L'année dernière, nous avons fait des prédictions sur tendances de cybersécurité qui définiraient 2023. Maintenant que l'année touche à sa fin, il est temps de revenir sur ces prévisions et de voir où nous avions raison et où nous avons peut-être raté la cible.
Ce qui est très clair, c’est que si certaines tendances se sont confirmées, d’autres ont pris des tournures inattendues. Notre prédiction selon laquelle les attaques contre la chaîne d’approvisionnement persisteraient était particulièrement vraie, car incidents importants chez Capita, la police britannique et 3CX démontré. Comme prévu, l’essor des appareils IoT et la réglementation de ces appareils se sont également intensifiés.
Cependant, certaines tendances, comme la pression en faveur d’une harmonisation mondiale des réglementations en matière de données, n’ont pas progressé aussi rapidement que prévu. Et l’authentification sans mot de passe, même si elle gagne du terrain, n’a pas encore complètement remplacé les mots de passe.
Cet article de blog réexaminera chaque tendance que nous prévoyons et analysera la situation actuelle. En examinant nos succès et nos échecs, nous visons à fournir une évaluation honnête des tendances actuelles en matière de cybersécurité et à fournir aux organisations les informations nécessaires pour se préparer pour l’année prochaine.
Tendance 1 : Une approche de la sécurité de l'information axée sur la confidentialité
L’année dernière, nous avions prédit que 2023 marquerait le début d’une approche de la cybersécurité axée sur la confidentialité, principalement motivée par le renforcement des réglementations mondiales sur la confidentialité des données. Cette prévision s’est avérée exacte, la vie privée étant devenue une considération centrale pour les décideurs politiques et les leaders technologiques.
Les grandes plateformes comme Google ont en effet évolué vers des modèles centrés sur la confidentialité : la dépréciation des cookies tiers dans Chrome et le lancement de l’initiative Privacy Sandbox a mis l’accent sur la confidentialité des utilisateurs. Bien qu’imparfaits, ces changements représentent un changement sismique pour l’industrie de la technologie publicitaire. Apple a également étendu ses efforts en matière de confidentialité avec de nouvelles mises à niveau de son Transparence du suivi des applications.
La mosaïque croissante de lois sur la confidentialité des données a également contraint les organisations à donner la priorité à la confidentialité.
Europe
GDPR est resté la référence en matière de droits numériques.
Même les juridictions sans lois spécifiques se sont senties obligées de s'aligner sur le RGPD pour permettre les flux de données, en consacrant des efforts et du temps considérables à la création de ponts de données pour permettre le transfert des données au-delà des frontières géographiques en toute conformité.
États-Unis
La Californie a mené la charge avec une loi modifiée sur la protection de la vie privée des consommateurs, qui entrera en vigueur en 2023. D'autres États, dont la Virginie, le Colorado, l'Utah et le Connecticut, ont également adopté leurs propres lois sur la protection de la vie privée.
Au niveau fédéral, Projets de loi du Congrès tels que la loi sur la protection des données et la loi sur la confidentialité en ligne témoignent d’une volonté plus large d’établir un cadre national de protection de la vie privée.
APAC
En Chine, un contenu plus détaillé a été déployé progressivement sous la Loi sur la Protection des Informations Personnelles (PIPL) en mettant l'accent sur les procédures d'évaluation de la sécurité des exportations et les clauses contractuelles types (CCS) pour les exportations de données. et Le projet de loi indien sur la protection des données personnelles numériques a fait bouger les choses en Asie. En Australie, le gouvernement prévoyait de réviser la loi sur la protection de la vie privée, avec divers changements proposés pour la moderniser et la rendre plus pertinente à l'ère numérique.
Cette expansion de la législation sur la protection de la vie privée à l’échelle mondiale a rendu la conformité plus complexe mais a renforcé la sécurité des informations axée sur la confidentialité.
Notre prédiction concernant les cadres de protection de la vie privée s’est également avérée vraie. L'adoption de normes comme ISO 27001 et ISO 27701 se sont accélérés à mesure que les organisations cherchaient à systématiser leurs programmes de confidentialité. Ces cadres fournissent des feuilles de route utiles pour instituer des contrôles de protection des données et formaliser la gestion de la confidentialité.
Même si des progrès ont été réalisés, le paysage de la vie privée continue d’évoluer. Certaines lois comme la PIPL, bien qu’en vigueur, évoluent lentement et de nombreuses entreprises ne disposent toujours pas de programmes de confidentialité matures. Cependant, la croissance des réglementations en matière de confidentialité et les attentes croissantes des utilisateurs en matière de sécurité des données ont fermement établi la confidentialité comme une préoccupation majeure pour la cybersécurité et les dirigeants d'entreprise. Ceux qui n'y donneront pas la priorité en 2024 risquent de se laisser distancer par leurs pairs, les régulateurs et les consommateurs. Une approche axée sur la confidentialité n’est plus facultative mais fondamentale à la confiance et au succès dans l’économie numérique.
