Il n'y a pas que les éditeurs à y aller de leurs prédictions sécurité pour l'année à venir. Le site CSO Online propose aujourd'hui celles de Mark Weatherford, le RSSI de l'Etat de Californie.

Embauche, SCADA, Cloud : son point de vu est complémentaire à celui des éditeurs que nous avons publiés jusqu'à présent. Il les rejoint toutefois sur un point : les réseaux sociaux, question incontournable en 2010 pour les RSSI qui attendraient encore que la mode passe.

1. La course aux compétences sécurité va s'accélérer. Selon Mark Weatherford, le niveau des attaques est en augmentation constante depuis plusieurs années, et il devient difficile pour les entreprises d'embaucher suffisamment d'experts d'un niveau suffisant pour suivre. 2010 devrait voir selon lui des difficultés de recrutement d'experts qualifiés.

2. Les réseaux sociaux sont une menace différente, mais durable. Et contrairement à d'autres menaces celle-ci vise le maillon le plus faible et le plus difficile à contrôler de la chaîne : l'utilisateur. "Les hackers sont toujours là, mais les criminels se sont rendus compte qu'il est encore plus simple de laisser les utilisateurs se hacker eux-même (en fournissant l'information, ndlr)", explique Mark Weatherford. Et le RSSI de noter que contre cette menace là, la réponse technique n'est pas la plus efficace.

3. Les infrastructures vitales seront au centre des débats. Les systèmes de contrôle des infrastructures vitales (eau, électricité, etc...) font déjà l'objet d'une attention particulière. Leur ouverture progressive aux technologies "du marché", ainsi que leur migration croissante vers IP, soulève depuis quelques années déjà la question de leur sécurité. Mais selon Mark Weatherford 2010 devrait être l'année du débat sécurité pour ces SCADA (Supervisory Control And Data Acquisition). Il prévoit notamment des discussions serrées afin d'imposer des réglementations plus sévères aux opérateurs privés de ces systèmes aux Etats-Unis.
Notons qu'en France le débat est déjà lancé, notamment en ce qui concerne les Opérateurs d'Importance Vitale (OIV) dans le cadre des Directives Nationales Sécurité (DNS), dont nous avons déjà parlé sur SecurityVibes à l'occasion d'un débat organisé par le Cercle Européen de la Sécurité et des Systèmes d'Information.

4. Cloud Computing & sécurité font bon ménage. Le passage à des services de sécurité offerts depuis le Cloud sera inévitable selon Mark Weatherford. Les budgets déclinants et les difficultés de recrutement (voir son premier point) font que les entreprises pourront de moins en moins se permettre d'ignorer la proposition du Cloud en matière de sécurité. Selon lui, des services comme "l'hygiène de l'email" (sic), la supervision des IDS/IPS, l'analyse des vulnérabilités ou la détection des vulnérabilités web sont d'excellents exemples de fonctions que l'entreprise peut laisser opérer depuis le nuage sans risque.

5. Le Cyber Crime ne va pas faiblir. Pour cette prédiction Mark Weatherford ne se mouille franchement pas. Mais sa justification est plus intéressante : "Dès lors que le ticket d'entrée du cyber-crime est bas (et il l'est) et que le risque de se faire prendre est faible (et il est proche de zéro), le crime ne peut qu'exploser".

A noter que l'article de CSO Online, outre les prédictions de Mark Weatherford, propose aussi celles de Dan Kaminsky, le découvreur de la vulnérabilité DNS qui a fait couler beaucoup d'encre. Nous vous en laissons la primeur, en VO.

Retrouvez l'intégralité des prédictions 2010 sur la chaîne "Prédictions 2010" sur SecurityVibes.

Et n'hésitez pas à partager avec nous vos avis sur 2010 dans le fil de discussion ouvert à cet effet sur SecurityVibes. Vous pouvez répondre de manière anonyme si vous le souhaitez, bien entendu. Avec suffisamment de réponses nous publierons un article consacré aux prédictions des membres de SecurityVibes !