Disponible à partir du 1er avril, Copilot for Security son assistant à base d’IA générative dédié à la cybersécurité. Microsoft annonce une tarification de 4 $ HT de l’heure.
Après 5 mois de test, Copilot for Security prend son envol le 1er avril prochain. Collectant les données de plusieurs produits de sécurité de Microsoft, l’assistant à base d’IA générative va délivrer des explications et des suggestions de solutions. Il pourra par exemple générer des informations et des conseils de remédiation dans Defender. A noter, que l’assistant apportera également des informations provenant d’autres fournisseurs.
Des avantages dans divers domaines
Dans le cadre de la preview, Microsoft a pu identifier quatre domaines où l’assistant peut s’avérer très intéressant pour les utilisateurs, à savoir le résumé des incidents, l’analyse d’impact, la rétro-ingénierie des scripts et la réponse aux incidents étape par étape. Copilot for Security fournit des résumés d’incidents en utilisant l’IA générative pour transformer des alertes complexes en résumés clairs et exploitables. Il est aussi capable d’évaluer l’impact potentiel des incidents de sécurité, en offrant un aperçu des systèmes et des données affectés afin de prioriser les efforts de réponse. La solution analyse les scripts de ligne de commande complexes et les traduit en langage naturel avec des explications claires sur les actions à entreprendre. De plus, elle extrait et relie les indicateurs trouvés dans le script à leurs entités respectives dans l’environnement de l’utilisateur.
La réponse aux incident n’est pas oubliée avec une aide pas à pas, y compris des instructions pour le triage, l’investigation, l’endiguement et la remédiation. Des liens vers les actions recommandées apportent une réponse plus rapide. L’un des principaux avantages de ces fonctionnalités est qu’elles aident les professionnels débutants à rédiger des requêtes en langage naturel et à obtenir des réponses qu’ils peuvent comprendre. Cela peut s’avérer utile compte tenu de la « pénurie importante et chronique de compétences », comme l’a indiqué Andrew Conway, vice-président de Microsoft chargé du marketing de la sécurité. Selon les données de l’éditeur récoltées pendant la preveiw, avec Copilot, les analystes de sécurité expérimentés ont réagi 22 % plus rapidement et ils ont été 7 % plus précis pour toutes les tâches quand ils utilisaient Copilot. Presque tous, soit 97 %, ont déclaré vouloir utiliser l’outil chaque fois qu’ils auront la même tâche à effectuer.
Une ouverture aux produits et données non-Microsoft
Outre sa disponibilité générale et son accès ouvert à d’autres fournisseurs, Copilot for Security comprend plusieurs fonctionnalités nouvelles comme la création de classeurs personnalisés et la possibilité d’écrire des modules d’extension (plugins). « L’une des caractéristiques, c’est qu’il n’est pas uniquement réservé aux produits et aux données de Microsoft. Il peut raisonner sur n’importe quelle source de données, n’importe quel produit dans l’environnement auquel on peut se connecter », a expliqué Andrew Conway. Copilot for Security propose deux options d’interaction : une expérience autonome, qui fonctionne avec tous les produits de sécurité de Microsoft, et une expérience intégrée directement dans le portail Defender. Une fois en ligne, les clients pourront tirer parti de Defender Threat Intelligence pour découvrir les menaces et les techniques d’attaque, et obtenir des recommandations spécifiques au profil de risque d’un environnement particulier en utilisant le langage naturel.
Microsoft Entra (anciennement Azure Active Directory) a ajouté à Copilot des compétences en matière d’identité, notamment des détails sur les utilisateurs et les groupes, des logs de connexion, d’audit et de diagnostic. Dans Purview, Copilot pourra aider les équipes SOC à identifier les activités risquées des utilisateurs et les données sensibles potentiellement à risque lors d’une enquête sur un incident de sécurité. L’assistant fournit un résumé des alertes dans Microsoft Purview Data Loss Prevention et Insider Risk Management. Il fournit également des résumés contextuels des documents dans Purview Communication Compliance et dans les sets d’examen dans Purview eDiscovery.
Copilot for Security sera disponible en paiement à l’usage avec une tarification flexible basée sur la consommation, tout comme le modèle Azure. La capacité nécessaire, que Microsoft mesure en « unités de calcul », est estimée par le client. La tarification commence à partir de 4$ HT par usage. Le fournisseur recommande un minimum de trois unités de calcul pour démarrer. Le client pourra ajouter de la capacité si le produit signale qu’elle est insuffisante. Et si l’usage diminue, les utilisateurs pourront déprovisionner les unités de calcul inutiles.
La CISA et l’ACSC ont lancé un guide nommé Business Continuity in a Box à destination des PME. Un ensemble d’instructions visant les entreprises à maintenir les communications et à assurer la continuité des applications critiques après une cyberattaque.
Souvent considérée comme un angle mort, la cybersécurité des PME-PMI est pourtant un enjeu crucial. Si en France plusieurs initiatives autour de la plateforme Cybermalveillance, à l’étranger d’autres projets voient le jour. En l’occurrence, le guide nommé Business Continuity in a Box et publié par le Centre australien de la cybersécurité (Australian Cyber Security Centre, ACSC) et l’Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA). Le guide accompagne les entreprises pas-à-pas dans la mise en place de fonctionnalités de communication de base, la conception et le déploiement d’une solution provisoire d’hébergement d’applications dans le cloud.
