Cinq tendances en matière de cybersécurité et de conformité à surveiller en 2025

Les 12 derniers mois nous ont une fois de plus montré que même si la technologie continue de progresser à une vitesse parfois fulgurante, de nombreuses tendances macroéconomiques en matière de sécurité et de conformité restent inchangées. Il est probable que ce soit le cas au cours de l’année à venir. Alors que les innovations en matière d’IA et de deepfake continueront d’améliorer les compétences et d’offrir de nouvelles opportunités aux acteurs de la menace, la démocratisation de la cybercriminalité, la menace croissante posée par les acteurs étatiques et la pression accrue sur les fournisseurs d’infrastructures critiques (CNI) resteront inchangées.

Nous verrons de nouvelles lois commencer à toucher les conseils d'administration, et d'autres commencer à prendre forme, en particulier au Royaume-Uni. Et nous verrons les défenseurs des réseaux se tourner de plus en plus vers le zero trust à mesure que les risques liés à la chaîne d'approvisionnement s'intensifient. Voici notre sélection de cinq tendances clés à surveiller en 2025.

1. Les menaces liées à l'IA et au deepfake sont de plus en plus nombreuses

Le Centre national de cybersécurité (NCSC) prévenu plus tôt cette année Selon les analystes, l'IA « augmenterait presque certainement le volume et l'impact des cyberattaques au cours des deux prochaines années ». Et il n'y a guère de raison de douter de cette évaluation. L'IA générative (GenAI), en particulier, abaissera la barrière à l'entrée pour les acteurs en herbe du phishing et accélérera les attaques en rendant plus rapide et plus facile l'identification des actifs de grande valeur et des appareils vulnérables à exploiter.

GenAI va également amplifier la menace du deepfake, ce qui, dans un contexte d’entreprise, pourrait poser problème pour les vérifications de connaissance du client qui s’appuient sur la biométrie (visage, voix), qui peut désormais être falsifiée avec un degré élevé de précision. Nous pourrions également voir davantage de tentatives de type BEC pour inciter le personnel à effectuer des virements d’entreprise importants, en utilisant la voix ou la vidéo pour se faire passer pour le PDG ou autre.

Les acteurs malveillants chercheront à exploiter des services légitimes comme ChatGPT pour contourner les garde-fous de sécurité intégrés et éventuellement vendre cet accès en tant que service. Le nombre relativement faible de développeurs LLM pourrait encourager davantage de cybercriminels à rechercher des vulnérabilités comme celles-ci et d'autres.

Cependant, l'IA aidera également la communauté de la cybersécurité, les analystes des opérations de sécurité (SecOps) pouvant travailler plus rapidement et de manière plus productive grâce aux assistants GenAI. La capacité de GenAI à créer du contenu synthétique aidera les équipes à former plus efficacement leurs outils de sécurité et leurs utilisateurs, tandis que son talent pour analyser de grands ensembles de données à la recherche de modèles inhabituels continuera à aider à la détection et à la réponse aux menaces. En fait, 61 % des analystes des opérations de sécurité (SecOps) mondiaux peuvent travailler plus rapidement et de manière plus productive grâce aux assistants GenAI. les organisations croient désormais L’IA sera essentielle pour une réponse efficace et proactive aux menaces.

2. Le CNI sous pression croissante

Les fournisseurs de CNI ont toujours été des cibles privilégiées pour les attaques. Mais l’enhardissement des acteurs étatiques, les cybercriminels bien dotés en ressources et un environnement géopolitique de plus en plus conflictuel sont des causes particulières d’inquiétude à l’approche de 2025. Les organisations qui n’ont pas mis en œuvre les meilleures pratiques imposées par la NIS 2 et son équivalent britannique pourraient être exposées à de grands risques.

Attendez-vous à voir davantage de campagnes pluriannuelles et très sophistiquées telles que Volt Typhon et des attaques opportunistes par des groupes de ransomware et de hacktivistes cherchant à gagner de l'argent et/ou à se faire un nom. Le sous-investissement historique au Royaume-Uni a conduit à des révélations choquantes sur la mauvaise posture de sécurité au Royaume-Uni. aime Sellafield et Thames WaterCe ne seront sûrement pas les derniers.

