Perspectives des dirigeants : l'état de la sécurité de l'information en 2024

J'ai le plaisir de présenter les résultats de notre dernière Rapport sur l'état de la sécurité de l'information, menée en partenariat avec la société d'études de marché indépendante Censuswide. Cette année, nous avons élargi notre enquête pour inclure des répondants du Royaume-Uni, des États-Unis et d'Australie, offrant ainsi une vue véritablement complète du paysage actuel de la sécurité et de la conformité des informations.

Pour moi, le rapport souligne une évolution cruciale en matière de sécurité de l’information. Au milieu des progrès technologiques rapides et des changements dans l’environnement commercial mondial, nos conclusions mettent en évidence l’impact profond de la sécurité de l’information sur la résilience et la réussite des entreprises.

Le rôle de pratiques solides en matière de sécurité de l’information est passé d’une mesure préventive à un moteur fondamental de la croissance des entreprises. Le rapport révèle que les organisations qui intègrent profondément la sécurité de l'information dans leur philosophie opérationnelle renforcent leur défense contre les cybermenaces et renforcent leur position sur le marché, obtenant ainsi des avantages concurrentiels et financiers significatifs.

Cartographier le paysage des risques actuel

Alors que je réfléchis aux défis du secteur, il est clair que les responsables informatiques d'entreprise d'aujourd'hui pénètrent dans des territoires inexplorés. La pandémie et les incertitudes économiques qui en ont résulté ont accéléré la transformation numérique, mais chaque nouvel investissement et partenariat élargit notre surface d’attaque numérique.

Alors que les chaînes d’approvisionnement deviennent de plus en plus l’élément vital du commerce mondial, leur vulnérabilité aux cyberattaques augmente, les cybercriminels ciblant souvent les petits fournisseurs pour infiltrer les grandes organisations. Notre enquête indique que 64 % des personnes interrogées constatent des risques plus fréquents en matière de sécurité de la chaîne d'approvisionnement, et 79 % d'entre elles ont été confrontées à au moins un incident au cours de l'année écoulée.

Cette réalité souligne pourquoi 38 % des personnes interrogées ont identifié la gestion des risques liés aux fournisseurs et aux tiers comme le défi le plus important auquel leur entreprise est confrontée, occupant la première place. De plus, la gestion et la sécurisation des appareils IoT et BYOD (30 %) figurent également parmi les cinq principales préoccupations. Ces investissements détiennent une valeur commerciale substantielle, mais cette valeur ne peut être réalisée que si les risques sont gérés de manière appropriée.

La conformité à un ensemble complexe de réglementations internationales et nationales constitue le deuxième plus grand défi, cité par 33 % des responsables de la sécurité de l'information.

Une gestion efficace des risques et la conformité ne consistent pas seulement à éviter les pénalités. Ils sont essentiels pour garantir l’intégrité et la fiabilité des opérations commerciales, améliorer l’avantage concurrentiel et générer de la valeur commerciale. La rationalisation des processus de conformité est essentielle pour garder une longueur d’avance.

La menace implacable des cyberacteurs

À mesure que le paysage des risques s’intensifie, l’innovation incessante des cybercriminels nous rappelle constamment les vulnérabilités contre lesquelles nous devons nous prémunir. Au cours de l’année écoulée, les infections par logiciels malveillants ont été les incidents les plus signalés, en particulier dans le secteur technologique. La montée en puissance des packages de logiciels malveillants « en tant que service » a permis aux attaquants d'exécuter plus facilement des attaques complexes, conduisant à des violations de données et à des attaques de ransomwares. Les résultats vont de l’extraction de crypto-monnaie et de l’accès au réseau au cryptage complet du système et au vol de données sensibles ou d’identifiants.

Parallèlement à ces risques croissants, l'ingénierie sociale reste une menace critique, avec 32 % des personnes interrogées signalant des incidents. La sophistication des deepfakes basés sur l'IA est également particulièrement préoccupante, car elles deviennent de plus en plus répandues dans les systèmes de compromission de la messagerie professionnelle, et plus de 40 % des entreprises déclarent être touchées par les deepfakes, contre 0 % dans le rapport de 2023.