Les conseils s’adressent aux entreprises qui n’ont pas encore mis en place de plan de continuité des activités. Le guide sert à identifier et implémenter étape par étape une solution provisoire qui convient le mieux à une entreprise. Cette solution peut servir pour une société ou un fournisseur de services managés (MSP) après évaluation, afin de déterminer si l’outil est adéquat.
Entreprises ciblées
Les recommandations conviennent mieux aux petites et moyennes entreprises de 10 à 300 personnes qui ont besoin d’une solution IT provisoire pour fournir des services minimaux. Les grandes entreprises et les administrations peuvent également utiliser ces conseils, mais devront probablement appliquer des étapes de configuration supplémentaires. Les grandes entreprises doivent consulter un fournisseur de services IT et procéder à des évaluations indépendantes des risques et de l’impact sur leur activité. Une personne ayant des connaissances de base en informatique a les compétences suffisantes pour mettre en œuvre le volet communication. Par contre, pour celui relatif aux applications, une personne ayant une connaissance moyenne des services cloud est nécessaire.
Contenu du guide
Les conseils doivent être suivies immédiatement après l’identification d’un incident et ont été élaborées en prenant pour base la pile technologique Microsoft 365, en raison de sa forte présence dans les entreprises et les organisations gouvernementales. Pour établir des communications minimales, le document contient des conseils sur la façon de mettre en place une boîte aux lettres électronique fourre-tout et éviter la perte des communications critiques envoyées à l’entreprise pendant l’indisponibilité des systèmes de messagerie habituels. Le volet Continuity of Communications, axé sur la continuité des communications, contient des informations pour vérifier les conditions préalables, des conseils écrits sur l’allocation d’une instance Microsoft 365 Business Standard et une solution de configuration automatisée.
Pour maintenir la continuité des applications critiques telles que les suites bureautiques, la comptabilité, la gestion des ressources humaines et les systèmes de paie, les recommandations comprennent des conseils pour déterminer les fonctions et exigences critiques afin d’assurer la poursuite des opérations métiers, déterminer quelle est la plateforme la plus appropriée pour chaque application provisoire requise, et déployer une solution cloud, sécurisée pour chaque fournisseur majeur. L’idée est que chaque entreprise puisse tirer parti des licences logicielles existantes. Les instructions portent principalement sur l’IaaS, mais elles couvrent également le PaaS et le SaaS. Enfin, les entreprises qui utilisent les instructions relatives à la continuité des applications pour déployer une solution cloud provisoire doivent évaluer les risques que peut représenter le stockage de leurs données sur une solution cloud provisoire et s’interroger sur la nécessité d’instaurer des contrôles de sécurité supplémentaires.
Selon un rapport de Google Cloud, l’IA générative va monter en puissance chez les cybercriminels, mais aussi chez les spécialistes de la sécurité. Pour le fournisseur, les questions géopolitiques et les grands évènements (politiques et sportives) sont à surveiller l’année prochaine.
En 2024, un utilisateur moyen aura plus de mal à déterminer si un courriel est légitime en vérifiant les fautes d’orthographe, les erreurs de grammaire et des aléas contextuels. Les attaquants continueront à utiliser l’IA générative et les grands modèles de langage (LLM) dans les campagnes de phishing, de SMS et d’autres opérations d’ingénierie sociale pour améliorer le contenu, y compris la voix et la vidéo. Toujours selon le rapport « Google Cloud Cybersecurity Forecast 2024 », l’IA générative facilitera les activités malveillantes à grande échelle.
Avec l’accès aux noms, à ceux des entreprise, aux intitulés de poste, aux départements ou aux données de santé, les cybercriminels n’auront peut-être même plus besoin d’utiliser des LLM malveillants, car l’utilisation de l’IA générative pour rédiger un rappel de facture n’aura rien de malveillant en soi. « Les attaquants utiliseront tout ce qu’ils peuvent pour brouiller les pistes entre applications d’IA inoffensives et malveillantes, de sorte que les défenseurs devront agir plus rapidement et plus efficacement en termes de réponse », a déclaré Phil Venables, RSSI, Google Cloud on AI, dans un communiqué.
La cyberdéfense tire profit aussi de l’IA générative
Le rapport évoque un possible surcroît de scepticisme et une méfiance accrue du public à l’égard des entreprises et des gouvernements face à la capacité de cette technologie à créer du faux (messages, photos, vidéos). Google Cloud prévoit également que l’IA générative et LLM malveillants vont devenir un business actif pour les cybercriminels .
La bonne nouvelle, c’est que les cyberdéfenseurs utiliseront des outils similaires pour lutter contre ces menaces. Selon les prévisions du fournisseur, l’IA va en grande partie servir aux entreprises pour synthétiser de grandes quantités de données et les contextualiser dans des renseignements sur les menaces afin d’obtenir des détections exploitables ou d’autres analyses. L’IA et l’IA Gen vont augmenter la capacité humaine à analyser et à déduire les mesures à prendre à partir de ces grands ensembles de données.
La géopolitique s’invite dans les menaces
Comme les attaquants cherchent à maintenir un accès persistant à un environnement aussi longtemps que possible, ils exploiteront les vulnérabilités zero day et les dispositifs edge pour maintenir cet accès plus longtemps en 2024. Cette prévision est basée sur le fait qu’en 2023, le nombre de vulnérabilités zero day dépasseront le précédent record établi en 2021. L’augmentation des actions menées par des hackers observée à la suite de l’invasion de l’Ukraine par la Russie devrait se poursuivre, car des activités similaires ont été observées lors du conflit entre le Hamas et Israël. Ces actions incluent des attaques DDoS, des fuites de données et des défaçages de sites.
