Ah, 2024, une année qui nous a servi un cocktail enivrant de drames cybernétiques, de percées réglementaires et de maux de tête occasionnels liés aux ransomwares. Nous avons fait preuve d'audace Prévisions de cybersécurité pour fin 2023, armé d'une boule de cristal métaphorique (et de grandes quantités de café). Il est maintenant temps d'avouer. Avons-nous réussi ? Étions-nous proches ? Ou avons-nous complètement raté notre cible ?
Prenez une tasse de thé, ou peut-être quelque chose de plus fort, et plongeons dans le bon, le mauvais et le « wow, nous avions réellement prédit qui!” instants de 2024.
Prédiction n°1 : une réglementation croissante de l'IA et de l'apprentissage automatique (ML)
Ce que nous avons dit : 2024 sera l’année où les gouvernements et les entreprises prendront conscience de la nécessité de transparence, de responsabilité et de mesures anti-biais dans les systèmes d’IA.
L’année n’a pas déçu en matière de réglementation de l’IA. L'Union européenne a finalisé la loi révolutionnaire sur l'IA, marquant une première mondiale en matière de gouvernance globale de l'intelligence artificielle. Ce cadre ambitieux a introduit des changements radicaux, imposant des évaluations des risques, des obligations de transparence et une surveillance humaine des systèmes d'IA à haut risque. De l'autre côté de l'Atlantique, les États-Unis ont montré qu'ils ne se contentaient pas de rester les bras croisés, des organismes fédéraux tels que la FTC proposant des réglementations pour garantir la transparence et la responsabilité dans l'utilisation de l'IA. Ces initiatives donnent le ton à une approche plus responsable et plus éthique de l'apprentissage automatique.
Entre-temps, la norme ISO 42001 a discrètement émergé comme un élément déterminant dans le paysage de la conformité. En tant que première norme internationale au monde pour les systèmes de gestion de l'IA, La norme ISO 42001 a fourni aux organisations un cadre structuré et pratique pour s'adapter aux exigences complexes de l'IA Gouvernance. En intégrant la gestion des risques, la transparence et les considérations éthiques, la norme a donné aux entreprises une feuille de route indispensable pour s'aligner à la fois sur les attentes réglementaires et sur la confiance du public.
Dans le même temps, les géants de la technologie comme Google et Microsoft ont redoublé d’efforts en matière d’éthique, en créant des comités de surveillance de l’IA et des politiques internes qui signalaient que la gouvernance n’était plus seulement une case juridique à cocher, mais une priorité pour l’entreprise. Avec la mise en œuvre concrète de la norme ISO 42001 et le renforcement des réglementations mondiales, la responsabilité et l’équité dans l’IA sont officiellement devenues non négociables.
Prédiction n°2 : complexité croissante des ransomwares
Ce que nous avons dit : Les ransomwares deviendraient plus sophistiqués, s’attaquant aux environnements cloud et popularisant les tactiques de « double extorsion », et les ransomwares en tant que service (RaaS) deviendraient courants.
Malheureusement, 2024 s’est avérée être une autre année record pour ransomware, les attaques devenant plus sophistiquées et leurs impacts plus dévastateurs. Les tactiques de double extorsion ont gagné en popularité, les pirates informatiques ne se contentant pas de verrouiller les systèmes, mais exfiltrant également des données sensibles pour accroître leur influence. Les violations de MOVEit illustrent parfaitement cette stratégie, le groupe de ransomware Clop ayant fait des ravages dans les environnements hybrides, exploitant les vulnérabilités des systèmes cloud pour extraire et extorquer des fonds.
Le marché des ransomwares a évolué, et les ransomwares en tant que service (RaaS) ont permis aux criminels les moins qualifiés d’entrer dans la mêlée de manière très facile. Des groupes comme LockBit ont transformé cette pratique en une forme d’art, en proposant des programmes d’affiliation et en partageant les bénéfices avec leur liste croissante de malfaiteurs. Les rapports de l’ENISA ont confirmé ces tendances, tandis que des incidents très médiatisés ont souligné à quel point les ransomwares se sont profondément ancrés dans le paysage des menaces modernes.
Prédiction n°3 : Expansion de l’IoT et risques associés
Ce que nous avons dit : L’IoT va continuer à proliférer, introduisant de nouvelles opportunités mais laissant également les industries aux prises avec les vulnérabilités de sécurité qui en résultent.
