6 tendances en matière de cybersécurité qui auront un impact sur les entreprises en 2024

Si 2023 a appris quelque chose aux entreprises, c'est que les cyber-risques doivent être traités avec le même niveau de visibilité, de gouvernance, de planification et de ressources que d'autres risques commerciaux importants tels que les conditions financières, les responsabilités juridiques ou les perturbations opérationnelles.

Les gros titres ont été inondés d'histoires de violations de données et de cyberattaques causées par des processus de gestion de la sécurité des informations et des données médiocres, peu clairs, voire totalement absents. Le résultat? Des pertes financières importantes, une atteinte à la réputation et de lourdes amendes imposées par les organismes de réglementation à l'encontre de l'organisation concernée, de ses fournisseurs et, dans certains cas, même des individus.

En réponse à l’augmentation des cybermenaces, les réglementations régissant les pratiques en matière de cybersécurité et de sécurité de l’information ont rapidement proliféré. Juste cette semaine, l'UE a annoncé son accord politique sur la réglementation de l'IA, avec d'autre des réglementations telles que la Cyber ​​Resilience Act et le projet de loi PSTI (Product Security and Telecommunications Infrastructure) rejoignant les réglementations établies telles que le RGPD et le NIS. Les États-Unis ont vu un décret publié sur la cybersécurité et Règlements de la SEC introduits sur la divulgation des violations. Tous ces éléments montrent clairement que les organisations doivent être en mesure de démontrer les meilleures pratiques en matière de sécurité des informations et des données et une mise en œuvre efficace dans tous les aspects de leur activité.

Compte tenu de la situation actuelle, que réserve exactement 2024 aux entreprises ? Nous avons examiné six tendances clés qui, selon nous, domineront le paysage de l'information et de la cybersécurité en 2024 et les avons présentées ci-dessous.

Tendance 1 : Réglementation croissante de l’IA et de l’apprentissage automatique (ML)

L'IA et l'apprentissage automatique (ML) sont rapidement devenus essentiels dans les entreprises, optimisant la prise de décision, automatisant les tâches et fournissant des informations dépassant les capacités humaines. Sa prévalence a suscité de nombreuses discussions sur ses implications pour les entreprises, les particuliers, la vie privée et la sécurité numérique.

Compte tenu de la nature omniprésente et autonome de ces systèmes, qui ont un impact significatif sur le bien-être des consommateurs, des employés et des infrastructures, il existe un besoin crucial d'une réglementation réfléchie pour suivre le rythme de l'évolution de leurs capacités. La demande de transparence, de responsabilité, de mesures anti-partialité et de mécanismes de correction des erreurs dans la prise de décision en matière d’IA s’est accrue tout au long de l’année 2023. À mesure que l’IA s’étend dans des domaines à haut risque, cette tendance ne fera que s’intensifier.

Par conséquent, 2024 sera une année charnière pour une gouvernance formalisée de l’IA, englobant des lois, des cadres industriels et des politiques d’entreprise solides. Les législateurs des Amériques, d’Europe et d’Asie élaborent des propositions qui imposent des obligations morales et juridiques aux fournisseurs, développeurs et entreprises d’IA. Le L’UE a annoncé son accord politique sur une loi sur l’IA juste cette semaine. 

Tandis que des groupes internationaux comme l'IEEE et l'ISO établissent déjà des normes complètes et unifiées pour créer, évaluer et mettre en œuvre en toute sécurité des systèmes de ML dans diverses industries et applications, qui seront probablement publiées au cours de la nouvelle année.