Mandiant Intelligence estime que les succès obtenus par le passé par ces actions devraient relancer ces pratiques. Certains pays pourraient ajouter des logiciels malveillants de type « wiper », comme ce fut le cas avant l’invasion russe de l’Ukraine, quand des groupes APT russes ont accédé à des cibles ukrainiennes et lancé une attaque destructrice qui a coïncidé avec des opérations cinétiques. « Les tensions dans le détroit de Taïwan et d’autres menaces pour la sécurité mondiale, pourraient se traduire en 2024 par l’accès pré-positionné de logiciels malveillants destructeurs de type wiper à des cibles stratégiquement importantes », indique le rapport.
Modernisation des langages pour les attaques
Google Cloud a également prévu le ciblage des infrastructures spatiales, des attaques matures sur les environnements hybrides et multicloud, avec l’utilisation de plus de services sans serveur par les acteurs de la menace, la poursuite des opérations d’extorsion, l’espionnage et les botnets dormants, la réactivation d’anciennes techniques.
Les auteurs de logiciels malveillants continueront à développer davantage de logiciels dans des langages de programmation comme Go, Rust et Swift. En effet, ces langages offrent une excellente expérience de développement, des capacités de bas niveau, une vaste bibliothèque standard et une intégration facile avec des solutions de tierce-partie. Les développeurs seront ciblés par des attaques de la chaîne d’approvisionnement hébergée sur les gestionnaires de solutions. L’augmentation des assurances cyber devrait se traduire par une stabilité des primes. Google Cloud s’attend également à voir plus de consolidation dans le SecOps, car les clients veulent plus de risques intégrés et de renseignements sur les menaces dans leurs solutions d’opérations de sécurité.
Elections et JO sous surveillance
Une recrudescence des acteurs soutenus par des États et autres acteurs de la menace engagés dans des cyberactivités visant la prochaine élection présidentielle américaine, y compris l’espionnage et les opérations d’influence ciblant les systèmes électoraux, l’usurpation d’identité des candidats sur les médias sociaux et les opérations d’information destinées à cibler les électeurs. Il faut s’attendre aussi à une recrudescence du spearphishing et à d’autres attaques contre le gouvernement américain, en particulier de la part de la Chine, de la Russie et de l’Iran. Taïwan, la Corée du Sud, l’Inde et l’Indonésie organiseront aussi des élections qui devraient donner lieu à des activités similaires. Les élections du Parlement européen en juin seront une autre cible attractive pour les acteurs menant des opérations de cyberespionnage et d’information, la Russie étant désignée comme la menace la plus évidente dans les rapports. La Russie et la Chine ciblent de plus en plus les pays africains avec des cybercampagnes destinées à diffuser des informations erronées afin d’influencer l’Afrique en soutenant des régimes autoritaires, en semant la discorde et en sapant les institutions démocratiques. Le rapport estime que des groupes chinois et russes pourraient s’en prendre à l’industrie des minerais de terres rares, essentiels pour de nombreux produits de haute technologie comme les smartphones, les ordinateurs et les véhicules électriques.
Les cybercriminels pourraient s’attaquer aux systèmes de billetterie et aux marchandises des Jeux olympiques d’été organisés à Paris en 2024, en menant notamment des campagnes d’hameçonnage pour récolter des informations financières ou des identifiants. Enfin, l’année prochaine, la Chine, la Russie, la Corée du Nord et l’Iran devraient poursuivre leurs activités d’espionnage, de cybercriminalité, leurs opérations d’information et autres campagnes pour atteindre leurs objectifs nationaux. « La Chine, la Russie, la Corée du Nord et l’Iran disposent chacun de cybercapacités distinctes, déterminées par leurs besoins géopolitiques à court et à long terme. À mesure que les tensions augmentent dans le monde, en particulier dans les points chauds du Moyen-Orient, de l’Europe de l’Est et de l’Asie de l’Est, ces acteurs seront sans aucun doute mis à contribution, de sorte qu’une préparation ciblée sera vraiment essentielle », a déclaré Sandra Joyce, vice-présidente de Mandiant Intelligence et de Google Cloud pour les quatre grands pays.
L’adoption du modèle de cybersécurité zero trust poursuit sa progression au niveau mondial. Selon un récent rapport d’Okta, 61 % des entreprises ont déjà mis en oeuvre une initiative de ce type.
Au cours des trois dernières années, la part des entreprises dans le monde ayant mis en œuvre une initiative zero trust est passée de 24 % en 2021 à 61% en 2023, selon les données du rapport State of Zero Trust 2023 d’Okta. Parmi elles, ce sont surtout les entreprises de 5 000 à 9 999 employés – soit trois sur quatre – qui ont opté pour cette stratégie de cybersécurité, par rapport à celles comptant entre 500 et 999 employés. Le rapport est basé sur les réponses de 860 responsables de la sécurité de l’information d’Amérique du Nord (États-Unis, Canada), de la région EMEA (Danemark, Finlande, France, Allemagne, Irlande, Pays-Bas, Norvège, Suède, Royaume-Uni) et de la région APJ (Japon, Australie). Par ailleurs, dans les 18 prochains mois, 35 % des personnes interrogées prévoient de mettre en œuvre une initiative zero trust, contre 4 % qui n’en prévoient pas et n’en ont pas mis en place.