Tendance 2 : Harmonisation mondiale de la réglementation de l’information, de la confidentialité et des données
L’année dernière, nous avions prévu une dynamique croissante en faveur d’une harmonisation des réglementations en matière de confidentialité et de données au-delà des frontières. L’objectif était de rationaliser la conformité pour les entreprises opérant à l’échelle mondiale et d’améliorer l’interopérabilité. Toutefois, la complexité de concilier les divers cadres juridiques signifie que les progrès sur ce front ont été plus modestes que prévu.
Certaines mesures provisoires ont été prises pour aligner les réglementations au niveau international. Des initiatives telles que le cadre de confidentialité des données UE-États-Unis axé sur la facilitation des flux de données transatlantiques grâce à des normes partagées. L'APEC a continué à développer son système de règles de confidentialité transfrontalières pour relier les juridictions de l'Asie-Pacifique. Toutefois, des écarts importants subsistent entre les principaux régimes de protection de la vie privée.
Le RGPD de l'Union européenne reste la loi sur la protection des données la plus étendue au monde. Les efforts visant à influencer d’autres juridictions vers l’alignement du RGPD ont donné des résultats mitigés. Des lois comme la LGPD brésilienne se sont inspirées du RGPD, mais d'autres régions ont opté pour des réglementations adaptées. Et des pays comme l’Inde et la Chine ont adopté des lois sur la souveraineté de l’Internet affirmant un plus grand contrôle numérique.
Les intérêts nationaux divergents constituent un défi crucial en matière d’harmonisation. Les gouvernements considèrent souvent que les lois sur la protection de la vie privée garantissent la souveraineté et limitent l’influence extérieure. Cela rend politiquement difficile la convergence autour d’un ensemble standard de règles. Les priorités concurrentes entre la vie privée et la croissance économique entravent également le consensus.
Bien qu’une harmonisation substantielle à l’échelle mondiale reste difficile à atteindre, les organisations peuvent encore se préparer à ce paysage complexe. Le respect des normes et cadres internationaux reconnus contribue à garantir la conformité de base dans toutes les juridictions. Investir dans des programmes de gouvernance des données adaptables permet de s’adapter aux nouvelles exigences. Et il est essentiel de surveiller les évolutions juridiques sur les marchés cibles pour garder une longueur d’avance sur l’évolution du régime.
Même si le chemin vers l’harmonisation est long, l’alignement sur les principes fondamentaux de protection des données pourrait se développer au fil du temps. Mais la gestion de la conformité au sein de réglementations disparates restera probablement une réalité en 2024.
Tendance 3 : Un avenir sans mot de passe à venir
L’année dernière, nous prévoyions que l’authentification sans mot de passe serait de plus en plus répandue en 2023, les entreprises cherchant à améliorer la sécurité et l’expérience utilisateur. Cette tendance s’est largement déroulée comme prévu.
Les grandes entreprises technologiques ont contribué à accélérer l’avenir sans mot de passe grâce à des mises en œuvre de grande envergure. Microsoft a annoncé la connexion sans mot de passe pour les utilisateurs commerciaux d'Azure Active Directory, tirer parti des normes FIDO pour l’authentification multifacteur. Apple a déployé des mots de passe dans iOS 16 et macOS Ventura comme alternative sécurisée aux mots de passe. Google, Facebook et d'autres ont également étendu les déploiements sans mot de passe.
La réponse des consommateurs a été largement positive, car les systèmes sans mot de passe suppriment la friction liée à la mémorisation des informations d'identification. Cependant, pour une adoption plus large par les entreprises, ces systèmes sont souvent associés à des exigences renforcées en matière de vérification d’identité qui équilibrent sécurité et convivialité.
Notre prédiction sur l'intégration de l'authentification sans mot de passe avec architecture Zero Trust et gestion des accès aux identités tenu vrai. Alors que les organisations cherchent à valider les identités des utilisateurs sur les réseaux, les appareils et les environnements, les principes de confiance zéro contribuent à protéger l'accès. Des outils tels que l'authentification unique et l'authentification multifacteur adaptative aident à gérer les connexions tout en empêchant la réutilisation des informations d'identification.