Nous nous attendons également à ce que la création de conseils d’administration chargés de superviser les pratiques responsables en matière d’IA, d’auditer les processus de développement et de gérer les risques liés aux modèles au sein des organisations devienne la norme. Aux côtés d'autres activités, telles que : 

• Listes de contrôle éthique pour aider les data scientists à créer des ensembles de données représentatifs et des algorithmes impartiaux 
• Clauses de transparence pour les échanges de modèles d'IA et les intégrations de services incluses dans les contrats de partenaires

L’objectif de réglementer l’IA est louable : il est essentiel de garantir que les décisions influencées par l’IA soient équitables et que les entreprises ne déploient l’automatisation qu’après avoir pleinement compris et atténué les risques. Cependant, ces réglementations peuvent introduire des complexités et des retards supplémentaires pour les innovateurs en IA et les organisations souhaitant utiliser cette technologie.

Alors que les décideurs politiques et les leaders de l'industrie s'efforcent d'exploiter le potentiel productif de l'IA tout en s'attaquant de manière préventive aux inconvénients potentiels, les entreprises doivent se préparer à démontrer leur conformité, tant en interne qu'à leurs clients. Cela marque l’avènement de une nouvelle phase dans le développement de l'IA: avancer rapidement mais avec un sens accru des responsabilités.

Tendance 2 : complexité croissante des ransomwares

Les attaques de ransomwares devraient devenir encore plus répandues et sophistiquées en 2024. À mesure que de plus en plus d’entreprises numériseront leurs opérations et stockeront des données sensibles dans le cloud, les groupes de ransomwares se concentreront probablement sur les environnements cloud cibles et les magasins de données de sauvegarde afin de maximiser l’effet d’extorsion.

Une tendance à la hausse est celle des attaques de ransomware par « double extorsion ». Dans ces systèmes, les attaquants chiffrent les données et exfiltrent les informations sensibles des systèmes de la victime, qu'ils menacent ensuite de publier ou de vendre en ligne si la rançon n'est pas payée. Cette pression supplémentaire rend les victimes plus susceptibles de payer. Les attaquants peuvent même vendre aux enchères les données volées au plus offrant.

En outre, les groupes de ransomwares mettent en place des opérations de ransomware-as-a-service (RaaS) et des programmes d’affiliation de logiciels malveillants pour accroître leur impact. Ces programmes fournissent des boîtes à outils de ransomware faciles à utiliser pour les cybercriminels disposant de compétences techniques limitées, pour une partie des bénéfices. Cela décentralise davantage et répartit le risque sur un plus grand nombre d’attaques.

Compte tenu des menaces croissantes, nous pourrions assister à une poussée réglementaire autour de la résilience aux ransomwares en 2024. Les réglementations pourraient obliger les organisations à : 

• Avoir des plans de réponse aux incidents pour les scénarios de ransomware
• Maintenir des sauvegardes hors ligne des données 
• Organiser une formation de sensibilisation à la cybersécurité
• Mettre en œuvre des politiques de cyberassurance

Ceux qui ne respectent pas les meilleures pratiques désignées en matière de prévention et de préparation aux ransomwares s’exposent à des amendes ou à d’autres mesures. Cependant, une telle réglementation présente également des défis en termes de mise en œuvre et d’application dans divers secteurs.

Nous verrons également probablement davantage l'accent sur les partenariats internationaux, tels que le Initiative internationale de lutte contre les ransomwares (CRI), pour « briser le modèle commercial des ransomwares en réunissant les agences politiques, policières et opérationnelles du monde entier pour perturber les ransomwares tout en renforçant la résilience contre les cyber-acteurs malveillants ».

Tendance 3 : expansion de l’IoT et risques associés

La révolution de l’Internet des objets est en marche. Prévisions Gartner que plus de 33 milliards d’appareils IoT d’entreprise et automobiles seront activement utilisés d’ici 2024.

Pourtant, cette profusion d’appareils connectés, tout en étant efficace, offre également aux pirates informatiques de nombreux nouveaux vecteurs d’attaque à exploiter. De nombreux systèmes IoT manquent encore de dispositions de sécurité de base, comme le cryptage des données, qui font confiance aux défenses du périmètre du réseau pour suffire. 