En termes d’initiatives déjà en place, la région Amérique du Nord est en tête, mais les entreprises des régions EMEA (Europe Moyen-Orient et Afrique) et APJ (Asie-Pacifique et Japon) gagnent rapidement du terrain, et presque tous les retardataires de ces deux régions prévoient d’adopter une initiative zero trust dans les 6 à 12 ou 13 à 18 mois à venir. Malgré les pressions macroéconomiques qui obligent à réduire les coûts, 80 % des personnes interrogées ont déclaré que leurs budgets pour les initiatives zero trust avaient augmenté par rapport à l’année précédente. 60 % font état d’augmentations de budget de 1 % à 24 %, et 20 % ont augmenté ces budgets de 25 % ou plus. À noter aussi que l’identité est devenue un élément important de ce type de stratégies. Ainsi, 51 % des personnes interrogées déclarent qu’elle est extrêmement importante, ce qui représente une augmentation considérable par rapport aux 27 % de 2022, et 40 % des personnes interrogées ont déclaré qu’elle était assez importante.
L’IAM, de plus en plus dévolue aux équipes de sécurité
La gestion des identités et des accès (Identity and Access Management ou IAM), autrefois pré carré des départements IT, est de plus en plus confiée aux équipes de cybersécurité. C’est ce que confirme l’étude d’Okta, selon laquelle 73 % des équipes de sécurité sont désormais responsables de l’IAM en Amérique du Nord et 50 % dans la région EMEA. Dans la région Asie-Pacifique, le changement est plus lent : si 41% des entreprises demandent toujours aux équipes de sécurité de gérer l’IAM, 56% d’entre elles confient à ces équipes soit la supervision de l’identité, soit la gestion de la technologie, mais pas les deux. D’autres indicateurs témoignent de l’importance croissante des initiatives en matière d’identité, puisque 34 % des personnes interrogées utilisent l’authentification multi-facteurs (MFA) pour les utilisateurs externes et 33 % pour le personnel interne. Parmi les quatre secteurs sondés par le rapport, les organismes de santé donnent la priorité au MFA pour les utilisateurs externes et internes et à la connexion des annuaires aux applications cloud. Le secteur public privilégie ce type d’authentification pour les utilisateurs externes, et l’accès sécurisé aux API et cette méthode d’authentification pour les employés. Dans les services financiers, c’est elle a la préférence pour les employés, mais pour les utilisateurs externes on retrouve à la fois le MFA et la gestion des accès à privilèges pour l’infrastructure cloud. Enfin, dans le secteur des logiciels, l’authentification multifactorielle est privilégiée pour les employés, et l’accès sécurisé aux API et le MFA pour les utilisateurs externes.
Les priorités de sécurité à venir
Au cours des 12 à 18 prochains mois, les décideurs donneront la priorité à la gestion des accès à privilèges pour l’infrastructure cloud (42%), à la sécurisation de l’accès aux API (42%) et à la mise en œuvre du MFA pour les employés (42%). De plus, en matière d’authentification, les entreprises devraient utiliser davantage cette méthode et l’authentification unique pour protéger les serveurs et les bases de données. Plus de la moitié des dirigeants interrogés ont déclaré que dans le cadre d’une stratégie zero trust l’identité était extrêmement importante, et 40 % ont déclaré qu’elle était assez importante. C’est un changement notable par rapport à l’année dernière, où 26 % des personnes interrogées avaient déclaré que l’identité était essentielle à la mission de l’entreprise. Les responsables IT intègrent leurs IAM à la gestion des terminaux mobiles (MDM). Selon le rapport d’Okta, le SIEM, le MDM et la protection des endpoints sont les trois systèmes les plus importants à intégrer directement et en priorité dans une solution IAM.
Au niveau mondial, « malgré leur faible degré d’assurance », l’usage des mots de passe perdure obstinément pour l’authentification, « et ils restent la norme dans plus de la moitié des entreprises interrogées ». L’authentification à l’aide de questions de sécurité en guise d’identifiant, guère plus efficaces, est la deuxième modalité la plus répandue au niveau mondial et dans les régions EMEA et APJ, et elle occupe désormais la première place en Amérique du Nord. Le rapport a également mis en évidence l’utilisation d’autres services à faible degré d’assurance, notamment les mots de passe à usage unique (One Time Password, OTP) matériels et par SMS, par voix et par courrier électronique. Les facteurs comme les OTP à jeton physique et les authentificateurs push, considérés par le rapport comme ayant un degré d’assurance moyen, sont utilisés par moins d’entreprises (36 % et 29 %, respectivement), et seulement 19 % d’entre elles utilisent des facteurs ayant un niveau d’assurance élevé, comme les authentificateurs basés sur des plates-formes et la biométrie. « Nous pensons que l’usage de l’authentification multi-facteurs va continuer à se diffuser jusqu’à devenir dominante, mais de nouvelles réglementations vont probablement obliger certains secteurs comme les services financiers et le secteur public à adopter des facteurs d’authentification sans mot de passe et d’autres solutions capables de résister au phishing », peut-on encore lire dans le rapport.
Le document d’orientation élaboré par les agences de sept pays vise à garantir que la sécurité des produits relève de la responsabilité des fournisseurs et ne pèse pas sur l’acheteur de technologie.
Dix agences de sept pays ont uni leurs forces pour créer un guide à l’intention des développeurs de logiciels afin de garantir que leurs produits soient sécurisés à la fois dès la conception – by design – et par défaut. Intitulé « Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default » (« Rééquilibrer les risques en matière de cybersécurité : principes et approches de la sécurité dès la conception et par défaut »), ce guide arrive après la découverte récente de plusieurs vulnérabilités critiques dans les logiciels de divers fournisseurs. En avril, l’agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) a publié sept avis concernant des vulnérabilités dans des systèmes de contrôle industriel (Industrial Control System, ICS) et des SCADA (Supervisory control and data acquisition) de plusieurs fournisseurs, y compris des failles critiques. Quelques semaines auparavant, l’agence avait également publié des avis sur 49 vulnérabilités dans huit ICS provenant de fournisseurs comme Delta Electronics, Hitachi, Keysight, Rockwell, Siemens et VISAM.
