2021 est-elle l’année où les cyberattaques forcent les lois sur la protection de la vie privée à faire grincer des dents?

 

Les cyberattaques augmentent en fréquence, augmentant les menaces à la protection des données qu’elles représentent pour les organismes gouvernementaux et les entreprises. Les gouvernements nationaux et étrangers doivent intensifier leurs efforts pour adopter une législation qui renforce les défenses technologiques cette année, avertissent les groupes de protection de la vie privée.

Des lois plus sévères sur la protection de la vie privée sont progressivement examinées et signées sur le marché américain. Mais ce processus se déroule surtout au niveau de l’État.

Pendant ce temps, les cyberattaques présentent aux experts en informatique et aux législateurs une guerre sur deux fronts. L’industrie du logiciel est aux prises avec des problèmes de sécurité qui rendent les cyberattaques viables. Les représentants du gouvernement et les dirigeants d’entreprises sont aux prises avec des questions juridiques complexes concernant des protections de la vie privée dépassées ou manquantes.

Des incursions plus importantes et plus réussies dans le gouvernement, les entreprises et les ordinateurs personnels sont des événements courants. Les campagnes de phishing et les attaques ransomware trouvent régulièrement de nouvelles victimes. La situation ressemble beaucoup à un jeu de Whack-a-Mole.

Les défenseurs de la protection de la vie privée voient de meilleures possibilités que les lois sur la protection de la vie privée s’installent alors qu’ils s’emploient à pousser les législateurs fédéraux à adopter des lois plus strictes sur la protection de la vie privée des consommateurs au cours des prochaines années. Ces nouvelles lois doivent accorder une attention particulière aux technologies émergentes telles que l’intelligence artificielle (IA), l’apprentissage automatique (ML), le cloud computing et la blockchain.

« Je m’attends à une réglementation accrue, en particulier en ce qui concerne les lois étatiques qui mettent l’accent sur les données personnelles sensibles », déclare Scott Pink, avocat spécial au bureau de la Silicon Valley du cabinet d’avocats international O’Melveny & Myers, et membre du groupe de sécurité et de protection des données du cabinet.

Pink conseille régulièrement les entreprises de médias et de technologie sur la façon de se conformer à la mosaïque actuelle de règlements sur la protection de la vie privée propres à l’État et à l’industrie. Il croit que 2021 pourrait marquer une nouvelle ère dans les lois sur la protection de la vie privée visant à protéger un large éventail d’informations numériques précieuses.

« Les données sur la santé du COVID-19 sont immédiatement préoccupantes alors que nous en sommes à la prochaine phase de la pandémie. Les gouvernements et les systèmes de soins de santé recueillent de grandes quantités d’informations sur la recherche des contacts et les vaccins. La mise en œuvre de lois, de politiques et de procédures visant à assurer l’intégrité de ces données sera essentielle », a déclaré Pink à TechNewsWorld.

Les cyberattaques sont un risque important, d’autant plus que le travail à distance et la sophistication croissante des attaques de phishing et d’ingénierie sociale créent plus de vulnérabilités que jamais auparavant, a-t-il souligné. Les cyberattaques et leur impact sur la vie privée des données peuvent avoir de graves répercussions sur les activités des organismes gouvernementaux, des entreprises, des écoles et au-delà.

 

Les menaces les plus répandues en 2021 sont les infestations de RATS. L’acronyme RAT signifie Remote Access Trojan, une forme de malware qui permet aux pirates de contrôler les appareils à distance.

Une fois qu’un programme RAT est connecté à un ordinateur, un pirate peut regarder les fichiers locaux, acquérir des informations d’identification de connexion et d’autres informations personnelles, ou utiliser la connexion pour télécharger des virus qui peuvent alors, à l’insu de l’utilisateur, être propagés à d’autres.

Les intrusions dans l’accès à distance peuvent être problématiques, en particulier avec des millions de personnes qui travaillent maintenant de la maison, a noté Robert Siciliano, instructeur en cybersécurité sociale chez ProtectNow.

