, d'entreprise, gouvernementaux et infrastructures critiques. Cela a entraîné une augmentation des logiciels malveillants mobiles au cours des dernières années, notamment le cheval de Troie bancaire Anubis et l'attaque de phishing TimpDoor. Compte tenu de la surface d'attaque croissante et de la protection limitée de la sécurité mobile, ESG prévoit une augmentation rapide des malwares mobiles en 2020. Alors que les consommateurs resteront au centre des préoccupations, ESG s'attend également à ce que les cyber-adversaires ambitieux incluent des vecteurs d'attaque mobile pour d'éventuelles attaques ciblées en 2020 par le biais d'attaques d'ingénierie sociale et de phishing mobile axées sur les entreprises. Les RSSI devraient évaluer la sécurité mobile et les connaissances des utilisateurs alors qu'ils préparent leurs budgets et stratégies de cybersécurité pour 2020.

La désinformation ciblée et les fausses vidéos profondes deviendront courantes. La désinformation, de fausses informations diffusées délibérément pour tromper une personne ou un groupe, est devenue synonyme d'élections démocratiques dans le monde entier. Selon une récente étude ESG, 42 % des électeurs inscrits aux États-Unis déclarent être certains d'avoir été confrontés à de la désinformation politique, 28 % sont presque sûrs de l'avoir fait et 18 % disent qu'il est probable qu'ils l'ont fait, mais ils n'en sont pas certains [1]. l'attaque contre la chaîne de restaurants Olive Garden illustre bien. ESG estime qu'en 2020, la désinformation et les fausses vidéos profondes (une technologie basée sur l'IA utilisée pour produire ou modifier du contenu vidéo et présenter du faux contenu qui n'a pas eu lieu) seront utilisées plus largement pour attaquer le secteur privé. Il est probable que ces techniques apparaîtront également dans le cadre de menaces mixtes dans les campagnes de rançongiciels. À l'approche de 2020, les organisations devraient prendre en compte ces vecteurs de menace en expansion dans le cadre de leur planification de réponse aux incidents.

Les API sans serveur seront attaquées. En matière de sécurité et de conformité, les fournisseurs de services cloud (CSP) ont toujours mis l'accent sur le modèle de responsabilité partagée. Les CSP sont responsables de la sécurité « du cloud » et les clients sont responsables de la sécurité « dans le cloud ». Cette démarcation a toujours eu du sens dans le passé, mais elle évolue actuellement, car les services informatiques sans serveur tels qu'AWS Lambda sont devenus des modèles de programmation événementiels populaires. Les modifications apportées au modèle de responsabilité partagée rendent les actifs plus dynamiques et éphémères, transformant le code d'application en infrastructure, souvent appelée infrastructure en tant que code. Ce modèle comporte de nombreux éléments mobiles et un grand pourcentage d'entreprises n'ont toujours pas les connaissances et les compétences appropriées en matière de sécurité du cloud pour suivre le rythme. Cela représente un vecteur de menace « tempête parfaite » pour les cyber-adversaires en 2020. À l'instar des attaques de mauvaise configuration de la charge de travail dans le cloud à la Capital One, ESG estime qu'au moins une attaque ciblée et/ou une violation de données de grande envergure en 2020 sera le résultat d'attaques sans serveur/au niveau de l'API. Ce vecteur de menace croissant sera également un sujet majeur pour les utilisateurs et les fournisseurs en 2020.