Les agences ayant collaboré à la rédaction de ce guide sont : le Centre australien de cybersécurité (Australian Cyber Security Centre, ACSC) ; le Centre canadien de cybersécurité (Canadian Centre for Cyber Security, CCCS) ; l’Office fédéral allemand de la sécurité des technologies de l’information (Bundesamt für Sicherheit in der Informationstechnik, BSI) ; le Centre national de cybersécurité des Pays-Bas (Netherlands’ National Cyber Security Centre, NCSC-NL) ; le centre d’alerte et de réaction aux attaques informatiques de Nouvelle-Zélande (New Zealand’s Computer Emergency Response Team New Zealand, CERT NZ) et le Centre national pour la cybersécurité de Nouvelle-Zélande (National Cyber Security Centre, NCSC-NZ) ; le centre national pour la cybersécurité du Royaume-Uni (National Cyber Security Centre, NCSC-UK) ; la CISA (Cybersecurity and Infrastructure Security Agency), le Federal Bureau of Investigation (FBI) et l’Agence nationale de la sécurité (National Security Agency, NSA) des États-Unis.
Sécurité dès la conception ou sécurité par défaut
Dans ses lignes directrices, le document définit les produits sécurisés dès leur conception comme étant ceux pour lesquels la sécurité des clients est un objectif commercial essentiel, et non une simple caractéristique technique. Les produits sécurisés dès la conception sont conçus en fonction de cet objectif avant le début du développement. Les produits sécurisés par défaut sont ceux dont l’utilisation est sûre dès leur sortie de l’emballage, qui ne nécessitent que peu ou pas de changements de configuration et dont les fonctions de sécurité sont disponibles sans coût supplémentaire. Les agences estiment que ces approches permettent d’alléger le fardeau de la sécurité pour le client et de réduire le risque d’un incident de sécurité.
Le rôle du développeur mis en avant
Tous les fabricants de technologies devraient concevoir leurs produits de sorte que leurs clients n’aient pas à effectuer en permanence des contrôles, des mises à jour de routine et à limiter les dégâts sur leurs systèmes afin d’atténuer les cyber-intrusions. « Historiquement, les développeurs de technologies se sont contentés de corriger les vulnérabilités découvertes après que les clients aient déployé les produits, exigeant d’eux qu’ils appliquent ces correctifs à leurs propres frais. Ce n’est qu’en incorporant des pratiques de sécurité dès la conception que nous mettrons fin au cercle vicieux de création et d’application de correctifs », indique le document d’orientation.
Les agences exhortent les développeurs à réorganiser leurs programmes de conception et de développement afin de ne livrer aux clients que des produits sécurisés dès la conception et par défaut. Le document invite notamment les développeurs de systèmes à adopter des langages de programmation qui évitent la diffusion de vulnérabilités plutôt que de se concentrer sur des caractéristiques de produits qui semblent attrayantes, mais qui augmentent le risque d’attaque. « Ce guide commun a pour but d’alimenter le débat sur les normes de sécurité et de faire en sorte que le fardeau du risque cyber ne soit plus supporté majoritairement par le consommateur », a déclaré Lindy Cameron, directrice générale du Centre national pour la cybersécurité du Royaume-Uni (NCSC-UK), dans un communiqué. « Nous appelons les fabricants de technologies à se familiariser avec les conseils de ce guide et à mettre en œuvre des pratiques de sécurité dès la conception et par défaut dans leurs produits afin de garantir la sécurité et la résilience des activités en ligne », a-t-elle ajouté.
Les éditeurs IT responsables de la sécurité de leurs produits
Une partie du guide comprend des recommandations à l’intention des RSSI et des acheteurs IT, ainsi que des conseils pour protéger leurs entreprises. Les agences recommandent aux sociétés de tenir leurs éditeurs responsables de la sécurité de leurs produits. En particulier, elles devraient donner la priorité à l’achat de produits sécurisés dès la conception ou par défaut, comme le décrivent les lignes directrices. Le document suggère aux services IT d’exiger dans leurs politiques une évaluation de la sécurité des logiciels des fabricants avant leur achat, et de donner à ces services les moyens de s’opposer à leur mise en œuvre si nécessaire. « Les services IT devraient être habilités à fixer des critères d’achat qui tiennent compte de l’importance des pratiques sécurité dès la conception et par défaut. Le guide va même plus loin en recommandant à la direction générale de soutenir les services IT quand ils appliquent ces critères. « Les décisions de l’entreprise d’accepter les risques associés à des produits technologiques spécifiques doivent être formellement documentées, approuvées par un cadre dirigeant, et régulièrement présentées au conseil d’administration », préconise le guide.
