RSA est la plus grande conférence sur la cybersécurité au monde, réunissant plus de 40 000 acteurs de l’industrie et à peu près toutes les grandes entreprises sur une période intense de 7 jours. J’ai pu m’évader pendant 3 jours la semaine dernière, et j’ai fait mes rondes de conférences et de présentations, et bien sûr le vaste étage de l’exposition.

Voici les 6 principales choses que j’ai apprises :

#1 – Il y a une énorme pénurie de compétences en cybersécurité

Ironique, quand on pense qu’une seule conférence pourrait en attirer 40 000, mais c’est quand même vrai.

À mesure que les menaces augmentent et que des mesures appropriées deviennent nécessaires, les entreprises investissent dans l’infrastructure et les ressources. Les sociétés de capital de risque investissent des centaines de millions dans des startups de sécurité, les entreprises ont ouvert leur portefeuille, attirent et retiennent les meilleurs praticiens de la cybersécurité, tandis que les grandes sociétés de conseil créent des pratiques de cybersécurité indépendantes et stockent leurs propres talents. C’est le moment idéal pour vendre ces compétences, car les équipes informatiques débordées tentent de faire face à l’assaut des menaces et à l’augmentation des connaissances.

#2 – Le marché de la cybersécurité est en pleine croissance

Les estimations varient, mais il semble y avoir un consensus autour d’une taille actuelle d’environ 80 à 90 milliards de dollars américains et qui doublera presque au cours des 5 prochaines années, pour un taux de croissance annuel composé de 15%. Vous connaissez beaucoup de marchés de cette taille qui connaissent une croissance aussi rapide?

Plus intéressant encore, presque tous les segments de marché sont également en croissance, notamment les appareils IoT, les PC, les appareils mobiles/réseaux, la télévision connectée, les appareils portables, les voitures connectées, etc. Les segments les plus importants aujourd’hui sont évidemment les PC et les appareils mobiles/réseaux, mais il y a une croissance considérable dans le segment des appareils IoT (voir ci-dessous, #6).

#3 – La plupart des attaques ne sont pas sophistiquées

Vous ne serez peut-être pas trop surpris d’entendre cela, mais la plupart des attaques ne sont pas si sophistiquées. Penses-y. Si vous étiez un grand joueur d’entreprise et que vous vous fassiez frapper, et durement, admettriez-vous qu’un ingénieur social astucieux a escroqué l’administrateur du PDG pour qu’il donne les réponses à certaines questions de sécurité qui ont mené au piratage du compte? Ou est-il plus facile de prétendre que des techniques sophistiquées inédites ont été utilisées pour synchroniser une attaque qui a tiré parti de plusieurs vulnérabilités connues et cachées sur une longue période…?

Bien que nous aimions le croire, les pirates informatiques sont plus intelligents que cela. Plus l’attaque est sophistiquée, plus il est facile de l’attribuer à un attaquant spécifique. Il est utile d’utiliser un état d’esprit de type « Les suspects habituels ». Disons que si seulement 5 groupes dans le monde peuvent effectuer un type d’attaque spécifique, vous pouvez réduire le bassin. Pour une raison quelconque, les vulnérabilités Zero Day et les attaques qui en découlent font l’objet de toute la presse, mais en réalité, elles ne représentent qu’environ 1% de toutes les attaques. Des pirates expérimentés les font caca en « dernier recours » d’un pirate. Je suppose que pour la presse, un nom accrocheur comme « Zero Day », avec son son inquiétant, est plus important.

Cela ne veut pas dire qu’il n’y a pas d’attaques sophistiquées. C’est juste que les pirates, sans surprise, prendront la voie la plus facile. Alors, il est peut-être temps de changer ce mot de passe administrateur à partir du paramètre par défaut d’usine… juste une pensée.

#4 – Nous sommes passés de la prévention à la détection et à l’intervention

C’est un thème au cours des deux dernières années à la RSA. Surmontez-le, vous ne pouvez pas arrêter les menaces en érigeant ce que vous pensez être un mur infranchissable. Peu importe à quel point vous essayez, vos systèmes seront compromis à un moment ou à un autre, et votre seul espoir est de pouvoir détecter le plus rapidement possible que cela s’est produit et d’être configuré pour avoir rapidement la réponse appropriée pour réduire le nombre de vols ou de perturbations. Le dernier logiciel ne représente plus une clôture de barbelés, c’est plutôt un système de surveillance complexe qui surveille les comportements inhabituels, les signale, puis fait appel aux gardes en chemise bleue pour les isoler et s’assurer que rien ne sort. Le terme de l’industrie pour cette dernière partie est « réduire l’exfiltration », ce qui semble beaucoup plus scientifique que « les empêcher de sortir vos affaires ».

