Naviguer dans la cyber-complexité dans un monde risqué : les leçons tirées du Forum économique mondial

Les cybermenaces pourraient avoir légèrement diminué sur la liste des risques mondiaux Il faudra surveiller les 2 à 10 prochaines années. Mais selon le Forum économique mondial (WEF), ils restent une préoccupation majeure pour les chefs d'entreprise. Comme l'a indiqué l'ONG dans son dernier rapport, Perspectives mondiales de la cybersécurité met en garde, il devient plus difficile de construire une résilience efficace face à de telles menaces face à une complexité croissante.

À l’avenir, la clé pour les professionnels de la sécurité et de la conformité ne sera pas de réinventer la roue. La meilleure solution consiste à comprendre le paysage des menaces et les principaux risques au sein de l’organisation, et à adopter les meilleures pratiques pour atténuer ces risques de manière continue et démontrable.

Que dit le WEF ?

Forum économique mondial Rapport sur les risques mondiaux 2025 L'étude se base sur les opinions de 11,000 XNUMX chefs d'entreprise et experts en risques issus du monde universitaire, des entreprises, des gouvernements, des organisations internationales et de la société civile. Ils classent « le cyberespionnage et la cyberguerre » (qui incluent également, de manière déroutante, les attaques d'acteurs non étatiques) au cinquième rang sur la liste des risques à court terme. C'est en baisse par rapport à la quatrième place de l'année dernière, lorsque la catégorie était nommée « cyberinsécurité ». Et en termes de risque à long terme pour la prochaine décennie, elle se situe au neuvième rang, en baisse par rapport à la huitième place.

Il ne faut cependant pas tirer de conclusions hâtives de ce léger déclassement. Il convient également de noter que les « conséquences néfastes des technologies d’IA » figurent en sixième position sur la liste des risques à long terme. Ces « conséquences » pourraient certainement être influencées par des activités malveillantes en ligne telles que l’empoisonnement des données ou des modèles.

Le rapport sur la cybersécurité publié par le Forum économique mondial la même semaine le mois dernier est plus intéressant. Il met en garde contre un paysage de cybersécurité de plus en plus complexe, alimenté par :

L’escalade des tensions géopolitiques

Ces préoccupations touchent près de 60 % des organisations interrogées, un tiers des PDG citant le cyberespionnage et la perte d'informations sensibles/IP comme des préoccupations majeures.

Intégration accrue et dépendance à l’égard de chaînes d’approvisionnement plus complexes

Plus de la moitié (54 %) des organisations citent cela comme l’obstacle le plus important à la réalisation de la résilience.

Adoption rapide des technologies émergentes, élargissement de la surface d'attaque

Deux tiers (66 %) des personnes interrogées affirment que l’IA aura un impact sur la cybersécurité au cours des 12 prochains mois, mais seulement 37 % ont mis en place des processus pour évaluer la sécurité des outils d’IA avant de les utiliser.

Un fardeau croissant en matière de conformité réglementaire

Environ 78 % des dirigeants du secteur privé estiment que les réglementations en matière de cybersécurité et de confidentialité réduisent efficacement les risques, mais deux tiers des répondants admettent que la complexité et le nombre considérable d’exigences constituent un défi.

Ces défis sont aggravés par une demande croissante Déficit en cyber-compétences, ce qui rend les risques plus difficiles à gérer, parallèlement à des cybermenaces plus sophistiquées. Environ 72 % des personnes interrogées déclarent que les cyber-risques ont augmenté au cours de l’année écoulée, les attaques par ransomware, les menaces contre la chaîne d’approvisionnement et la fraude informatique occupant respectivement les trois premières places.

Le problème de la cyber-résilience

On dit souvent (à juste titre) que même l'organisation la plus sécurisée connaîtra un jour ou l'autre une faille de sécurité. C'est pourquoi les RSSI se concentrent aujourd'hui sur la cyber-résilience : la capacité « anticiper, résister, récupérer et s’adapter » à ces événements afin que les opérations commerciales puissent se poursuivre même après une intrusion grave. Il faut donc s’inquiéter de la détérioration de la cyber-résilience dans les petites organisations.