L'Internet des Objets (IoT) La cybersécurité a continué de se développer à un rythme effréné en 2024, mais cette croissance s'est accompagnée d'une vulnérabilité. Des secteurs comme la santé et l'industrie manufacturière, fortement dépendants des appareils connectés, sont devenus des cibles de choix pour les cybercriminels. Les hôpitaux, en particulier, ont été les plus touchés, les attaques basées sur l'IoT compromettant les données et les systèmes critiques des patients. La loi sur la cyber-résilience de l'UE et les mises à jour de la Cadre de certification du modèle de maturité de la cybersécurité (CMMC) aux États-Unis ont cherché à répondre à ces risques, en établissant de nouvelles normes pour la sécurité de l’IoT dans les infrastructures critiques.
Les progrès restent toutefois inégaux. Si la réglementation s’est améliorée, de nombreux secteurs peinent encore à mettre en œuvre des mesures de sécurité complètes pour les systèmes IoT. Les appareils non corrigés restent un talon d’Achille, et des incidents très médiatisés ont souligné le besoin urgent d’améliorer la segmentation et la surveillance. Dans le seul secteur de la santé, les violations ont exposé des millions de personnes à des risques, rappelant avec force les défis qui restent à relever.
Prédiction n°4 : l’importance des architectures Zero Trust
Ce que nous avons dit : Le Zero Trust passerait du simple mot à la mode à une véritable exigence de conformité, en particulier dans les secteurs critiques.
La hausse des Architecture Zero Trust L’année 2024 a été marquée par de nombreuses retombées positives. Ce qui a commencé comme une bonne pratique pour quelques organisations de pointe est devenu une exigence de conformité fondamentale dans des secteurs critiques comme la finance et la santé. Les cadres réglementaires tels que NIS 2 et DORA ont poussé les organisations vers des modèles Zero Trust, où les identités des utilisateurs sont vérifiées en permanence et l’accès au système est strictement contrôlé.
Les grands acteurs comme Google et JPMorgan ont mené la charge, montrant comment le Zero-Trust pouvait être adapté aux exigences des opérations mondiales de grande envergure. Ce changement est devenu indéniable lorsque Gartner a signalé une forte augmentation des dépenses liées au Zero-Trust. La combinaison de la pression réglementaire et des réussites concrètes souligne que cette approche n’est plus une option pour les entreprises qui souhaitent sécuriser leurs systèmes.
Prédiction n°5 : Une approche plus globale des réglementations et des exigences de conformité
Ce que nous avons dit : Les nations cesseraient de travailler en vase clos et commenceraient à harmoniser leurs réglementations.
Notre prédiction d’une harmonie réglementaire mondiale semble presque prophétique dans certains domaines, mais ne sablons pas encore le champagne. En 2024, la collaboration internationale en matière de protection des données a gagné en popularité. Cadre de protection des données UE-États-Unis et la Pont de données entre le Royaume-Uni et les États-Unis Les accords conclus fin 2023 ont permis de rationaliser les flux de données transfrontaliers et de réduire certaines des redondances qui ont longtemps affecté les organisations multinationales. Ces accords ont constitué un pas dans la bonne direction, offrant un aperçu de ce qu'une approche plus unifiée pourrait accomplir.
Malgré ces cadres, des défis persistent. Examen du cadre de protection des données UE-États-Unis par le Comité européen de la protection des données indique que même si des progrès ont été réalisés, des efforts supplémentaires sont nécessaires pour garantir une protection complète des données personnelles.
En outre, l’évolution des réglementations sur la confidentialité des données, notamment les lois spécifiques à chaque État aux États-Unis, complique encore davantage les efforts de conformité des organisations multinationales. Au-delà de ces avancées, on trouve aux États-Unis un patchwork croissant de réglementations spécifiques à chaque État qui compliquent encore davantage le paysage de la conformité. De la CPRA de Californie aux cadres émergents dans d’autres États, les entreprises sont confrontées à un labyrinthe réglementaire plutôt qu’à une voie claire.
Dans le même temps, les divergences entre l’Europe et le Royaume-Uni en matière de normes de confidentialité et de protection des données continuent de se creuser, créant des obstacles supplémentaires pour les organisations opérant dans ces régions.