À mesure que les cybermenaces deviennent de plus en plus sophistiquées, il est essentiel de maintenir votre vigilance et de mettre continuellement à jour vos stratégies de sécurité. Ne pas répondre à ces menaces pourrait entraîner de graves conséquences, notamment des pertes de données importantes, des pannes de service et des dommages financiers et de marque.

Le rôle essentiel de la protection des données

Les données restent sans doute le bien le plus précieux d’une organisation. Cette valeur est la raison pour laquelle des réglementations comme le RGPD ont fixé des normes très élevées pour protéger et traiter les informations en toute sécurité. C'est également la raison pour laquelle les acteurs malveillants sont très motivés à accéder à ces données, que ce soit à des fins de fraude, d'extorsion ou à des fins stratégiques.

Les violations de données des partenaires sont les plus signalées, avec 41 % des personnes interrogées citant de tels incidents au cours des 12 derniers mois. Cela met en évidence les risques persistants que posent les fournisseurs, car ces données sont souvent moins bien sécurisées. Ces violations sont notamment plus répandues dans le secteur technologique, à 55 %, que dans le secteur de la vente au détail, à 27 %.

Les données financières étaient le deuxième type le plus compromis, 39 %, suivies par les actifs, 34 %, les clients, 33 %) et les données produit, 32 %. Étonnamment, seulement 27 % des personnes interrogées ont déclaré que leurs informations personnelles identifiables (PII) avaient été compromises, bien qu'elles soient une cible courante des attaques de ransomwares. Ce type de données est particulièrement menacé dans les secteurs de l'énergie et des services publics, 38 % et 35 % du commerce de détail.

Le rapport souligne que l'amélioration de la formation et de la sensibilisation des employés a un impact positif. Cependant, l’utilisation persistante d’appareils personnels à des fins professionnelles sans mesures de sécurité appropriées reste un risque important. Les organisations doivent continuer à former leurs employés et à appliquer des protocoles de sécurité stricts pour atténuer ces menaces.

Le double rôle de l’IA dans la cybersécurité

L’IA est à la fois un défi et une opportunité en matière de cybersécurité. 76 % des professionnels de la sécurité pensent que les technologies d’IA et d’apprentissage automatique (ML) amélioreront la sécurité des informations, et 64 % prévoient d’augmenter leurs budgets en conséquence. En effet, ces outils peuvent aider à combler les déficits de compétences, à automatiser la détection des menaces et à améliorer les temps de réponse, pour ne citer que quelques avantages.

Malgré le battage médiatique autour de l'IA générative (GenAI), seuls 26 % des personnes interrogées ont déclaré avoir adopté de nouvelles technologies telles que l'IA, le ML et la blockchain pour la sécurité au cours de l'année écoulée. Cela est surprenant étant donné que les applications de l’IA en matière de cybersécurité s’étendent bien au-delà de GenAI, le ML étant utilisé depuis des années dans le filtrage du spam et dans d’autres domaines. La réticence à s'engager dans de nouveaux projets pourrait expliquer pourquoi seulement 11 % considèrent la gestion et la sécurisation des technologies émergentes comme un défi important.

Encore moins de personnes interrogées (7 %) s'inquiètent des atteintes à la vie privée liées à l'IA, ce qui devient un problème émergent à mesure que les organisations intègrent GenAI dans leurs opérations. Des incidents très médiatisés, tels que le partage par inadvertance d'informations sensibles par des employés de Samsung via les invites GenAI, mettent en évidence les risques. Forrester prédit d'importantes violations de données et des amendes réglementaires pour les utilisateurs de GenAI en 2024, soulignant la menace de code non sécurisé généré par ces outils. Le Royaume-Uni Le National Cyber ​​Security Center (NCSC) a également averti que GenAI pourrait exacerber les menaces de ransomware. en facilitant la surveillance et l’ingénierie sociale.