3. Le Royaume-Uni rattrape son retard en matière de lois sur la cybersécurité

Il y a beaucoup de choses à venir au Royaume-Uni du point de vue de la conformité réglementaire en 2025, car deux textes législatifs majeurs Le projet de loi sur la cybersécurité et la résilience mettra à jour le règlement sur les réseaux et les systèmes d'information de 2018 (Règlement NIS). Bien qu'il soit moins ambitieux que les efforts de l'UE en ce sens, le NIS 2 devrait introduire des dispositions indispensables. Il s'agit notamment d'étendre le champ d'application de la loi à davantage de secteurs, de renforcer la sécurité de la chaîne d'approvisionnement et d'imposer la déclaration des incidents, en particulier pour les ransomwares. Le gouvernement souhaite également renforcer les pouvoirs réglementaires, notamment la capacité d'enquêter de manière proactive sur les vulnérabilités et de percevoir des frais auprès des organisations réglementées.

Entre-temps, le projet de loi sur l'information numérique et les données intelligentes est en réalité une mise à jour du projet de loi du gouvernement précédent. Projet de loi Informatique et Libertés (DPDI) et promet une mise à jour du RGPD. Elle espère réduire les coûts de conformité pour les entreprises, rationaliser le partage des données et accélérer l'innovation dans l'identité numérique. Comme l'autre projet de loi, il renforcera les pouvoirs du Information Commissioner's Office (ICO), ce qui pourrait à son tour exercer une plus grande pression sur le personnel chargé de la conformité.

4. La haute direction prend le contrôle de la cybersécurité

Cela a pris du temps. Cependant, les nouvelles exigences de la Règles de divulgation de la SEC en matière de cybersécurité et dans NIS 2 La directive européenne imposera aux conseils d'administration une plus grande responsabilité en matière de compréhension des cyber-risques. Dans le cas de la directive européenne, les cadres dirigeants devront approuver les mesures de gestion des cyber-risques, superviser leur mise en œuvre et participer à des formations spécialisées en matière de sécurité. Ils seront également tenus personnellement responsables par les régulateurs en cas de négligence grave et de négligence volontaire. La SEC, quant à elle, exige désormais que les sociétés cotées publient chaque année des informations sur leur stratégie de gestion des cyber-risques et leur gouvernance, ainsi que sur la surveillance par le conseil d'administration des cyber-risques découlant des menaces.

Des mesures similaires visant à renforcer la responsabilité et la transparence au niveau de la haute direction figureront dans un nombre croissant de nouvelles lois en 2025, y compris la loi sur la transparence de l'UE. Loi sur la résilience opérationnelle numérique (DORA). Elle impose aux conseils d’administration de « définir, approuver, superviser et être responsables de la mise en œuvre de toutes les dispositions relatives au cadre de gestion des risques informatiques ». Ces mesures pourraient accroître la surveillance du rôle du RSSI, mais devraient au moins permettre au conseil d’administration de se faire entendre plus facilement lors des discussions sur les questions de cyber-risque.

5. Les frontières entre État-nation et cybercriminalité continuent de s'estomper

Dans un contexte de risque géopolitique croissant, une tendance de longue date qui va s'accentuer en 2025 est le croisement entre les activités des États-nations et celles de la cybercriminalité. Microsoft a souligné ce phénomène dans son rapport annuel Rapport sur la défense numérique Récemment, des avertissements ont été émis sur le fait que non seulement les acteurs étatiques (c'est-à-dire l'Iran et la Corée du Nord) sont de plus en plus motivés par des raisons financières, mais que certains (par exemple la Russie) utilisent des TTP de cybercriminalité et sous-traitent même certaines opérations à des gangs criminels. Nous pourrions également voir des groupes hacktivistes continuer à s'éloigner des attaques DDoS pour s'attaquer à des « cibles » ennemies perçues en Occident avec des ransomwares, des extorsions de données et des attaques destructrices, comme le souligne le rapport. Le NCSC a déjà prévenu.

Les entreprises de CNI pourraient être les premières sur la ligne de mire, étant donné qu'une attaque perturbatrice aurait un impact démesuré sur la population. Comme mentionné précédemment, elles font aussi souvent partie des cibles les moins bien protégées, avec une faible tolérance aux pannes, ce qui en fait des candidats idéaux pour les ransomwares.

Tout cela signifie que les professionnels de la cybersécurité et de la conformité seront plus occupés que jamais en 2025. Heureusement, les normes de bonnes pratiques comme la norme ISO 27001 continueront de contribuer à fournir une base solide pour faire face à ces défis et à bien d’autres qui émergeront en 2025. Mais le chemin pourrait être semé d’embûches.