Selon le WEF, le pourcentage de PME interrogées déclarant une résilience insuffisante est passé de 5 % en 2022 à 35 % en 2025. En revanche, ce chiffre a pratiquement diminué de moitié, passant de 13 % à 7 % sur la même période pour les grandes organisations. Selon le rapport, 71 % des responsables de la cybersécurité présents à la réunion annuelle du WEF sur la cybersécurité 2024 ont déclaré que les petites organisations ont atteint un « point de basculement critique » où elles ne peuvent plus se protéger efficacement contre la complexité croissante des cyber-risques.

Ce point est important pour les organisations de toutes tailles, car même la plus grande entreprise peut avoir une multitude de petits partenaires commerciaux dans sa chaîne d'approvisionnement. Le rapport du WEF souligne que le « manque de visibilité et de surveillance » de la posture de sécurité des fournisseurs constitue un risque majeur. Dans ce contexte, les fournisseurs peuvent être de tout type, depuis un contributeur open source jusqu'à un partenaire de services professionnels ou un MSP.

Pourtant, alors que 63 % des répondants au rapport ont cité « un paysage de menaces complexe et évolutif » comme leur plus grand défi pour devenir cyber-résilients, le premier obstacle – souvent insurmontable – pour les RSSI et leurs conseils d’administration est de construire un argumentaire économique en faveur d’investissements accrus dans la cybersécurité. Ou, comme le dit le WEF : « la nécessité pour les dirigeants de quantifier les cyber-risques et leurs impacts économiques pour aligner les investissements sur les objectifs commerciaux fondamentaux ».

Démarrer

La réglementation est le sujet tabou ici. Bien qu’une législation bien conçue puisse fournir aux équipes de sécurité une orientation précieuse dans leurs efforts de gestion des risques, le paysage réglementaire actuel est devenu extrêmement difficile à appréhender. Les trois quarts (76 %) des RSSI présents à la réunion annuelle du WEF citée précédemment ont apparemment déclaré que « la fragmentation des réglementations entre les juridictions affecte grandement la capacité de leurs organisations à maintenir la conformité ». Cela concorde avec l’ISMS.online Rapport sur l’état de la sécurité de l’information 2024, qui révèle que 65 % des personnes interrogées estiment que le rythme rapide des changements réglementaires rend plus difficile le respect des meilleures pratiques en matière de sécurité de l'information.

C'est là que les normes et les certifications peuvent aider en fournissant les bases sur lesquelles les programmes de conformité réglementaire peuvent être construits. Comme bon nombre de ces réglementations exigent le déploiement des mêmes meilleures pratiques sous-jacentes, elles peuvent également permettre d'économiser du temps, de l'argent et des efforts. C'est pourquoi 59 % des personnes ayant répondu à l'étude ISMS.online affirment qu'elles prévoient d'augmenter les dépenses consacrées à ces programmes au cours de l'année à venir.

Malachi Walker, conseiller en sécurité chez DomainTools, soutient que cette approche contribuera non seulement aux efforts de conformité réglementaire, mais pourrait également générer un avantage concurrentiel sous la forme d'éligibilité à davantage de contrats, d'efficacité de l'équipe de sécurité et d'une confiance accrue des clients.

« Les normes de bonnes pratiques telles que NIST CSF, SOC 2 et ISO 27001 comblent cette lacune en proposant des mesures concrètes et spécifiques que les organisations peuvent suivre pour accroître leur cyber-résilience », explique-t-il à ISMS.online.

« Chaque organisation, quelle que soit sa taille, peut limiter les contrôles d’accès aux données sensibles, élaborer et mettre en pratique un plan de réponse aux incidents et définir les domaines les plus vulnérables de son organisation. Si elle aborde la conformité en gardant ces trois étapes à l’esprit, la conformité et la résilience en matière de cybersécurité deviendront plus atteignables. »

Comme le souligne le WEF dans son rapport : « Il est temps d’agir maintenant ».