Blog de GetApp sur les applications métiers

Sécurité informatique : ce que les entreprises doivent savoir pour 2019

Publié le 05/02/2019 par Sonia Mokrani

Partager cet article

Sécurité informatique 2019

Botnets, attaques de mining de cryptomonnaie… De nouvelles menaces surgissent sans cesse dans le paysage de la sécurité informatique.

Il est essentiel de comprendre les tendances dans le domaine de la sécurité IT, non seulement pour faire face à ces menaces dès qu’elles apparaissent, mais aussi pour prévoir un budget cybersecurité suffisant pour l’année 2019.

Les résultats de l’une de nos enquêtes indiquent que de plus en plus d’entreprises investissent dans des solutions technologiques pour se protéger des cyberattaques. Les cybercrimes (attaques de logiciels rançonneurs, spear phishing et cryptojacking) devraient augmenter en 2019 et forcer les entreprises à dépenser des milliards d’euros pour compenser l’interruption de leurs activités, payer les rançons demandées et limiter les dégâts occasionnés par ces incidents.

Pour réduire les frais liés à une faille de sécurité et renforcer la confiance de leurs clients et de leurs partenaires, les PME doivent comprendre les évolutions du paysage des menaces, des technologies de protection des données et des réglementations en matière de sécurité informatique.

En 2019, on s’attend à observer une augmentation des risques associés aux objets connectés (IoT) ainsi que des investissements dans la protection des données en cloud et dans les technologies anti-malwares. De plus, la sécurité devrait devenir une fonction de gestion à part entière dans les entreprises.

Dans cet article, vous découvrirez les quatre tendances de sécurité informatique auxquelles les PME doivent s’attendre et les étapes à suivre pour s’y préparer.

Sécurité informatique prévision pour 2019

Prédiction 1 : les investissements en technologies de protection des données en cloud vont augmenter

En 2019, les PME investiront plus que les années précédentes dans la protection de leurs données en cloud via diverses technologies comme le cryptage, la prévention des pertes de données, le recours aux autorisations et autres. De nombreuses entreprises collaboreront dans ce cadre avec des prestataires d’infogérance fiables auxquels elles confieront la gestion des informations de leurs clients pour compenser leurs propres points faibles en matière de protection des données.

Selon un rapport de Gartner intitulé “Predicts 2018: Security Solutions” (en anglais – rapport complet disponible pour les clients Gartner), plus de 35 % des entreprises auraient investi dans plusieurs solutions de protection des données en 2017. Elles seront plus de 60 % d’ici 2020.

Quels sont les facteurs ?

  • Renforcement de l’arsenal réglementaire. La publication de nouvelles réglementations comme le RGPD ainsi que la perspective des lourdes amendes auxquelles s’exposent les contrevenants incitent les entreprises à investir dans des outils de protection des données.
    Les nouvelles réglementations permettent aux consommateurs d’exercer un contrôle plus direct sur la récolte, le stockage et l’exploitation de leurs informations. Elles poussent les entreprises à se mettre en règle en investissant dans des technologies permettant d’assurer la sécurité des données.
  • Stockage en cloud de la majorité des données. La plupart des PME stockent leurs données en cloud. La sécurisation des infrastructures de ce type et celle des services associés sont donc essentielles. Actuellement, 62 % des PME conservent les données de leurs clients en cloud et 54 % des entreprises enregistrent des informations médicales sensibles dans des plateformes de ce type, souvent sans assurer les contrôles de sécurité adéquats.

Ce que l’on vous conseille

  1. Adoptez des technologies de protection des données. Les PME doivent impérativement assurer la protection des informations confidentielles stockées en cloud par le biais de diverses technologiques comme le cryptage (des données au repos et en transit), lauthentification multifacteurs et le contrôle des accès. Les PME qui recourent à des services en cloud devraient également envisager dinvestir dans des cloud access security brokers (CASB) pour améliorer la protection des informations quelles conservent en cloud.
  2. Prévoyez la sauvegarde des données et un plan de reprise sur sinistre. Les PME ne doivent pas négliger limportance de la sauvegarde régulière des données. Des outils de backup en continu permettent de restaurer et de récupérer les informations si nécessaire. Les entreprises doivent également investir dans des outils de reprise sur sinistre et de business continuity pour pouvoir reprendre rapidement le travail en cas de problème informatique ou de catastrophe naturelle.
  3. Préparez-vous à l’évolution des réglementations. Les réglementations sur la protection des données évoluent sans cesse. De nouvelles règles sajoutent et dautres sont amendées. Les PME doivent donc se préparer à se mettre en conformité le plus rapidement possible en cas de changement.