La posture de sécurité de l’entreprise doit être considérée comme critique, y compris le réseau de l’entreprise, la gestion de l’identité et de l’accès et les opérations de sécurité et de réponse. Selon le document, « les entreprises devraient renforcer l’importance de la sécurité des produits, à la fois de manière formelle sous la forme de contrats avec les fournisseurs et de manière informelle en établissant un partenariat à long terme avec le fournisseur qui garantit la sécurité des produits ». Le guide conseille également d’entretenir des relations avec leurs pairs afin d’être informé sur les meilleurs produits et services respectant le concept de sécurité dès la conception, mais aussi pour créer un front uni et fournir un feedback aux fournisseurs de technologie. Concernant la sécurité du cloud, les acheteurs de technologie doivent comprendre à la fois la responsabilité des fournisseurs et celle des entreprises. « Les produits IT non sécurisés peuvent présenter des risques pour les utilisateurs individuels et pour notre sécurité nationale », a déclaré Rob Joyce, directeur de la cybersécurité de la NSA, dans un communiqué. « Si les fabricants donnent systématiquement la priorité à la sécurité pendant la conception et le développement, nous pourrons réduire le nombre de cyber-intrusions malveillantes ». Les agences sollicitent par courriel les commentaires des parties intéressées sur les priorités, les investissements et les décisions nécessaires pour faire en sorte que demain, la technologie soit sûre, sécurisée et résiliente dès la conception et par défaut.
Avec cette première solution de sécurité de la start-up Descope, les développeurs pourront intégrer des fonctions d’authentification et de gestion des utilisateurs dans leurs applications.
Fondée en avril 2022 par Rishi Bhargava, Slavik Markovich, Dan Sarel, Meir Wahnon, Doron Sharon, Guy Rinat, Aviad Lichtenstadt et Gilad Shriki, l’entreprise israélienne Descope vient de lever 53 M$ de fonds d’amorçage, qui comprennent des investissements de Dell Technologies, du CEO de Crowdstrike, George Kurtz, et du CEO de Rubrik, Bipul Sinha. Sa plateforme doit aider les développeurs à ajouter des fonctions d’authentification et de gestion des utilisateurs à leurs applications aussi bien BtoC que BtoB. Disponible dès maintenant, le logiciel SaaS est accessible gratuitement aux développeurs jusqu’à 7 500 utilisations mensuelles actives pour les applications B2C et jusqu’à 50 locataires pour les applications B2B. Au-delà, ils devront payer 0,10 dollars par utilisateur et 20 dollars par locataire. Selon Descope, la plateforme facilite la mise en place d’une authentification sans mot de passe.
Descope affirme que son dernier produit permet aux entreprises de :
– Créer des flux d’authentification et des écrans pour l’utilisateur final à l’aide d’un concepteur de flux visuel ;
– Ajouter de manière transparente différentes méthodes d’authentification sans mot de passe à des applications du genre Magic link, de biométrie et de clés d’accès (basées sur WebAuthn), des applications d’authentification et des identifiants de réseaux sociaux ;
– Valider, fusionner et gérer les identités tout au long du parcours de l’utilisateur ;
– Préparer ses applications professionnelles pour l’entreprise grâce à l’authentification unique (Single Sign-On, SSO), au contrôle d’accès, à la gestion des locataires et au provisionnement automatisé des utilisateurs ;
– Améliorer la protection des utilisateurs en activant facilement l’authentification multifactorielle (MFA), l’authentification par paliers ou l’authentification biométrique dans les applications.
Gérer les identités avec Descope
La plateforme de Descope propose différentes options d’intégration : un constructeur de flux de travail et un éditeur d’écran sans code, un ensemble de SDK client et backend, et des API REST complètes.
Les développeurs qui créent des flux d’authentification avec Descope pourront choisir différentes manières de valider les identités, notamment en confirmant l’adresse de messagerie des utilisateurs, leur numéro de téléphone ou tout autre identifiant choisi via des liens magiques – ou Magic link – à usage unique envoyés par courriel, ou de mots de passe à usage unique. La validation de l’identité peut également se faire par le biais de fournisseurs d’identité d’entreprise, notamment Azure Active Directory et Okta. Une fonction permet également de fusionner les identités quand un utilisateur s’identifie, par exemple, en utilisant une méthode et, à une autre occasion, en choisit une autre. Certains systèmes créent deux comptes différents pour le même utilisateur, ce qui peut entraîner une perte de données. « Descope garantit que, si un utilisateur s’identifie avec une nouvelle méthode d’authentification, son identité est fusionnée avec toutes les inscriptions utilisant d’autres méthodes d’authentification après validation de l’identité. Les applications disposent ainsi d’une vue unifiée de leurs utilisateurs et ces derniers bénéficient d’une bien meilleure expérience », a expliqué Rishi Bhargava, le cofondateur de Descope.
Moins d’options pour casser l’authentification
Très souvent, c’est en s’appuyant sur des comptes utilisateurs compromis que les attaquants parviennent à s’introduire dans les systèmes des entreprises. Comme beaucoup d’autres fournisseurs, Descope mise sur l’augmentation de la sécurité en utilisant d’autres méthodes d’authentification. Cette multiplication des verrous limite les options des attaquants, car elle empêche les attaques par force brute, le bourrage d’identifiants et la pulvérisation de mots de passe. La solution utilise également l’empreinte digitale des terminaux et plusieurs autres facteurs pour savoir si les utilisateurs se connectent à partir d’un nouvel appareil, d’un lieu inhabituel, etc. Les développeurs d’applications peuvent choisir d’ajouter une authentification renforcée dans ces cas et demander un facteur d’authentification supplémentaire. Descope mise sur le passage à l’authentification sans mot de passe des géants de la technologie comme Apple, Google et Microsoft, mais aussi sur le risque que les mots de passe continuent de représenter pour la sécurité des entreprises.