J’ai entendu un analyste de cybersécurité très respecté dire que « les banques utilisent des mots de passe pour votre compte sont un « théâtre de sécurité », ce qui est clairement une hyperbole. Il l’a appuyé en disant que les banques ont des logiciels beaucoup plus sophistiqués (il y a encore ce mot…) qui détectent les comportements étranges dans votre compte et que vous pouvez supposer que quelqu’un a déjà votre mot de passe bancaire. Ces gars de la cybersécurité sont tellement déprimants!

Je crois que vous avez besoin d’un logiciel pour la prévention (pare-feu, protection des terminaux, filtrage Web, etc.) et que vous devriez envisager la détection et la réponse (ATP pour APT, voir ci-dessous). Le problème avec la détection et l’intervention, c’est qu’elles sont assez coûteuses du point de vue des ressources. Ces outils génèrent beaucoup d’alertes, et vous aurez besoin d’une certaine expertise pour les analyser correctement, puis d’une plus grande expertise pour prendre les mesures appropriées. Il semble qu’il y ait un bel avenir pour les FSSG (fournisseurs de services de sécurité gérés).

#5 – Le marché de la protection avancée contre les menaces (ATP) est encore très nouveau

J’ai passé beaucoup de temps à ce sujet, car je voulais apprendre et mieux comprendre si mon entreprise devrait ajouter un tel outil à son portefeuille de produits. Il y a beaucoup de discussions sur la mort de l’antivirus, bien qu’il semble que l’intention réelle était de dire que « l’antivirus traditionnel basé sur les signatures » est mort. Fondamentalement, comme le dit l’histoire, l’antivirus des terminaux n’est plus suffisant et ce dont vous avez besoin maintenant, c’est de la détection et de la réponse aux terminaux (EDR) ou de la protection avancée contre les menaces (ATP), car il aide à lutter contre les menaces persistantes avancées (APT, et oui, c’est l’acronyme overload!). Le nouveau bavardage va du purement langage marketing aux nouveaux outils développés par des startups très fortement financées. Du côté du marketing, il semblerait que soudainement, à peu près tout le monde a fait une protection avancée contre les menaces depuis le début! Vous ne le saviez tout simplement pas, et ils ont oublié de vous le dire.

La taille actuelle du marché est estimée à environ 200 millions de dollars, mais ce qui fait que les investisseurs se lèchent les côtelettes, c’est la possibilité qu’il devienne de la taille du marché existant des antivirus pour terminaux, qui se situe entre 5 et 7 milliards de dollars, soit en le remplaçant progressivement, soit en lui servant d’amélioration. En parlant de cela, j’ai parlé à presque tous les fournisseurs d’ATP et j’ai demandé si « il remplace l’AV » et les réponses couvraient toute la gamme. J’ai également demandé à tous les fournisseurs d’audiovisuels traditionnels s’il y avait de la poussière de fée ATP dans leurs offres, et les réponses allaient de « oui, je l’ai déjà, nous n’en avons pas fait grand cas jusqu’à maintenant » à « nous prévoyons de l’ajouter très bientôt ».

Cela nous a fait penser à l’époque d’il y a environ 10 ou 12 ans où les logiciels espions étaient un gros problème et qu’il y avait un tas de nouvelles entreprises anti-logiciels espions qui ont émergé. Qu’est-ce qui leur est arrivé, ont-ils survécu? Eh bien, bien que la technologie ait survécu, elle a rapidement été engloutie par les principaux fournisseurs de véhicules autonomes, soit par acquisition, soit en créant leur propre technologie et en battant les nouveaux joueurs. Ce résultat est une possibilité distincte pour les fournisseurs actuels d’ATP, quelque chose à considérer si vous cherchez à acheter ou à vous associer.

#6 – L’IoT (Internet des objets) va être un gâchis en matière de sécurité!

Pensez-y, des milliards de nouveaux appareils soudainement sur Internet, facilement accessibles et contrôlés à distance. Le piratage du système de sonnette a fait beaucoup de presse, mais quel est le vrai problème ici? L’IdO est un véritable espace de programmation entièrement nouveau qui a attiré un groupe de nouveaux joueurs et de codeurs qui ont peu ou pas d’expérience avec les meilleures pratiques de sécurité logicielle. Pour ces nouveaux joueurs, la sécurité dès le début sera une réflexion après coup, tandis que l’accent sera mis sur « faire fonctionner les choses ». Le codage sécurisé n’est pas encore intégré dans la culture de ces entreprises, nous voyons donc des erreurs de sécurité complètement novices, à commencer par les mots de passe envoyés en clair, aïe! Cela prendra un certain temps et les choses s’amélioreront, mais pour l’instant, il vous sera utile d’être très paranoïaque à propos du dernier appareil IoT connecté.

En conclusion

RSA est une conférence énorme et la cybersécurité est une préoccupation majeure pour nous tous. Je n’ai fait qu’effleurer la surface de ce qui a été abordé lors de la conférence. Au cours des prochaines semaines, j’approfondirai un peu plus certains sujets. N’hésitez pas à m’écrire si vous avez des questions ou si vous souhaitez en savoir plus sur un sujet spécifique en matière de cybersécurité.