Développements technologiques en matière de cybersécurité en 2020

ESG estime que chaque couche de la pile technologique de cybersécurité est en phase de transition, ce qui offre des opportunités exceptionnelles aux fournisseurs de technologies. Alternativement, de nombreux utilisateurs resteront confus quant aux technologies à remplacer et/ou à compléter, et quand le faire. ESG surveillera les tendances technologiques en matière de cybersécurité en 2020, notamment :

Des piles technologiques convergentes en matière de cybersécurité. Les architectures et les plateformes intégrées continueront de supplanter les meilleurs outils ponctuels en 2020. Par exemple, l'architecture de la plate-forme d'opérations et d'analyse de la sécurité (SOAPA) va prendre de l'ampleur dans les centres d'opérations de sécurité (SOC). C'est déjà ce qui se passe. Selon une étude d'ESG, 36 % des organisations déclarent avoir un effort d'intégration SOAPA très actif, et c'est l'une de leurs priorités absolues (voir Figure 1). [2] L'intégration SOAPA prendra de l'ampleur en 2020 à mesure que les piles technologiques de sécurité migreront vers le cloud public ou feront partie de XDR (détection des menaces et suites de réponse). Ce même type de convergence aura également un impact sur la sécurité du réseau, car les contrôles individuels tels que les pare-feu, les VPN, les services de sécurité DNS, la DLP et la sécurité Web évoluent de produits en services dans le cadre des passerelles cloud élastiques (ECG) basées sur le cloud. Les ECG incluront également des services réseau tels que le SD-WAN et l'optimisation WAN. ESG prévoit une croissance robuste de l'ECG en 2020 pour s'aligner sur l'évolution des besoins de sécurité de l'informatique hybride, des travailleurs mobiles et de la croissance des appareils IoT. De même, alors que la sécurité du cloud est relativement nouvelle dans les autres catégories de produits de cybersécurité, ESG s'attend également à une convergence sur ce segment de marché. À ce stade, la sécurité des conteneurs est et continuera de devenir une caractéristique des plateformes de protection des charges de travail dans le cloud (CWPP) et ESG prévoit que les CWPP fusionneront avec les solutions de gestion de la posture de sécurité du cloud (CSPM) représentant l'arrivée de plates-formes de sécurité dans le cloud.

La gestion des vulnérabilités deviendra un lien entre l'IA et l'automatisation. Lorsqu'on leur a demandé d'identifier les principaux objectifs opérationnels de sécurité de leur entreprise, 40 % des professionnels de la sécurité ont déclaré qu'ils souhaitaient améliorer leur capacité à découvrir, hiérarchiser et corriger les vulnérabilités logicielles. En fait, la gestion des vulnérabilités pose problème depuis des années. Les outils d'analyse détectent régulièrement des milliers de vulnérabilités logicielles au sein de l'entreprise, laissant les équipes des opérations informatiques stupéfaites quant aux priorités et aux solutions à corriger. Pour remédier à cette situation omniprésente, les organisations compléteront les scanners de vulnérabilité par l'AI/ML et l'automatisation des processus (SOAR) en 2020. Les outils de fournisseurs tels que Kenna Security et Tenable Networks aideront les entreprises à hiérarchiser les correctifs logiciels critiques en fonction d'algorithmes qui tiennent compte des facteurs de renseignement sur les menaces et d'exploitabilité pour calculer les scores de risque. Fort de ces connaissances, le personnel des opérations informatiques travaillera sur les activités de correction à l'aide de runbooks et d'outils d'automatisation des processus de Demisto, IBM, Lastline, ServiceNow, Splunk (Phantom) et d'autres. Bien que ces technologies ne soient pas nouvelles, la gestion des vulnérabilités deviendra un foyer d'activité en 2020, car l'IA, l'automatisation et les scanners de vulnérabilité sont étroitement intégrés et proposés sous forme de suites groupées ou de services gérés.