Prédiction 2 : en 2019-2020, les entreprises devront relever de nouveaux défis en matière de sécurité des objets connectés (IoT)

En 2019, les attaques IoT devraient augmenter : on s’attend à en dénombrer plus de 300 000, soit 30 % de l’ensemble des cyberattaques.

En 2017, 50 000 cyberattaques ont visé des objets connectés, ce qui correspond à une augmentation de 600 % par rapport à l’année précédente. À la fin du premier semestre 2018, on recensait déjà plus de 121 000 attaques de logiciels malveillants visant des dispositifs IoT.

Or, de plus en plus d’objets non protégés sont connectés aux réseaux informatiques. On peut donc s’attendre à une croissance du nombre et de l’ampleur des cyberattaques par botnets contre des appareils IoT.

Pourtant, les propriétaires d’objets connectés sont plus conscients qu’auparavant des menaces pesant sur les appareils non protégés. Dans les prochaines années, on peut imaginer que les consommateurs et les fabricants prendront des mesures pour mettre en place des contrôles de sécurité renforcés (authentification, cryptage et logiciels anti-malwares, notamment).

Quels sont les facteurs ?

  • Prolifération rapide d’objets connectés (non protégés). Gartner estime que plus de 20 milliards de dispositifs IoT seront connectés à Internet d’ici 2020. Les PME connectent énormément d’objets physiques non protégés à leurs réseaux : verrous intelligents, éclairages intelligents, systèmes HVAC, lecteurs de codes-barres, caméras de surveillance, etc.
    Ces objets exposent les entreprises à des risques considérables, car ils peuvent être piratés et utilisés pour introduire des virus ou provoquer des attaques par déni de service (DDoS) massives. Pourtant, 54 % des utilisateurs n’utilisent aucune mesure de protection (mots de passe ou cryptage par exemple) sur leurs appareils connectés.
  • Amélioration de la protection des dispositifs IoT. De nombreux éditeurs de logiciels ajoutent déjà des fonctionnalités avancées de protection à leurs outils, notamment en recourant aux analytiques ou à l’intelligence artificielle. Ils implémentent également des systèmes de protection dans les dispositifs IoT dès leur conception ou leur production. Certaines technologies comme la protection réseau, l’authentification, la gestion des correctifs et les mécanismes de développement système sont actuellement en cours d’amélioration pour faire face aux nouvelles exigences en matière de sécurité des données.

Ce que l’on vous conseille

  1. Préparez un plan de sécurité IoT. Les PME doivent évaluer leur réseau IoT et établir un plan ou une stratégie de protection de leurs systèmes. Elles doivent prendre en compte les solutions technologiques disponibles comme les pare-feu intelligents et les systèmes dauthentification, ainsi que les procédures standard dinstallation dobjets connectés. Mieux vaut sélectionner des éditeurs de logiciels qui proposent des solutions adaptées à la situation actuelle, mais susceptibles dévoluer en fonction des besoins de lentreprise.
  2. Intégrez la sécurité dans les phases de conception et d’implémentation des objets connectés. Les dispositifs IoT peuvent prendre bien des formes et ils sont donc souvent difficiles à identifier. Un grille-pain ou une ampoule semblent a priori inoffensifs pour la sécurité du réseau dune entreprise, et pourtant… Lors de linstallation de nouveaux objets connectés, mieux vaut discuter des fonctionnalités de sécurité avec des experts et prendre les mesures préventives nécessaires comme lactivation dun pare-feu ou dun logiciel anti-malwares dès la conception ou limplémentation du dispositif.
  3. Utilisez des solutions logicielles pour protéger les objets déjà connectés. Les PME doivent envisager dutiliser des technologies actuelles pour protéger leurs dispositifs IoT : antivirus, pare-feu intelligents, contrôles d’accès privilégié et logiciels anti-malwares. Elles peuvent aussi penser à investir dans des solutions technologiques de protection incluant des fonctionnalités comme la recherche dappareil et la prévention dattaques par force brute pour assurer la sécurité de leurs dispositifs IoT et autres appareils aux extrémités des réseaux.