Cependant, les mots de passe persistent dans de nombreux systèmes. Les applications et services existants qui ne disposent pas de capacités d'authentification modernes constituent des obstacles à l'absence totale de mot de passe. Et les coûts liés à la refonte des infrastructures existantes peuvent ralentir leur adoption. Ainsi, même si l’élan vers le sans mot de passe se poursuit, la mort du mot de passe n’est peut-être pas encore totalement là.
Au cours de l’année à venir, nous prévoyons une intégration plus poussée des systèmes sans mot de passe avec des protections de gestion des identités en couches. Les organisations préoccupées par les risques de phishing pourraient d’abord piloter des déploiements sans mot de passe dans les zones à faible risque. Et l’éducation des utilisateurs sera essentielle, car l’absence de mot de passe représente un changement dans le comportement de connexion vieux de plusieurs décennies. Mais utilisées judicieusement, les stratégies sans mot de passe et Zero Trust peuvent faire passer la gestion des identités à un niveau supérieur.
Tendance 4 : le problème de la chaîne d'approvisionnement persiste
L’année dernière, nous prévoyions que les cyberattaques contre les chaînes d’approvisionnement s’intensifieraient à mesure que les acteurs malveillants cherchaient de nouveaux points d’infiltration. Malheureusement, cette prédiction s'est pleinement concrétisée, avec des incidents importants démontrant la vulnérabilité persistante de la chaîne d'approvisionnement.
Plusieurs entreprises de premier plan ont été victimes d'attaques sophistiquées sur la chaîne d'approvisionnement en 2023, notamment BA, Boots et la BBC, violées via l'utilisation par leurs sociétés de paie d'un outil de transfert de fichiers nommé MOVEit. Le géant de la technologie Okta a également subi une violation des données de plus de 5,000 XNUMX employés par l'intermédiaire d'un prestataire de soins de santé tiers. Et les gangs de ransomwares ciblent de plus en plus les fournisseurs de services gérés pour accéder à leurs clients en aval.
Ces incidents soulignent les risques de maillons faibles négligés et de partenaires trop confiants. En réponse, les entreprises ont redoublé d'efforts en matière de cyberstratégies de chaîne d'approvisionnement, en adoptant des cadres tels que ISO 27001 et NIST pour établir des contrôles et des processus complets de sécurité de l'information qui tiennent compte des interactions avec des tiers ; cela implique de mettre en œuvre des examens de sécurité réguliers pour les fournisseurs, de donner la priorité à la sécurité du cloud pour verrouiller les environnements des fournisseurs et de faire pression sur les fournisseurs de services gérés pour qu'ils démontrent aux clients leur cyberpréparation.
Bien qu’elle soit positive, la sécurité de la chaîne d’approvisionnement reste un travail en cours pour de nombreuses organisations. Les changements culturels prennent du temps, car la confiance profondément enracinée entre les partenaires ne peut être démantelée du jour au lendemain. Mais les menaces continueront d’évoluer, ce qui signifie que la vigilance de la chaîne d’approvisionnement ne peut diminuer.
À l’avenir, nous nous attendons à ce que les programmes de gestion des risques liés aux tiers (TPRM) deviennent omniprésents dans tous les secteurs. La cybersécurité sera de plus en plus prise en compte dans les décisions d'approvisionnement. Et la surveillance des fournisseurs sera renforcée grâce à des audits et des divulgations obligatoires. Même si le problème de la chaîne d’approvisionnement ne disparaîtra pas en 2024, les entreprises ont réitéré l’impératif de s’attaquer à ces menaces persistantes.
Tendance 5 : Paysage des risques liés à l’Internet des objets (IoT)
L’année dernière, nous avions prévu que la prolifération des appareils IoT élargirait la surface d’attaque des organisations. Cette prévision s’est confirmée puisque l’IoT non sécurisé est apparu comme le talon d’Achille des cyberincidents de 2023.
Les attaquants ont systématiquement ciblé les appareils IoT vulnérables pour accéder au réseau. Les vulnérabilités Log4j dans les systèmes IoT ont été exploitées pour déployer des mineurs de crypto. Des appareils IoT de soins de santé non protégés ont été compromis pour voler les données des patients. Les attaques DDoS ont exploité des caméras et des routeurs IoT mal sécurisés pour submerger les victimes.
En réponse, les réglementations tant attendues en matière de sécurité de l’IoT ont gagné du terrain à l’échelle mondiale cette année. La loi européenne sur la cyber-résilience imposera des normes de sécurité de base pour l’IoT à partir de 2024. Les États-Unis, le Royaume-Uni et d’autres appliquent des règles similaires pour combler les vulnérabilités de l’IoT. Ces lois visent à freiner la propagation des appareils non conformes.