Mégaprojets IAM à l'échelle de l'entreprise. L'infrastructure de gestion des identités et des accès (IAM) a longtemps été collée de manière fragmentaire et inefficace. Cela est souvent dû au fait que de nombreux groupes possèdent des éléments d'infrastructure IAM (tels que les développeurs d'applications, les opérations informatiques et la cybersécurité), mais personne n'est responsable de tout cela. L'utilisation généralisée d'applications et de services cloud exacerbe ces défis de gouvernance de la gestion des identités et des accès, les identités étant souvent stockées dans des silos cloud. L'un des effets secondaires notables des identités dans le cloud est la prolifération des comptes privilégiés, y compris les comptes de service. Bien que cela ne changera pas, ESG s'attend à ce que de nombreuses grandes entreprises élaborent des plans visant à remplacer l'ancien patchwork d'outils IAM par des solutions IAM d'entreprise basées sur le cloud en 2020 pour plusieurs raisons. Tout d'abord, l'infrastructure IAM existante est trop encombrante pour prendre en charge les applications mobiles, les nuages hétérogènes et les populations croissantes d'utilisateurs employés et non employés, ce qui crée un besoin commercial de changement. Ensuite, les employés et les non-employés se promènent avec des téléphones mobiles conçus avec des technologies biométriques et des normes d'authentification telles que FIDO, instrumentant l'architecture IAM pour une authentification forte. Enfin, les moteurs d'identité hautement évolutifs basés sur le cloud d'Amazon, Google, Microsoft, Octa, Ping et VMware faciliteront la transition. ESG prévoit que ces projets IAM incluront également une nouvelle approche de la gestion des accès privilégiés (PAM) pour mettre en œuvre des politiques de moindre privilège afin de limiter l'accès des utilisateurs aux applications et services cloud de grande valeur. Ces projets débuteront en 2020 mais dureront deux à trois ans pour être achevés. Néanmoins, 2020 sera une année importante pour la modernisation des identités alors que l'IAM passe au cloud.

Une année importante pour le renseignement sur les menaces et la chasse, et l'importance croissante du framework MITRE ATT&CK. Quatre-vingt-deux pour cent des professionnels de la sécurité déclarent que l'amélioration de la détection des menaces est une priorité absolue dans leur organisation. [3] Cela équivaut souvent à la détection des attaques en temps réel, mais la détection complète des menaces doit également inclure des enquêtes rétrospectives, des analyses judiciaires numériques et une recherche proactive des menaces. Les RSSI commencent à reconnaître qu'ils doivent faire davantage en matière de renseignement sur les menaces, au-delà du simple blocage des IoC à haut risque. En 2020, de nombreuses entreprises mettront en place des programmes officiels de renseignement sur les menaces, en utilisant des éléments tels que le cadre MITRE ATT&CK et les hubs d'analyse et d'activité des Threat Intelligence (TIaaS) de fournisseurs tels qu'Anomali, RecordedFuture, ThreatConnect et ThreatQuotient. Encore une fois, la pénurie mondiale de compétences en cybersécurité va probablement freiner les plans d'embauche, de sorte que la plupart des organisations opteront plutôt pour des services de sécurité gérés. En fait, 44 % des organisations utilisent ou prévoient d'utiliser des services gérés pour l'analyse des informations sur les menaces, tandis que 30 % utilisent ou prévoient d'utiliser des services gérés pour la recherche proactive des menaces. Ce chiffre ne fera qu'augmenter en 2020 : 91 % des organisations indiquent qu'elles augmenteront leur utilisation des services de sécurité gérés à l'avenir.

Développements communautaires en matière de cybersécurité en 2020

La communauté de la cybersécurité comprend des professionnels de la sécurité, des fournisseurs de services et des fournisseurs de technologies. Au sein de cette communauté, les attentes d'ESG pour 2020 incluent :

