BJ Jenkins, President & CEO, Barracuda Networks
Une tendance majeure va se concrétiser en 2019 : les administrations publiques et les acteurs de l’industrie de la sécurité vont commencer à travailler ensemble pour améliorer les réglementations afin de protéger les entreprises et les particuliers. En maintes occasions, les organisations ont démontré qu’on ne pouvait leur faire confiance sur la protection des données des utilisateurs car celles-ci n’étaient pas correctement sécurisées et se retrouvaient facilement entre les mains des attaquants.
Le RGPD est entré en vigueur dans l’Union Européenne au cours de l’année 2018 et je pense que d’autres pays vont suivre le mouvement en 2019. La Californie commence à étudier des réglementations similaires au RGPD, et il est juste question de savoir si elles s’appliqueront au niveau de l’État ou au niveau fédéral. Les attaques via email ciblant les particuliers vont augmenter dans l’année qui vient, et ceci continuera à accroître la pression sur les réseaux sociaux et d’autres plates-formes, car les consommateurs souhaitent mieux contrôler les informations qu’ils reçoivent en ligne. La réponse doit inclure une meilleure articulation et un choix de la part des individus sur leur degré d’exposition aux informations.
Les administrations publiques vont commencer à réguler le type de données que les entreprises ou organisations pourront demander aux individus, réduisant ainsi le risque d’attaques telles que la prise de contrôle d’un compte utilisateur, en réduisant la quantité de données collectées.
Des fonctions d’automatisation vont améliorer la formation sur la sécurité en 2019
Dennis Dillman, VP, Product Management – PhishLine, Barracuda Networks
En 2019, je pense que nous allons constater une évolution des solutions de formation sur la sécurité vers plus d’automatisation. Ceci ira au-delà de la possibilité pour les clients de télécharger tout ce dont iIs ont besoin pour une campagne donnée. Les organisations doivent construire des programmes complets de formation aux bonnes pratiques de sécurité qui prennent en compte les risques les plus importants auxquels leurs utilisateurs sont confrontés, en utilisant des campagnes de formation étroitement corrélées, intégrées au sein d’un programme global. L’automatisation facilitera la réalisation de cet objectif, en permettant aux administrateurs, de sélectionner simplement un programme complet à partir d’une bibliothèque, après avoir indiqué le type de programme et le nombre de campagnes qu’ils veulent, et ensuite tout sera automatiquement configuré et planifié sur l’année. Enfin, ceci permettra aux organisations de gérer leur programme annuel de formation de façon cohérente et réfléchie, en donnant aux administrateurs les moyens d’exploiter les résultats des campagnes pour construire un profil de risques pour leur organisation.
2019 sera une année critique pour le manque de compétences en cyber sécurité
Michael Flouton, VP, Product Ops and Security Strategy, Barracuda Networks
Le fait que l’industrie de la cyber sécurité manque singulièrement de compétences est connu depuis longtemps, mais ce qui l’est moins est que ce manque s’accroît. En octobre 2018, ISC a révélé que le manque de cyber compétences au niveau mondial atteint désormais trois millions de techniciens, 63% des entreprises manquant concrètement des ressources nécessaires pour traiter les menaces.
L’équilibre entre les ressources, les compétences et l’expertise des “gentils” qui combattent les attaques et les “méchants” qui les lancent est extrêmement délicat.
En 2019, il faut se préparer à une année critique sur ce sujet. Les tactiques des attaquants devenant toujours plus sophistiquées et, plus important encore, de plus en plus difficiles à détecter, elles nécessitent encore plus d’efforts de la part des “gentils“ pour les identifier et les stopper.
Un exemple récent d’un nouveau type d’attaque toujours plus difficile à détecter, analyser et éliminer réside dans le nombre croissant d’incidents de prise de contrôle de comptes utilisateur que nous avons observés. Ils impliquent des attaquants qui volent les identifiants email d’employés et les utilisent pour envoyer des emails à partir du vrai compte des utilisateurs. Du fait que les attaquants couvrent leurs traces, par exemple en supprimant les emails envoyés, souvent la seule façon pour les victimes d’identifier qu’elles ont été attaquées est la réception de messages mystérieux en dehors du bureau.
Ajoutons à cela que beaucoup d’organisations ont de plus en plus de difficultés à recruter et à retenir des cybers spécialistes pour les aider à se protéger des attaques. Ce qui implique que le nombre de techniciens possédant les compétences et l’expertise nécessaires pour protéger leur organisation est en diminution. Ces ressources humaines décroissantes atteindront un paroxysme en 2019, année durant laquelle je prévois que des organisations cesseront d’être en mesure de traiter ces nouvelles cyber attaques “furtives.”
Crédit photo : Getty Images
