La sécurité informatique n’est plus seulement réservée à quelques spécialistes comme les DSI, RSSI et autres. Chaque CEO, chaque dirigeant, doit aujourd’hui s’engager et démontrer sa capacité à appréhender les risques cyber. Et pour les y aider, Gartner a dévoilé les 8 tendances qui vont marquer la cybersécurité en 2023 et dans les 2 à 3 années à venir. En voici les grandes lignes.
L’avenir semble pavé d’incertitudes, mais la question que chaque responsable de la sécurité devra se poser dans les prochaines années est « comment s’assurer que nos consommateurs ne seront pas blessés physiquement ou autrement par des fraudeurs ? », et surtout, ils devront en anticiper les risques et planifier des défenses et des surveillances.
En effet, avec le développement galopant des systèmes cyber-physiques (systèmes mixant les mondes virtuels et physiques) comme les voitures autonomes ou les jumeaux numériques, des cybercriminels malintentionnés pourraient, en ciblant ces systèmes, faire beaucoup de victimes. C’est sur ce point qu’il est important d’être vigilant et de prévoir.
La sécurité et la gestion des risques sont devenues un problème au niveau du conseil d’administration des organisations. Les failles de sécurité deviennent de plus en plus courantes et complexes, entraînant l’adoption de nouvelles lois pour protéger les consommateurs et les entreprises plaçant la sécurité au centre de leurs décisions.
Pour les prochaines années, les analystes de Gartner envisagent un environnement dans lequel une plus grande décentralisation, une réglementation accrue et des implications sécuritaires seront plus sévères.
D’ici la fin de 2023, les lois modernes sur la confidentialité des données couvriront les informations personnelles de 75 % de la population mondiale.
Le RGPD a été la première législation majeure sur la protection de la vie privée des consommateurs, mais d’autres ont rapidement suivi, et les réglementations pour la protection des données continuent de foisonner partout dans le monde.
Cela signifie que les organisations devront gérer plusieurs lois sur la protection des données dans plusieurs pays différents, aux législations différentes.
Gartner prévoit que ces organisations devront impérativement se concentrer sur l’automatisation des systèmes de gestion de la confidentialité des données.
D’ici 2024, les organisations qui adoptent une architecture réseau de cybersécurité pourront réduire de 90% les coûts financiers des incidents de sécurité.
Les organisations prennent désormais en charge beaucoup de technologies différentes et dans différents endroits. Leurs besoins en matière de solutions de sécurité changent et doivent être plus flexibles pour inclure des identités en dehors du périmètre de sécurité traditionnel et crée une vue holistique de l’organisation. Cela contribue également à améliorer la sécurité du travail à distance. Cette approche va beaucoup s’accélérer au cours des deux prochaines années.
On parle désormais de SSE (Secure Service Edge) car, dans ce monde du travail hybride, on voit la sécurité comme un ensemble de « fonctions », délivrées sous forme de services, centralisées et unifiées dans le cloud, et assemblées dans une approche « Zero Trust ».
D’ici 2024, 30 % des entreprises déploieront une passerelle web sécurisée (SWG) basée sur le cloud, des courtiers de sécurité d’accès au cloud (CASB), un accès réseau Zero Trust (ZTNA) et un pare-feu en tant que service (FWaaS), provenant du même fournisseur.
Les organisations se tournent vers l’optimisation et la consolidation. Les responsables de la sécurité gèrent généralement des dizaines d’outils, mais ils prévoient de réduire ce nombre à moins de 10.
D’ici 2025, surveiller ses partenaires sera monnaie courante, dans le but d’améliorer sa propre sécurité.
Sous la pression des clients et des régulateurs, les entreprises vont devoir considérer le risque cyber comme une priorité dans la conduite des affaires avec leurs tierces parties.
Les investisseurs, en particulier les capital-risqueurs, utilisent le risque de cybersécurité comme un facteur important dans l’évaluation des opportunités. Les organisations examinent de plus en plus les risques de cybersécurité lors de leurs transactions commerciales, y compris les fusions et acquisitions et les accords avec les fournisseurs. Par conséquent, il peut y avoir des exigences de souscrire des cyber-assurances.
Les états vont réguler le paiement des rançons
« D’ici 2025, 30 % des États-nations adopteront une législation réglementant les paiements, les amendes et les négociations relatifs aux ransomwares, contre moins de 1 % en 2021 »
Les ransomwares évoluent sans cesse. Désormais, ce sont des attaques « double peine » : non seulement les données sont chiffrées et potentiellement perdues, mais elles ont aussi été préalablement exfiltrées par les cyberattaquants. Pour Gartner, « la décision de payer ou non la rançon est une décision Business, et non une décision de sécurité ». Ses analystes recommandent de faire appel à une équipe professionnelle de réponse aux incidents ainsi qu’aux forces de l’ordre et à tout organisme de réglementation avant de négocier.
D’ici 2025, 40 % des conseils d’administration auront un comité dédié à la cybersécurité supervisé par un membre qualifié du conseil d’administration.
Comme la cybersécurité est devenue (et reste) un problème majeur pour les organisations, il y aura de plus en plus de mise en place d’un comité de cybersécurité au niveau du conseil d’administration et une surveillance plus stricte.
Se préparer à tout, et surtout au pire.
D’ici 2025, 70 % des PDG mettront en place une culture de résilience d’entreprise pour se protéger des menaces liées à la cybercriminalité, aux phénomènes météorologiques violents, aux événements sociaux et à l’instabilité politique.
Cybercriminalité, fake news, catastrophes naturelles, manipulation via les réseaux sociaux… le monde qui vient va devenir de plus en plus chaotique.
Pour Gartner, les chefs d’entreprise doivent faire de la « résilience organisationnelle » un impératif stratégique. Ils doivent bâtir une stratégie de résilience à l’échelle de l’entreprise impliquant tous les employés, les actionnaires, les fournisseurs.
D’ici 2025, les cybercriminels seront capables d’utiliser les environnements technologiques opérationnels comme armes et causer des pertes humaines.
Alors que les logiciels malveillants se propagent de l’informatique à l’OT, l’attention se déplace des cyberattaques interrompant l’activité d’une organisation à des dommages physiques. La responsabilité finale incombant au PDG, il sera primordial de sécuriser les systèmes cyber-physiques centrés sur les actifs et de s’assurer que des équipes sont en place pour gérer la gestion appropriée.