« Le protocole de bureau distant de Microsoft et de nombreux services de technologie d’accès à distance tiers augmentent considérablement la surface d’attaque des pirates qui veulent percer dans les réseaux d’entreprise et gouvernementaux », a-t-il déclaré à TechNewsWorld.

Certaines cyberattaques sont basées sur des tactiques intensifiées mises à disposition depuis la pandémie et sont différentes de celles d’avant l’année dernière, a-t-il noté. Ni l’Amérique des entreprises, ni les gouvernements locaux, état et fédéraux n’ont jamais vu venir cela.

Le facteur Cloud compte aussi
Pourtant, les pirates ne réussissent pas strictement en utilisant des tactiques modernes de haute technologie. Les menaces d’aujourd’hui sont une escalade des méthodes de menace existantes qui ont été autour depuis des années et qui ont été accélérées par l’utilisation encore plus répandue de l’informatique en nuage et le développement agile, selon Naama Ben Dov, associé chez YL Ventures, une société américano-israélienne de capital-risque qui se spécialise dans les investissements de cybersécurité étape de démarrage.

La migration dans le cloud est une grande partie des problèmes de confidentialité des données que nous voyons aujourd’hui. Les données restent la cible de valeur la plus élevée pour les attaquants. En tant que tel, le vol de données est la menace la plus répandue cette année, a insisté Eldad Chai, co-fondateur et PDG de Satori Cyber, une société d’accès aux données et de gouvernance à Tel Aviv qui est l’une des sociétés de portefeuille de YL Ventures.

« Grâce à l’accès aux données d’une société, les attaquants peuvent infliger la réputation, les dommages juridiques et opérationnels qui sont disproportionnés à tout autre vecteur d’attaque, at-il dit TechNewsWorld.

Bien sûr, une grande partie de ces données se trouve dans le cloud. La tendance du déplacement des données vers le cloud s’est accélérée au cours des dernières années et est maintenant à un niveau record avec le succès de plates-formes telles que Snowflake et le coup de pouce 2020 fourni aux programmes de migration cloud, a noté Chai.

« La migration massive des données vers le cloud, la démocratisation des données au sein d’une organisation et l’environnement de travail à domicile ont élargi la surface d’attaque des données et rendent extrêmement difficile l’exploitation d’un programme efficace de protection des données », a déclaré M. Chai.

WFH également problématique
Le scénario de travail à domicile a rendu le travail du pirate tellement plus facile. Les attaquants suivent où vont leurs cibles, a observé Ben Dov. À l’heure actuelle, plus que jamais, ces données se situent entre les ordinateurs des travailleurs à domicile, les espaces de travail dans les bureaux et les banques de stockage en nuage.

Les idées reçues ont toujours été que les travailleurs sont plus productifs dans un environnement de bureau; et quand COVID a frappé, les responsables informatiques étaient pour la plupart non préparés, siciliano dit.

Bien que certaines entreprises aient déployé de l’aide technique aux employés qui utilisent leurs propres ordinateurs et routeurs à la maison pour assurer la sécurité avec des appareils à l’extérieur du réseau, cela n’a tout simplement pas suffi.

« Travailler à la maison des appareils se connectant à des réseaux d’entreprise avec une mauvaise configuration est la plus grande crainte d’un gestionnaire informatique, at-il dit.

Trop peu, trop tard
Aux États-Unis, les lois fédérales existantes, comme la Telework Enhancement Act de 2010, n’ont jamais tout à fait anticipé ce niveau de travail à la maison, par exemple. Il est peu probable que le gouvernement fédéral apportera des changements importants de sitôt avec autant d’autres préoccupations existentielles potentiellement mortelles, de l’avis de Siciliano.

Une menace croissante pour les incursions de confidentialité des données est ransomware. Mais c’est un effet et non la cause de la perte de vie privée. Ransomware finit par être un effet d’un cheval de Troie accès à distance ou de la technologie, at-il noté.

« Les responsables informatiques doivent être plus proactifs en matière de matériel, de configurations logicielles et de formation à la sensibilisation à la sécurité », a déclaré M. Siciliano au sujet de la prévention de la divulgation de la confidentialité des données.