Cette approche fragmentée souligne pourquoi les cadres mondiaux comme ISO 27001, ISO 27701, et le récemment introduit ISO 42001 Les normes de sécurité de l’information sont plus cruciales que jamais. La norme ISO 27001 demeure la référence absolue en matière de sécurité de l’information, offrant un langage commun qui transcende les frontières. La norme ISO 27701 étend cette norme à la confidentialité des données, offrant aux organisations une manière structurée de répondre aux obligations de confidentialité en constante évolution. La norme ISO 42001, qui se concentre sur les systèmes de gestion de l’IA, ajoute une couche supplémentaire pour aider les entreprises à s’adapter aux nouvelles exigences de gouvernance de l’IA.
Ainsi, même si des mesures ont été prises pour une plus grande harmonisation, le paysage réglementaire mondial n’exploite toujours pas tout son potentiel. Le recours continu à ces normes internationales constitue une bouée de sauvetage indispensable, permettant aux organisations de mettre en place des stratégies de conformité cohérentes et pérennes. Mais soyons honnêtes : il reste encore beaucoup à faire et les régulateurs du monde entier doivent donner la priorité à la réduction des écarts pour alléger véritablement les contraintes de conformité. D’ici là, les normes ISO resteront essentielles pour gérer la complexité et la divergence des réglementations mondiales.
Prédiction n°6 : une réglementation renforcée de la sécurité de la chaîne d’approvisionnement
Ce que nous avons dit : La sécurité de la chaîne d'approvisionnement dominerait les ordres du jour des conseils d'administration, les SBOM (Software Bill of Materials) et la gestion des risques des tiers occupant une place centrale.
La sécurité de la chaîne d'approvisionnement est restée une préoccupation majeure en 2024, les vulnérabilités logicielles continuant de faire des ravages dans les organisations du monde entier. Le gouvernement américain a mené la charge avec son décret exécutif sur la cybersécurité, rendant obligatoire l'utilisation de Nomenclature logicielle (SBOM) Les entrepreneurs fédéraux ont ainsi pu améliorer leur visibilité sur les risques liés aux tiers. Parallèlement, le NIST et l'OWASP ont relevé la barre en matière de pratiques de sécurité logicielle, et les régulateurs financiers comme la FCA ont publié des directives visant à renforcer les contrôles sur les relations avec les fournisseurs.
Malgré ces efforts, les attaques contre la chaîne d’approvisionnement ont persisté, soulignant les défis permanents liés à la gestion des risques liés aux tiers dans un écosystème complexe et interconnecté. Alors que les régulateurs ont redoublé d’exigences, les entreprises ont commencé à s’adapter à la nouvelle norme de surveillance stricte.
Alors, avions-nous raison ?
2024 a été une année de progrès, de défis et de surprises. Nos prévisions se sont avérées exactes dans de nombreux domaines : la réglementation de l’IA a progressé, le Zero Trust a pris de l’importance et les ransomwares sont devenus plus insidieux. Cependant, l’année a également souligné le chemin qu’il nous reste à parcourir pour parvenir à une approche unifiée de la cybersécurité et de la conformité à l’échelle mondiale.
Certes, il y a eu des points positifs : la mise en œuvre du cadre de protection des données UE-États-Unis, l’émergence de la norme ISO 42001 et l’adoption croissante des normes ISO 27001 et 27701 ont aidé les organisations à s’orienter dans un paysage de plus en plus complexe. Pourtant, la persistance de la fragmentation réglementaire, en particulier aux États-Unis, où un patchwork d’États par État ajoute des niveaux de complexité, met en évidence la lutte permanente pour l’harmonie. Les divergences entre l’Europe et le Royaume-Uni illustrent comment les nuances géopolitiques peuvent ralentir les progrès vers l’alignement mondial.
Le point positif ? Les normes internationales telles que ISO 27001, ISO 27701 et ISO 42001 se révèlent être des outils indispensables, offrant aux entreprises une feuille de route pour renforcer leur résilience et garder une longueur d’avance sur l’évolution du paysage réglementaire dans lequel nous nous trouvons. Ces cadres fournissent une base pour la conformité et une voie vers des opérations commerciales à l’épreuve du temps à mesure que de nouveaux défis apparaissent.
À l’horizon 2025, l’appel à l’action est clair : les régulateurs doivent redoubler d’efforts pour combler les lacunes, harmoniser les exigences et réduire la complexité inutile. Pour les entreprises, la tâche reste de adopter les cadres établis et continuent de s’adapter à un environnement qui ne montre aucun signe de ralentissement. Pourtant, avec les bonnes stratégies, les bons outils et un engagement envers l’amélioration continue, les organisations peuvent survivre et prospérer face à ces défis.