L’infrastructure de technologie opérationnelle (OT) critique pour l’entreprise, auparavant isolée au sein des usines, est désormais liée aux systèmes de gestion informatique, exposant les contrôles industriels fragiles aux menaces numériques. Il existe peu de mises à jour du micrologiciel pour corriger les vulnérabilités des appareils IoT distribués, des caméras aux pompes à perfusion cliniques.

L'industrie manufacturière, les services publics et la santé en particulier doivent désormais réorienter la sécurité informatique autour de la protection d'une surface d'attaque croissante parsemée d'appareils non sécurisés. Des activités telles que : 

• Segmentation des réseaux
• Surveiller activement le trafic pour déceler les anomalies
• Exiger des contrôles d’accès
• Mise en œuvre de protocoles de transmission de données sécurisés 

Tous contribuent à atténuer les risques liés à l’interconnexion.

Nous nous attendons à voir davantage d'organisations s'aligner sur des cadres tels que ISO 27001 dans la lutte contre les risques liés à l'IoT, car cela nécessite une évaluation structurée des risques de sécurité de l'information et des contrôles de protection adaptés au contexte spécifique d'une organisation. Cette approche zéro confiance répond aux enjeux de l’IoT.

L’année 2023 a déjà vu des tentatives visant à aborder la sécurité et la confidentialité des informations pour les appareils IoT avec des législations telles que : 

• La loi européenne sur la cyber-résilience
• Certification américaine du modèle de maturité en matière de cybersécurité (CMMC) 
• La loi américaine sur les crédits consolidés 
• Projet de loi britannique sur la sécurité des produits et l'infrastructure des télécommunications 

Nous nous attendons à ce que de telles réglementations de sécurité standardisées se multiplient et que leur application devienne plus rigoureuse en 2024, couplées à des alliances industrielles pour promouvoir des protections plus strictes de l’IoT, en particulier pour les infrastructures nationales. 

Indépendamment de la réglementation et de son application, nous attendons des entreprises qu'elles agissent rapidement pour moderniser leurs défenses, car les infrastructures intelligentes multiplient les points d'accès pour les adversaires et le risque pour les opérations et le succès de l'entreprise devient trop important pour être ignoré.

Tendance 4 : l'importance des architectures Zero Trust

Les analystes du secteur prévoient que les cadres de confiance zéro deviendront des exigences de conformité formelles dans les secteurs de la finance, du gouvernement et de la santé d'ici 2025, à mesure que les attaques révèlent les faiblesses de la défense conventionnelle.

Les effectifs se décentralisent, les infrastructures migrent vers le cloud et les utilisateurs ont besoin d'accéder n'importe où, ce qui bouleverse les hypothèses selon lesquelles des périmètres de sécurité clairs existent même. Pourtant, de nombreuses entreprises s’appuient encore sur des défenses familières mais poreuses comme les VPN, les pare-feu et les droits réseau privilégiés pour protéger les données critiques.

Au lieu de cela, des programmes de cybersécurité matures sont déjà adopter des architectures zéro confiance qui suspendent la confiance implicite tout en validant rigoureusement chaque utilisateur et système tentant d'accéder, et nous prévoyons de voir l'adoption de cette approche augmenter considérablement en 2024. 

Ce le modèle vérifie l'identité grâce à une authentification multifacteur stricte avant d'accorder les autorisations de moindre privilège. Au lieu d’un accès général au réseau, les politiques de micro-segmentation limitent strictement la connectivité aux ressources autorisées. Fondamentalement, le modèle Zero Trust nécessite une surveillance continue de l’activité des utilisateurs et des journaux système avec analyses pour identifier les comportements anormaux indiquant des menaces. 

Parmi les facteurs qui font passer les principes de confiance zéro des meilleures pratiques de cybersécurité à l'essentiel, citons l'adoption du cloud hybride, la croissance de la main-d'œuvre à distance et les protections périmétriques existantes qui se sont révélées inadéquates contre les attaquants sophistiqués. efficacité opérationnelle s'améliore également en faisant évoluer la posture de sécurité d'une organisation vers des décisions d'accès dynamiques et contextuelles plutôt que vers des privilèges réseau statiques.