Prédiction 3 : les PME détecteront les menaces de manière précoce en investissant dans des mesures de sécurité active

En 2019, les PME auront une devise en matière de sécurité informatique : “Mieux vaut prévenir que guérir”. Elles investiront dans les technologies de sécurité active comme les logiciels anti-malwares pour prévenir et combattre précocement les risques de sécurité.

Les entreprises comptant une équipe IT réduite s’associeront à des prestataires de services gérés de détection et de réponse (MDR) qui analyseront les données pour elles et les aideront à répondre aux menaces repérées sur leurs réseaux.

Différence entre sécurité passive et sécurité active

La sécurité passive est le point de départ de tout dispositif de protection. Elle implique le recours à des technologies comme les antivirus, les logiciels anti-spam ou encore les pare-feu pour monitorer et contrôler l’utilisation des applications et du réseau.

La sécurité active, elle, concerne la détection d’anomalies dans le système informatique ainsi que la prévention et la réponse aux attaques avant qu’elles ne se développent complètement. Elle inclut également l’intervention d’experts de la sécurité informatique qui rassemblent des informations pour prévenir de futures attaques en mettant en place des moyens de défense adéquats aux points les plus vulnérables du réseau.

Quels sont les facteurs ?

  • Nécessité de parer les attaques avant qu’elles ne provoquent une faille. Le coût moyen d’une faille de sécurité informatique en Amérique du Nord s’élève à 117 000 $. Une telle somme peut forcer bien des PME à mettre la clé sous la porte.
    Pour réduire le risque d’incident, les petites entreprises adoptent de plus en plus de moyens de sécurité active comme les services et les technologies de détection.
  • Croissance du marché des anti-malwares. Selon Marketsandmarkets, le marché des logiciels anti-malwares s’élevait à 48 milliards de dollars en 2015 et devrait atteindre les 119 milliards de dollars d’ici 2022. Gartner prédit en outre que les investissements dans les solutions de détection des logiciels malveillants et de réponse aux menaces deviendront une priorité pour les acheteurs avant 2020.

Le passage à une approche de détection et d’intervention face aux menaces informatiques concerne autant les individus que les processus et les technologies. Il motivera la majorité de la croissance du marché de la sécurité dans les cinq prochaines années.

– Sid Deshpande, Principal Research Analyst, Gartner

Ce que l’on vous conseille

  1. Adoptez des technologies de sécurité active. Les PME devraient investir dans les technologiques permettant d’identifier et de répondre à des menaces informatiques le plus rapidement possible. En effet, le coût de la réaction à une faille de sécurité est nettement plus élevé que le prix de ces solutions (sans parler de l’interruption des activités et de l’impact négatif sur la réputation d’une entreprise). Les logiciels de sécurité comme les SIEM, les systèmes de prévention des intrusions et les outils d’analyse peuvent améliorer les moyens de défense active. Les anti-malwares basés sur l’IA et le machine learning ont un certain intérêt, mais ils sont encore en cours de développement et peu répandus.
  2. Formez votre équipe et/ou engagez des experts en sécurité. La sécurité active passe par des technologies, mais aussi par des spécialistes de la sécurité chargés de monitorer activement les systèmes et de les entraîner à identifier et à prévenir les menaces. Selon leur budget, les entreprises peuvent soit former leurs propres informaticiens dans le domaine, soit engager des spécialistes qualifiés.

Prédiction 4 : la sécurité deviendra un critère essentiel dans le choix de partenaires commerciaux et de cibles de fusion-acquisition

Dès 2019, les entreprises seront demandeuses de garanties de sécurité plus solides de la part de leurs partenaires, fournisseurs et autres intermédiaires. Les scores de sécurité (indicateurs objectifs de la posture de sécurité d’une structure) ainsi que les évaluations en matière de protection informatique permettront de mesurer le niveau de sécurité de fournisseurs potentiels, de cibles de fusion-acquisition (M&A) et de clients directs.

Quels sont les facteurs ?