« Descope prétend simplifier et accélérer la mise en œuvre de méthodes diversifiées d’authentification sans mot de passe pour les développeurs d’applications. L’authentification et la gestion des utilisateurs sont complexes et longues à mettre en œuvre », a expliqué M. Bhargava. « Ce qui ressemble au départ à un simple poste de dépense se transforme souvent en investissements pluriannuels. Construire et maintenir l’authentification en interne retarde le temps de mise sur le marché d’une application, distrait les développeurs de leur travail prioritaire et peut conduire à des failles de sécurité », a ajouté le cofondateur de Descope.
L’International Counter Ransomware Taskforce vient de débuter ses travaux. Elle compte 37 membres dont l’Union européenne.
L’Australie sera le premier président et coordinateur de l’International Counter Ransomware Taskforce (ICRTF), un groupe de travail international de lutte contre les ransomwares prévu par l’International Counter Ransomware Initiative (ICR). Le coup d’envoi de ses activités a été donné lundi. La CRI s’est réunie pour la première fois en octobre 2021, dans le cadre d’une conférence virtuelle de 30 pays, facilitée par le Conseil de sécurité nationale de la Maison Blanche des États-Unis.
Lors d’une seconde réunion organisée en novembre 2022, les 37 membres participants ont fixé les points suivants :
– Tenir les acteurs de ransomware responsables de leurs crimes et ne pas leur offrir de refuge.
– Combattre la capacité des acteurs de ransomware à tirer profit des produits illicites en mettant en œuvre et en appliquant des mesures de lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT), y compris des règles de « connaissance du client » ou « know your customer » (KYC), pour les actifs virtuels et les fournisseurs de services d’actifs virtuels.
– Perturber et traduire en justice les acteurs de ransomware et leurs facilitateurs, dans toute la mesure permise par les lois applicables et les autorités compétentes de chaque partenaire.
– Collaborer à la lutte contre les ransomwares en partageant des informations, le cas échéant et conformément aux lois et réglementations applicables, sur l’utilisation abusive d’infrastructures pour lancer des attaques de ransomwares, afin de garantir que les cyber-infrastructures nationales ne sont pas utilisées pour de telles attaques.
L’idée de créer un groupe de travail est également née de ce second sommet, dans le but de développer des outils intersectoriels et d’échanger des renseignements sur les cybermenaces afin d’accroître les capacités d’alerte précoce et de prévenir les attaques. La taskforce devrait aussi contribuer à consolider les cadres politiques et les meilleures pratiques. Elle a été créée au sein du Cyber and Critical Technology Coordination Centre, le centre de coordination des technologies cybernétiques et critiques du Ministère australien des Affaires Intérieures.
L’International Counter Ransomware Taskforce (ICRTF) permettra à l’International Counter Ransomware Initiative (CRI) d’être en lien avec l’industrie avec laquelle elle pourra partager et mener des actions défensives et perturbatrices contre les menaces. « L’ICRTF pourra initier des projets de cybersécurité en réponse aux demandes d’assistance des membres et soutiendra les actions potentielles pour perturber les acteurs malveillants au cas par cas », a déclaré le Ministère australien des Affaires Intérieures dans un communiqué. L’ICRTF devra également fournir des rapports sur les outils, les tactiques et les procédures visant à améliorer la sensibilisation des membres.
Le leadership de l’Australie contre les ransomwares
Cette initiative se déroule sous l’égide de l’actuel gouvernement australien, qui, après son arrivée au pouvoir en mai 2022, a rapidement fait de la cybersécurité un portefeuille à part entière, nommant Clare O’Neil comme Ministre de la cybersécurité. Cependant, ce thème n’est pas la seule compétence de Mme O’Neil, qui est également la Ministre de l’Intérieur. Après avoir vivement rappelé à l’ordre l’opérateur télécom australien Optus après la violation massive de données dont il a été l’objet, Mme O’Neil a été confrontée à de nombreuses autres violations, dont certaines beaucoup plus graves, comme celle de Medibank, conduisant le gouvernement à changer d’approche et à adopter une attitude plus ouverte. La violation d’Optus, et toutes celles qui ont suivi, ont forcé le gouvernement à prendre les choses en main et à changer sa façon de traiter les cybermenaces.
Il a notamment créé un groupe opérationnel conjoint réunissant l’Australian Federal Police, la police fédérale australienne et l’Australian Signals Directorate, le service de renseignement australien, responsable du renseignement et de la sécurité électronique des transmissions de la défense, des affaires étrangères et du gouvernement australien, afin de contrecarrer activement les activités des cybercriminels. L’équipe serait composée d’une centaine de personnes issues des deux agences. Le gouvernement australien a également adopté un projet de loi visant à faire passer les sanctions pour violation de données de 42 à 50 millions de dollars australiens. Cette mesure s’inscrit dans le cadre du programme Notifiable Data Breaches (NDB), entré en vigueur en février 2022. Cependant, aucune entreprise n’a été condamnée à une amende depuis lors. L’Office of the Australian Information Commissioner, l’autorité nationale de protection des données et le régulateur national de la vie privée et de la liberté d’information, n’a engagé qu’une seule procédure de sanction civile contre Facebook devant la Cour fédérale en mars 2020, toujours en cours.
L’initiative internationale de lutte contre les ransomwares
Les membres de la Counter Ransomware Initiative sont : L’Afrique du Sud, l’Allemagne, l’Australie, l’Autriche, la Belgique, le Brésil, la Bulgarie, le Canada, la Croatie, l’Espagne, l’Estonie, les Émirats arabes unis, les États-Unis, la France, l’Inde, l’Irlande, Israël, l’Italie, le Japon, le Kenya, la Lituanie, le Mexique, le Nigeria, la Norvège, la Nouvelle-Zélande, les Pays-Bas, la Pologne, la République de Corée, la République dominicaine, la République tchèque, la Roumanie, Singapour, la Suède, la Suisse, l’Ukraine et l’Union européenne. Le CRI compte se faire connaître et accueillir d’autres pays au sein du groupe.