Une réarchitecture précoce des systèmes de sécurité permet aux organisations de renforcer leurs défenses et de favoriser l'innovation. La mise en œuvre de cadres tels que la norme ISO 27001 peut fournir une approche structurée pour adopter les principes de confiance zéro, offrant un ensemble complet de politiques et de procédures conformes aux normes de gestion de la sécurité de l'information les plus élevées. Cela permet de garantir une mise en œuvre systématique et cohérente d'architectures Zero Trust, renforçant ainsi la posture de sécurité d'une organisation contre l'évolution des menaces.

Tendance 5 : Une approche plus globale des réglementations et des exigences de conformité

À mesure que l’impact et la fréquence des cyberattaques augmentent, les lacunes vulnérables en matière de gouvernance des données entre les secteurs et les frontières géographiques entreront dans la ligne de mire des régulateurs pour des garde-fous plus solides en 2024. 

Alors que les cyberattaques ayant des impacts transfrontaliers se multiplient, les gouvernements du monde entier se rendent compte des limites des réglementations fragmentées entre les juridictions. Alors que de nombreux pays ont mis en œuvre localement des lois sur la protection de la vie privée et des politiques de cybersécurité spécifiques à un secteur, les divergences causent des maux de tête aux organisations multinationales. La rationalisation des exigences grâce à une collaboration internationale deviendra une priorité pour aligner la surveillance de la cybersécurité à l’échelle mondiale plutôt que par le biais de réglementations disparates en 2024.

Les réglementations qui se chevauchent engendrent une redondance autour de pratiques telles que l'audit, la formation ou les évaluations des sous-traitants. L'innovation ralentit à mesure que les équipes d'ingénierie sont chargées d'interpréter une terminologie juridique vague. Et les budgets gonflent à mesure que les ressources techniques sont détournées vers les rapports de conformité.

En réponse, nous nous attendons à voir des groupes collaboratifs comme l’Organisation internationale de normalisation (ISO) et la Global Privacy Assembly (GPA) travailler encore plus étroitement avec les entreprises et les gouvernements en 2024 pour harmoniser les attentes de base en matière de cybersécurité à l’échelle mondiale. la gestion des risques, éthique des données et réponse aux incidents. La rationalisation provient également de cadres d'assurance unifiés tels que ISO 27001 et Cadre de cybersécurité du NIST, que des centaines d’entreprises ont déjà exploité pour structurer leurs cyberprogrammes.

Nous avons déjà assisté à une évolution vers une mondialisation des réglementations en 2023 à travers des ponts de données comme les accords UE-États-Unis et États-Unis-Royaume-Uni, qui font partie intégrante de la tendance plus large visant à développer une approche plus coordonnée et harmonisée de la protection des données et de la vie privée dans un contexte mondial. Ils contribuent à aligner différents systèmes juridiques, facilitent les flux de données internationaux et établissent des normes qui peuvent influencer les pratiques mondiales en matière de protection des données.

Rejoindre des groupes de direction intersectoriels, mettre en œuvre des cadres structurés à l’échelle mondiale et suivre les propositions législatives aideront les entreprises à se préparer à démontrer leurs progrès. La non-conformité cesse d’être une option pour gérer les actifs critiques à mesure que l’information redéfinit les activités habituelles.

Tendance 6 : Une réglementation accrue de la sécurité de la chaîne d'approvisionnement

Le renforcement des réglementations et des normes de sécurité pour les fournisseurs tiers occupera une place centrale en 2024, alors que les organisations reconnaissent que les chaînes d'approvisionnement numériques étendues présentent l'un des cyber-risques les plus importants pour les organisations.