  • Piratage des données de grandes entreprises par l’intermédiaire de petites structures. Les PME sont des cibles de choix pour les hackers, car elles constituent une porte d’entrée vers les données de plus grandes entreprises.
    Plusieurs failles de sécurité d’envergure ont été causées par l’insuffisance des mesures de sécurité mises en place par des fournisseurs :
  • La faille de sécurité qui a touché Target, le géant américain de la grande distribution, a été provoquée par le vol des informations de connexion d’un sous-traitant HVAC.
  • Les informations confidentielles de chauffeurs de Lowe (le Leroy Merlin américain), notamment leurs numéros de sécurité sociale et leurs numéros de permis, ont pu être dérobées parce qu’une société de sécurité informatique a accidentellement sauvegardé les données sur un serveur non protégé en ligne.
  • Le système des points de vente de Home Depot, chaîne de grands magasins de décoration aux États-Unis, a été piraté et les détails des cartes de crédit de ses clients ont été récupérés par l’intermédiaire des informations de connexion d’un fournisseur externe.
  • Émergence et croissance des services d’évaluation de la sécurité. L’évaluation de la posture de sécurité des entreprises est en croissance, comme celle de leur santé financière. Selon un rapport de Gartner intitulé “Innovation Insight for Security Rating Service” (en anglais – rapport complet disponible pour les clients Gartner), “d’ici 2022, les indices de cybersécurité seront devenus aussi importants que les indices de solvabilité dans l’évaluation des risques associés aux relations commerciales.” Gartner va même plus loin en affirmant que, dans les années qui viennent, les scores de cybersécurité deviendront une condition sine qua non à l’établissement de relations commerciales. Ils auront même un impact sur le prix des assurances informatiques.

Ce que l’on vous conseille

  1. Associez-vous à des MSSP si vous n’êtes pas certain de la fiabilité de vos stratégies de sécurité. Les PME devraient faire appel à un prestataire d’infogérance spécialisé en sécurité (MSSP) lorsqu’elles ont mis en place des mesures de sécurité limitées et veulent améliorer ou évaluer leur posture de sécurité. Les MSSP aident à surveiller et à gérer les fonctions de sécurité des entreprises comme le monitoring des menaces, l’évaluation des risques, le déploiement de solutions technologiques et la gestion des intrusions. Mieux vaut choisir un MSSP réputé, habitué à travailler avec des PME et expérimenté dans le secteur d’activité de l’entreprise. Nous avons d’ailleurs consacré un article à la sous-traitance informatique.
  2. Menez régulièrement des évaluations de sécurité et des tests d’intrusion. Les évaluations régulières des systèmes de protection (conduites en interne ou par un organisme tiers) permettent d’identifier les points faibles et d’y remédier plus rapidement. Les évaluations de sécurité et les tests d’intrusion fournissent un aperçu complet de la posture de sécurité d’une entreprise.
  3. Mettez vos atouts en avant. Lors des discussions avec des clients potentiels, les PME ont tout intérêt à exposer leurs atouts en matière de sécurité pour les convaincre du respect de la confidentialité et de l’intégrité des données qu’ils vont leur confier. Les entreprises doivent également assurer leur conformité avec les réglementations principales pour renforcer la confiance de leurs clients et de leurs partenaires commerciaux.

Sécurité informatique : améliorez votre posture en 2019 !

  • La sécurité constituera une problématique incontournable pour toutes les entreprises, car les hackers utilisent déjà de nouvelles technologies comme l’IA et les botnets pour cibler les organisations de toutes tailles. Pour protéger les utilisateurs, les gouvernements du monde entier mettent en place des réglementations plus strictes de protection des données et de cybersécurité.
  • Les PME doivent donc investir plus massivement dans la sécurité informatique et l’envisager comme une fonction de gestion à part entière. Ignorer l’importance de la sécurité informatique risquerait même d’entraîner la fin de leurs activités.

tendance sécurité informatique 2019

N’hésitez pas à consulter notre répertoire de logiciels de sécurité informatique. Vous y trouverez une liste complète de logiciels antivirus, anti-spam, de sécurité cloud, de cryptage et bien d’autres. Lisez les avis des utilisateurs et comparez les produits pour faire le meilleur choix.

 

Partager cet article


Certains liens dans cet article de blog peuvent être des liens affiliés ou PPC ("Pay Per Click"), c'est-à-dire que nous pouvons obtenir une modeste commission si vous cliquez dessus et finissez par acheter un produit.