Cependant, le paysage réglementaire évolue. Le La loi européenne sur l'IA tient tous les fournisseurs d'IA responsables, introduisant des évaluations de conformité pour les systèmes d’IA à haut risque. Les États-Unis s’appuient sur des décrets présidentiels, avec d’éventuelles lois fédérales à venir. Le Royaume-Uni signale également son intention de réglementer l’utilisation de l’IA. Des normes comme ISO 42001 seront cruciales pour que les organisations fournissent des assurances aux régulateurs.

Bien que seulement 13 % des personnes interrogées utilisent actuellement la sécurité et la conformité des informations pour favoriser l'adoption sécurisée de nouvelles technologies, ce chiffre devrait augmenter à mesure que les mesures réglementaires se multiplient et que l'utilisation de la technologie se généralise.

La valeur commerciale de la conformité

Historiquement, les conseils d’administration ont considéré la conformité comme un mal nécessaire, un moyen d’éviter des amendes punitives et une mauvaise publicité. Cependant, nos recherches révèlent un changement significatif dans cette perception. Au Royaume-Uni, on constate une augmentation des amendes, avec 26 % des personnes interrogées se voyant infliger une amende comprise entre 250 500 et 21 2023 £ (contre 35 % en 100) et 250 % se voyant infliger une amende de 18 XNUMX à XNUMX XNUMX £ (contre XNUMX %). Même si les amendes constituent un facteur, elles ne représentent qu’une partie de la question de la conformité.

Les motivations de conformité vont bien au-delà de l’évitement des sanctions. 34 % des personnes interrogées considèrent la conformité comme essentielle pour conserver un avantage concurrentiel, et un pourcentage égal est motivé par la demande croissante des clients pour des mesures de sécurité robustes. La protection des informations commerciales (30 %) et des clients (29 %) est également un facteur de motivation clé, tandis que 27 % considèrent la conformité comme essentielle pour pénétrer de nouveaux marchés et chaînes d'approvisionnement.

Investir dans des programmes de conformité génère des avantages tangibles, 34 % des personnes interrogées faisant état d'une meilleure réputation en tant qu'entités sécurisées et fiables. 30 % ont réalisé des économies en réduisant les incidents de cybersécurité, et 29 % ont réalisé un gain de temps grâce à des processus de sécurité plus efficaces. La conformité attire également les investisseurs à la recherche d'entreprises à faible risque (28 %) et contribue à rationaliser l'infrastructure de sécurité (28 %), ce qui rend sa gestion plus facile et moins coûteuse. De plus, 26 % ont amélioré la prise de décision commerciale grâce à des données sécurisées et fiables, tandis que seulement 19 % donnent la priorité à la conformité pour éviter les amendes.

Malgré les avantages, des défis persistent. Près de la moitié (46 %) des personnes interrogées ont déclaré que se conformer à la norme ISO 27001 leur avait pris entre six et 12 mois. 11 % supplémentaires déclarent que cela a pris entre 12 et 18 mois, et 5 % affirment que cela a pris plus d'un an et demi.

Ce calendrier indique la nécessité de processus plus rationalisés et de partenaires de conformité fiables. En s'appuyant sur des partenaires expérimentés, les organisations peuvent accélérer les efforts de conformité, réduire les coûts associés et maintenir des mesures de sécurité robustes.

Quelle est la prochaine étape en matière de sécurité des informations ?

Ce qui est clair, c’est que les organisations continuent de faire face à une myriade de menaces et d’exigences réglementaires tout en menant d’importantes initiatives de changement, notamment le rôle émergent de l’IA. Le respect des cadres et des normes de bonnes pratiques ne consiste pas seulement à répondre aux exigences réglementaires, mais également à bâtir une entreprise résiliente et digne de confiance.

Sur ISMS.online, notre engagement est de soutenir nos clients dans ce parcours, en les aidant à rationaliser les processus de conformité et à sécuriser leur avenir numérique. Pour l’avenir, je suis convaincu que l’intégration de pratiques robustes en matière de sécurité de l’information sera essentielle à une croissance et un succès durables.

Je tiens à remercier tous les répondants qui ont contribué à cette recherche inestimable. Si vous souhaitez lire le rapport complet, vous pouvez le faire ici : https://fr.isms.online/state-of-infosec-24/