Les avancées en matière d’intelligence artificielle peuvent faire la une des journaux, mais des menaces moins glamour comme les attaques contre la chaîne d’approvisionnement logicielle continuent d’éroder les entreprises de l’intérieur. Les graves dommages causés par des incidents tels que SolarWinds et Log4j ont catalysé la prise de conscience des dirigeants des risques liés aux tiers, mais la plupart d'entre eux n'ont pas accès à une visibilité et à un contrôle complets sur les environnements des fournisseurs.

À l’horizon 2024, les fournisseurs donneront la priorité aux outils et aux normes qui aident à gérer les risques liés aux fournisseurs dans l’ensemble des partenariats. Une nomenclature logicielle complète (SBOM) qui catalogue les composants des plates-formes achetées deviendra obligatoire pour les entrepreneurs fédéraux dans le cadre du décret cyber du président Biden. Les SBOM augmentent la transparence pour les acheteurs concernant les vulnérabilités connues ou les lacunes de maintenance dans leur pile technologique.

De plus en plus d'industries imiteront les initiatives du secteur automobile qui certifient des normes de développement sécurisées des fournisseurs basées sur des processus de test tels que les références OWASP. Les révisions rigoureuses du code, l'accès le moins privilégié et l'autoprotection des applications d'exécution (RASP) sont d'autres mesures de fiabilité des fournisseurs de plus en plus adoptées.

À mesure que les partenariats entre les détaillants, les systèmes de santé et les services financiers évoluent, la responsabilité partagée en matière de gestion des cyber-risques sera codifiée dans davantage de contrats. Les conditions répondront aux exigences de visibilité sur les surfaces d'attaque des partenaires, aux notifications de violation et aux politiques d'accès. Les organisations qui ne sont pas suffisamment préparées à la cybersécurité pourraient voir leurs perspectives de fournisseurs diminuer dans un climat axé sur la résilience.

En fin de compte, les fournisseurs et les acheteurs doivent s’accorder sur le fait que si les partenariats permettent la transformation numérique et l’efficacité, ils élargissent également les frontières des attaques. Il devient impératif de sécuriser de manière proactive ces intersections via des normes, une diligence et des assurances contractuelles à mesure que les tiers s'intègrent de plus en plus dans les opérations. Il n'y a pas de périmètre lorsque votre réseau est le réseau de tous.

Planifier la cyber-résilience pour un avenir incertain

Comme l’a prouvé l’année 2023, l’ampleur et l’impact des cyberattaques font de la sécurité proactive un investissement non négociable pour les organisations plutôt qu’une dépense informatique isolée. 

Au minimum, la préparation à la cybersécurité en 2024 exige une attention renouvelée sur la gouvernance des systèmes d’IA à haut risque, des plans de résilience face aux intrusions inévitables et une visibilité sur les contrôles des fournisseurs. Cela nécessite de sécuriser des surfaces d’attaque exponentiellement plus grandes à mesure que l’informatique quitte les périmètres traditionnels. Cela nécessite de surveiller les premières mesures politiques de la part des régulateurs, qui ne toléreront plus de négligences évitables en matière de protection des données ou de réponse aux incidents.

Mais plus important encore, les conseils d’administration des entreprises doivent être le fer de lance d’une culture axée sur l’intégrité des données, les pratiques technologiques éthiques et la responsabilité collective. La maîtrise des cyberrisques repose sur le fait que les chefs d’entreprise donnent l’exemple en consacrant du personnel, du budget et l’attention que mérite la sécurité lorsqu’ils sont chargés du bien-être et des moyens de subsistance des clients.

Les menaces sont complexes mais surmontables pour ceux qui réalisent que la cyber-résilience repose sur la coordination plutôt que sur l’isolement. Les entreprises avisées se prépareront aux périodes de turbulences en établissant de manière proactive des partenariats, des capacités internes et des systèmes fiables, prêts à récolter en toute sécurité les dividendes de l’innovation numérique.