Du côté des entreprises, les équipes informatiques se sont précipitées pour inventorier les actifs connectés, mettre à jour le micrologiciel des appareils IoT et surveiller le trafic dans les environnements IoT. La segmentation des réseaux IoT a permis de limiter les mouvements latéraux après infiltration. Mais pour beaucoup, l’ampleur inconnue et non gérée de l’IoT a rendu difficile une remédiation rapide.
Alors que les régulateurs et les entreprises s’efforcent de gérer les risques, l’intégration de l’IoT continue de proliférer rapidement. Gartner prévoit qu’il y aura plus de 30 milliards d’appareils IoT d’ici 2025, contre 11.4 milliards en 2021. Cette expansion massive du paysage IoT mettra au défi même les régimes de sécurité des appareils les plus robustes.
En 2024, nous prévoyons que la gestion de la sécurité de l’IoT deviendra un domaine d’intervention dédié. Les organisations adopteront la visibilité et les outils d’accès à l’IoT pour maîtriser la prolifération des appareils. Et de plus en plus d’entreprises se tourneront vers des plateformes qui simplifient la gestion des actifs et la détection des menaces dans les écosystèmes IoT complexes. Mais pour réduire cette surface d’attaque de plus en plus large, il faudra des efforts vigoureux et coordonnés.
Tendance 6 : Gérer de manière créative le déficit de compétences en matière de cybersécurité
L’année dernière, nous avions prédit que des approches créatives émergeraient pour aider à gérer la pénurie de compétences en cybersécurité qui limite les équipes de sécurité.
Les cyber-rôles restant chroniquement en sous-effectif, les entreprises ont en effet fait preuve de créativité dans la recherche de talents, en recrutant dans des domaines adjacents comme l'informatique, la conformité et l'ingénierie pour accéder à des viviers de talents inexploités. Les programmes d’apprentissage ont contribué à former des candidats intéressés et manquant d’expérience directe. Et la mise en avant de compétences générales pour les cyber-rôles a encouragé un bassin de candidats plus large.
L'externalisation s'est également développée pour optimiser les processus et libérer des cyber-ressources internes. Les MSSP ont externalisé la surveillance et la réponse pour les centres d’opérations de sécurité sous tension. Les fournisseurs de cloud ont fourni des services de sécurité gérés pour réduire les charges liées à l'infrastructure. Et des consultants ont fourni une expertise spécialisée pour combler les lacunes en matière de connaissances.
Toutefois, l’externalisation présente des risques potentiels, comme en témoignent les violations majeures de la part de tiers, si elle n’est pas gérée de près. Et les entreprises avaient encore besoin d’aide pour décrocher des postes de direction en matière de cybersécurité ; une lacune que l’externalisation n’a pas pu combler.
D’ici 2024, la gestion des cyber-effectifs restera impérative. Les programmes de formation, le recrutement créatif et une meilleure utilisation des ressources grâce à l’externalisation vont probablement se développer. Cependant, de graves pénuries de cybercompétences avancées persistent. La dépendance de l'industrie à l'égard d'un personnel de sécurité surchargé mais essentiel continuera dans un avenir prévisible. La créativité et l’investissement continus seront essentiels au succès.
Points clés à retenir : La voie vers une cybersécurité plus forte
Si 2023 a appris quelque chose aux entreprises, c’est qu’une information efficace et une cybersécurité sont désormais essentielles à la réussite des entreprises.
Certaines tendances telles que les attaques contre la chaîne d’approvisionnement et la prolifération de l’IoT se sont clairement accélérées comme prévu. Mais d’autres domaines, comme l’adoption du sans mot de passe et la réglementation mondiale, ont évolué plus progressivement que prévu. Tout cela souligne que la cybersécurité nécessite agilité et vigilance. La complaisance est dangereuse lorsque les menaces évoluent si facilement.
Pour garder une longueur d’avance, les organisations doivent surveiller les tendances en permanence, et non seulement chaque année. Ils devraient tester les solutions émergentes avec prudence, même lorsque les promesses sont grandes. Investir dans des fondations adaptables telles que des cadres de sécurité, une sécurité basée sur les risques et le développement de la main-d’œuvre permet de s’adapter pour relever de nouveaux défis.
Alors que nous envisageons 2024, nous nous attendons à une plus grande volatilité, des tensions géopolitiques entraînant des attaques parrainées par l’État à l’informatique quantique et à l’IA introduisant de nouveaux risques technologiques. La collaboration sera essentielle, depuis les partenariats public-privé jusqu’aux partenariats entre les écosystèmes de fournisseurs pour accroître la résilience de base à travers les chaînes d’approvisionnement interconnectées. Le cyber-risque est là pour rester, mais nos efforts collectifs peuvent créer un écosystème numérique plus fiable qui équilibre progrès et protection.