Shifting Tech menace l’efficacité
Selon Ben Dov de YL Ventures, l’une des menaces à la vie privée les plus courantes auxquelles nous avons été confrontés en 2021 provient de la dépendance à l’égard des services informatiques tiers qui déplacent ou remplacent de plus en plus les applications historiquement déployées sur place.

« Comme lors de l’incident de SolarWinds, de nombreuses attaques de la chaîne d’approvisionnement ciblent les systèmes de gestion informatique qui étaient utilisés bien avant la montée du cloud. Les organisations dépendent encore de ces tactiques, et cette attaque va forcer à repenser l’étendue de l’exposition à la chaîne d’approvisionnement informatique », a-t-elle déclaré à TechNewsWorld.

Il en va de même pour les applications logicielles, a-t-elle poursuivi. Ces dernières années ont vu une explosion de la quantité de logiciels tiers. Cette réalité fait perdre aux organisations une visibilité sur les risques liés à l’exposition à ces composantes tierce.

Cette situation va sans doute empirer avant qu’elle ne s’améliore, a prévenu Ben Dov. L’augmentation des atteintes à la vie privée des données, en particulier les données privées, est de plus en plus étendue.

sont en mesure de suivre et de surveiller les données tout au long d’un cycle de vie entier, d’une manière qui s’intégrera de manière significative aux unités commerciales existantes des organisations et leur permettra d’exécuter plutôt que d’étouffer la R&D, les ventes et le marketing. La sécurité devrait être un intérêt et un objectif interentr ouvrables qui soutiennent les processus opérationnels », a-t-elle rétorqué.

À l’heure actuelle, le législateur se concentre principalement sur nos droits en tant qu’individus à la vie privée. Bien que cela soit bien accueilli et nécessaire, il néglige la mise en œuvre de programmes de protection de la vie privée, et chaque entreprise a sa propre façon de répondre aux exigences en matière de protection de la vie privée, a offert Chai Satori Cyber.

« Concentrer les lois sur les résultats, par exemple si les données sont perdues, vous obtenez une amende, ne traite pas de bon nombre des questions sous-jacentes à la protection de la vie privée des personnes », a-t-il dit.

Chai n’est pas sûr que cela est susceptible de se produire cette année. Mais il espère que les gouvernements feront un meilleur travail dans la définition et la normalisation des programmes de protection des données d’une manière qui guidera l’industrie dans la mise en œuvre de programmes efficaces et durables.

Nouvelle vie privée, rides de sécurité
Avec l’adoption de l’infrastructure cloud et des services cloud (SaaS), plus d’attaques adaptées et personnalisées pour contourner les garde-corps existants du nuage se produiront. Les pirates chercheront des moyens de contourner les mécanismes d’authentification des nuages, a suggéré Ben Dov.

Une préoccupation connexe concerne la tendance des entreprises à développer leurs propres applications à l’interne, devenant ainsi leur propre société de logiciels. Cela ouvre la porte à des attaques spécifiques à l’application, a-t-elle mis en garde.

« Les pirates choisiront toujours la voie la plus facile, et jusqu’en 2020 exploiter les bogues dans les anciens systèmes d’exploitation pour installer des logiciels malveillants ou des gens d’ingénierie sociale pour installer des logiciels malveillants sur leurs ordinateurs portables a été un chemin facile », a ajouté Chai. « Avec le passage des données et des serveurs au cloud, nous verrons éventuellement moins d’attaques de ce genre et plus d’attaques axées sur les environnements cloud. »

Un élément clé qui doit être abordé, selon Siciliano, est un manque de préoccupation pour le rôle de sécurité que les employés doivent jouer. C’est particulièrement vrai en ce qui concerne le phishing. Les employés ont besoin d’une meilleure compréhension de la façon dont leur inefficacité pourrait entraîner des calamités.

« La formation sur la sensibilisation à la sécurité en ce qui concerne la simulation par hameçonnage en soi ne suffit absolument pas et ne résoudra pas le problème. La discussion doit passer de la sensibilisation à la sécurité à l’appréciation de la sécurité, et à l’heure actuelle, la plupart des organisations ne le font pas », a-t-il déploré.

 

Leave a Reply

Your email address will not be published. Required fields are marked *