Lors du sommet de 2022, le CRI a présenté plusieurs initiatives qui vont au-delà de la création de la taskforce et ses membres se sont également entendu pour :
– Organiser une deuxième session de travail sur les ransomwares dans le cadre de la lutte contre le financement illicite afin d’approfondir les enseignements tirés de la première session de travail et de renforcer les capacités en matière de traçage et d’analyse de la blockchain.
– Prendre des mesures conjointes pour empêcher les auteurs de ransomware d’utiliser des crypto-monnaies pour se faire payer.
– Partager activement les informations entre les secteurs public et privé sur les acteurs et les techniques.
– Poursuivre l’élaboration de frameworks et de lignes directrices harmonisés pour prévenir les ransomwares et y répondre, en mettant l’accent sur la fourniture de services essentiels et d’infrastructures critiques.
– Aborder la question des ransomwares dans le cadre de formats multilatéraux appropriés afin d’établir des pratiques, des actions et des normes plus larges en matière de lutte contre les activités et les réponses aux ransomwares.
– Coordonner stratégiquement ses programmes de renforcement des capacités cyber afin de renforcer la résilience, les capacités disruptives, les cadres juridiques et les capacités d’application de la loi pour lutter contre les ransomwares dans d’autres pays.
Les utilisateurs de ServiceNow Vulnerability Response auront désormais accès au produit d’analyse de code open source de Snyk pendant leur processus de développement.
Les failles dans les projets open source peuvent menacer la sécurité des applications. Aussi il existe des outils comme Snyk Open Source, une plateforme d’analyse des composants logiciels (Software Composition Analysis, SCA) capable de trouver, hiérarchiser et corriger les vulnérabilités de sécurité et les problèmes de licence dans les dépendances open source. Cette solution sera désormais accessible aux utilisateurs de ServiceNow Vulnerability Response.
Le service de Snyk s’appuie sur un ensemble de sources publiques, de données provenant de la communauté des développeurs, de recherches exclusives d’experts, d’apprentissage machine et d’IA supervisée. Composante de Security Operations, ServiceNow Vulnerability Response lie les capacités de flux de travail et d’automatisation de la plateforme Now aux données d’analyse des vulnérabilités provenant d’autres fournisseurs, lesquels incluent dorénavant les rapports de Snyk.
Quel impact pour les utilisateurs ?
« L’intégration doit permettre une collaboration DevSecOps efficace afin de renforcer la sécurité des entreprises », a déclaré Manoj Nair, Chief Product Officer de Snyk, dans un communiqué. Cette intégration est disponible pour les clients de Vulnerability Response. Elle est accessible aux clients communs de AppVR de ServiceNow et aux abonnés Open Source SCA de Snyk qui disposent de droits API. La plateforme évite aux développeurs de revenir en arrière dans leur développement pour détecter et sécuriser les vulnérabilités. Grâce à des outils avancés d’analyse des composants logiciels, elle contribue à mieux gérer la sécurité des logiciels libres.
« Grâce à ces outils, les développeurs peuvent surveiller en permanence leurs projets en cours et identifier et corriger les vulnérabilités de sécurité en temps réel, tout en évaluant automatiquement la conformité aux politiques réglementaires », a déclaré M. Nair. « Les workflows automatisés et les recommandations permettent aux développeurs de se préoccuper de la sécurité dès le début, ce qui renforce finalement la posture de sécurité de l’entreprise », a-t-il ajouté. « Avec l’intégration de Snyk, les équipes de sécurité peuvent mieux collaborer avec les développeurs et gérer et répondre de manière centralisée aux vulnérabilités open source à travers les applications », a déclaré pour sa part Lou Fiorello, VP et GM des produits de sécurité chez ServiceNow, dans un communiqué.
25 millions de dollars investis dans Snyk
Dans le cadre d’un financement de série G, ServiceNow investit également 25 millions de dollars dans Snyk, portant les investissements globaux de Snyk à 196,5 millions de dollars. Interrogée sur un lien possible entre l’investissement et l’intégration, Snyk a simplement déclaré que l’investissement de ServiceNow dans Snyk marquait un changement dans l’industrie qui s’éloignait des pratiques de cybersécurité dépassées pour s’orienter de plus en plus vers une sécurité centrée sur le développeur. « L’intégration de Snyk dans ServiceNow Vulnerability Response est un autre pas vers ces pratiques, et la disponibilité de Snyk sur l’une des plateformes IT les plus populaires rend le DevSecOps plus accessible aux entreprises », a déclaré Manoj Nair.
Au même moment où Snyk recevait ce financement de série G, l’entreprise a licencié 14 % de ses effectifs, entraînant le départ de 198 employés en Israël et aux États-Unis. Comme le rapporte Globes, ces licenciements ont eu lieu quelques mois seulement après que la société a licencié 30 employés. En février 2022, Snyk a annoncé l’acquisition de l’entreprise Fugue, spécialisée dans la sécurité et la conformité du cloud. À l’époque, Snyk avait déclaré dans un communiqué que le moteur de politiques unifiées Unified Policy Engine de Fugue était unique dans sa capacité à relier la posture du cloud au code de configuration sur la base d’un seul ensemble de politiques, afin de gérer la conformité et la sécurité tout au long du cycle de vie du développement logiciel (SDLC).