Inflation salariale massive pour les experts en sécurité cloud. Les entreprises déplacent de manière agressive les charges de travail vers le cloud public, créant ainsi une architecture informatique hybride. Cela a créé une forte demande pour de nouveaux postes de sécurité tels que des architectes et des ingénieurs en sécurité dans le cloud, mais les personnes possédant ces compétences sont rares. Selon une étude menée par ESG et l'Information Systems Security Association (ISSA), un tiers des professionnels de la cybersécurité affirment que parmi tous les déficits de compétences en sécurité, les compétences en sécurité dans le cloud représentent l'une des plus grandes lacunes [4]. actuellement, ESG s'attend à ce que le déficit de compétences en sécurité du cloud augmente en 2020. Les entreprises qui recherchent désespérément des compétences en matière de sécurité dans le cloud seront en concurrence pour attirer les talents en augmentant les salaires et les avantages sociaux, ce qui entraînera une Cela provoquera à son tour plusieurs effets d'entraînement. Pour tirer parti d'opportunités lucratives, des professionnels de la sécurité chevronnés rechercheront des programmes de formation et de certification dans le cloud, tandis que des professionnels expérimentés de la sécurité dans le cloud seront recrutés loin d'emplois stables, ce qui entraînera des taux d'attrition élevés et des déficits de compétences internes imprévus. Attendez-vous à ce que la formation sur la sécurité du cloud soit mise en avant à Black Hat en août, alors que le chaos causé par les différences de compétences en matière de sécurité du cloud est généralisé

Accent mis sur le cyber-risque et la réduction de la surface d'attaque. Alors que dans le passé, une grande partie de la cybersécurité était centrée sur la détection et la réponse aux menaces, ESG estime que les organisations mettront davantage l'accent sur les cyberrisques en 2020. Cela nécessitera une visibilité granulaire de tous les nœuds du réseau, une connaissance en temps réel du paysage des menaces et une véritable compréhension des actifs réellement vulnérables. À l'heure actuelle, aucun outil d'analyse ne peut fournir un tel niveau de détail sur les cyberrisques (remarque : il s'agit d'une énorme opportunité), de sorte que les RSSI augmenteront leurs dépenses l'année prochaine dans des domaines tels que les outils de test d'attaque et de pénétration automatisés en continu (CAPAT) (comme AttackIQ, Cymulate, Randori, SafeBreach, Verodin [FireEye] et XM Cyber) qui évaluent les contrôles de sécurité et la préparation aux attaques. Comme mentionné précédemment, ESG s'attend également à de nombreuses actions concernant l'intégration de la gestion des vulnérabilités liées aux scanners, aux outils d'automatisation des processus/SOAR et à l'IA/ML. Dans le cadre de leur concentration sur la gestion des cyberrisques, les RSSI feront également de la réduction de la surface d'attaque une priorité absolue en 2020. Cet effort encouragera des projets dans des domaines tels que les services de sécurité DNS (tels que Cisco Umbrella et Infoblox) et les initiatives de mise en réseau Zero Trust (telles que le périmètre défini par logiciel [SDP] et les projets de microsegmentation avec des fournisseurs tels que Cyxtera, Illumio, Palo Alto Networks, Privacy, vArmour et Zscaler). Attendez-vous à ce que les organisations reviennent également à l'essentiel, avec des efforts renouvelés en matière d'hygiène de sécurité, comme le Top 20 de la CEI et le Top 10 de l'OWASP.

Les fournisseurs de services cloud (CSP) deviendront des centres de cybersécurité. Alors que le modèle de sécurité du cloud partagé persiste, les principaux fournisseurs de services cloud continuent d'augmenter leur technologie et leur offre de services de sécurité. Par exemple, Google (Chronicle Backstory) et Microsoft (Azure Sentinel) ont introduit des analyses de sécurité basées sur le cloud en 2019, Amazon faisant de même avant la fin de l'année. Chaque CSP dispose également de capacités de sécurité de base accrues au sein de ses environnements cloud. Lors d'AWS Re:Inforce en juin, Amazon a publié une série d'annonces dans des domaines tels que la surveillance du trafic VPC, l'authentification multifacteur (MFA) et la sécurité Kubernetes. De même, Google a annoncé plusieurs mises à niveau de sécurité, dont l'édition Google Premium, un ensemble de son centre de commande de sécurité dans le cloud et de ses fonctionnalités de détection des menaces Lors du salon Ignite, Microsoft a mis l'accent sur Azure Security Center pour la gestion de la posture, le MFA et les nouvelles défenses contre les menaces internes, tandis que le pionnier de l'informatique hybride VMware a récemment complété son portefeuille de sécurité par l'acquisition de Carbon Black. À l'avenir en 2020, les organisations définiront davantage leur architecture informatique pour la prochaine décennie et sélectionneront les principaux partenaires fournisseurs de cloud. À ce moment-là, les fonds budgétaires migreront des fournisseurs de technologies de sécurité cloud autonomes vers les fournisseurs de services de sécurité du cloud. Les fournisseurs de cybersécurité qui permettent aux entreprises d'unifier leurs politiques de sécurité à travers les infrastructures disparates d'hybrides, multi-clouds (par exemple, la gestion des pare-feu et la prévention des pertes de données) seront de plus en plus considérés comme stratégiques en fournissant des fonctionnalités importantes non disponibles dans l'hyperscale CSP.

Activité de fusions et acquisitions. 2019 a été un foyer de fusions-acquisitions dans le secteur de la cybersécurité. Palo Alto Networks a saisi Demisto, Twistlock, PureSec et Zingbox. Trend Micro a acheté Cloud Conformity. Carbonite a acquis Webroot en mars, puis le conglomérat nouvellement formé a été acheté par OpenText. Symantec a été englouti par Broadcom tandis que la société de capital-investissement Thoma Bravo a acheté Sophos. ESG prévoit une augmentation de l'activité de fusions et acquisitions en 2020 alors que les grands fournisseurs de plateformes comblent les lacunes de leurs portefeuilles dans des domaines tels que :

Sécurité des terminaux. Il existe encore quelques indépendants comme Cybereason et SentinelOne qui pourraient étendre le portefeuille d'un fournisseur plus important.

Analyse du trafic réseau. Il existe de nombreux produits puissants de fournisseurs tels que Corelight, DarkTrace et Vectra Networks. Ces outils logiciels peuvent devenir des capteurs pour des sociétés et des services d'analyse de sécurité plus larges.

Sécurité dans le cloud. Les sociétés de sécurité des conteneurs telles qu'Aoreto, Aqua Security, NeuVector et StackRox ; les fournisseurs CWPP tels que Capsule8, Lacework et Threat Stack ; et les fournisseurs CSPM tels que DivvyCloud, Fugue et CloudCheckr figurent tous sur la liste des responsables du développement d'entreprise et des banquiers d'investissement.

Analytique IA/ML. À mesure que l'analyse AI/ML devient une caractéristique du produit plutôt qu'un marché autonome, de nombreux magasins spécialisés seront conquis.

CAPAT. Alors que ce marché se réchauffe, ESG s'attend à ce que CAPAT devienne un élément essentiel des plateformes de gestion des cyberrisques.

Technologies de tromperie. Il s'agit d'un marché naissant, mais son utilisation et sa valeur augmentent. Quelques petites acquisitions sont possibles ici.

TIAA. L'analyse des menaces et les centres d'activité sont appréciés par les entreprises clientes tout en restant quelque peu sous-évalués sur le marché. L'exception ici est RecordedFuture, qui a été rachetée par Insight Partners en mai 2019. ESG s'attend à ce qu'il en soit de même en 2020.

[1] Source : Note ESG, Les électeurs sont d'accord : la désinformation politique est réelle, omniprésente et troublante, novembre 2019.

[2] Source : Rapport de recherche ESG, The Rise of Cloud Security Analytics and Operations Technologies, à paraître. Toutes les autres recherches et références ESG ont été tirées de ce rapport de recherche, sauf indication contraire.

[3] Source : Résultats de l'enquête principale ESG, The Threat Detection and Response Landscape, avril 2019.

[4] Source : Rapport de recherche ESG, The Life and Times of Cybersecurity Professionals 2018, mai 2019.