Le rapport sur les risques mondiaux 2024 du WEF : points à retenir
Les responsables informatiques et commerciaux doivent désormais être parfaitement conscients des risques que les cybermenaces font peser sur l’organisation. Ils comprennent également à un niveau élevé les dommages sociétaux et économiques plus vastes que peuvent causer des cyber-risques persistants et élevés. Mais il est parfois utile de replacer ces réflexions dans le contexte du paysage mondial des risques.
C'est l'objectif du Forum économique mondial (WEF) Rapport sur les risques globaux, qui aide depuis près de deux décennies les chefs d’entreprise à prendre des décisions stratégiques plus éclairées.
Il est le résultat d'une enquête mondiale sur la perception des risques (GRPS) menée auprès de 1490 11,000 experts issus du monde universitaire, du monde des affaires, du gouvernement, de la communauté internationale et de la société civile, ainsi que d'une enquête d'opinion auprès des dirigeants du WEF auprès de XNUMX XNUMX chefs d'entreprise. Il y a également les contributions de nombreux experts du WEF recueillis sur une période de six mois l'année dernière.
En bref, il s’agit d’une vue aussi complète que possible du paysage actuel des risques. Et les gros titres de l'actualité ? L'IA et les cybermenaces figurent en tête des risques mondiaux les plus importants pour les 2 à 10 prochaines années.
Comment le cyber se classe-t-il parmi les risques mondiaux ?
D’après le GRPS, les experts ont classé la « cyberinsécurité » – c’est-à-dire les menaces telles que la cyber-guerre, le cyber-espionnage et la cybercriminalité comme les ransomwares, la fraude et le vol de données – comme suit :
- Numéro quatre sur 34 risques possibles à court terme (les deux prochaines années), passant à la troisième place pour les répondants du gouvernement et du secteur privé
- Numéro huit sur 34 risques à long terme (la prochaine décennie), passant au sixième rang pour les répondants du gouvernement (les répondants du secteur privé le placent également huitième)
- Une menace « persistante » ; c'est-à-dire une préoccupation mise en avant comme l'une des 10 principales préoccupations dans le GRPS précédent.
- Une préoccupation croissante – elle gagne quatre places sur la liste des 10 principaux risques à court terme de l'année dernière
Parmi les autres points saillants du rapport liés à la cybersécurité figurent :
Une menace IA en croissance rapide :
La désinformation et la désinformation alimentées par l’IA arrivent en tête de liste des risques à court terme, arrivent en deuxième position en termes de paysage de risques actuel (cité par 52 % des personnes interrogées au GRPS) et occupent la cinquième place sur la liste des risques à long terme. Le rapport met en garde contre impact des deepfakes ici. Il met également en garde contre une dépendance excessive à l’égard d’un petit ensemble de modèles d’IA fondamentaux, en particulier dans les secteurs financier et public, ou d’un seul fournisseur de cloud sous-jacent. Cela pourrait augmenter le risque de perturbation majeure des services, y compris des infrastructures critiques si de tels points d'étranglement sont ciblés, affirme le WEF.
Une cybercriminalité florissante :
L’une des conclusions les moins surprenantes du rapport est que la cybercriminalité continue de se renforcer – avec de « nouveaux outils et capacités » créant de nouveaux marchés pour les réseaux du crime organisé. Il ajoute que la cybercriminalité offre « une source de revenus de moins en moins risquée et peu coûteuse pour le crime organisé ». Par exemple, l’IA générative (GenAI) est utilisée pour créer des campagnes de phishing à grande échelle et très précises dans plusieurs langues. À mesure que les organisations construisent des défenses plus sophistiquées pour faire face à la menace, les criminels se tourneront naturellement vers « des individus moins familiarisés avec le numérique ou des infrastructures et des systèmes moins sécurisés ».
Frontières floues entre les États et la cybercriminalité :
Le WEF met également en garde contre une recrudescence des attaques parrainées par des États, en particulier celles destinées à générer des revenus pour des régimes autocratiques et fragiles comme la Corée du Nord. Ces États pourraient bénéficier d’une relation plus étroite avec la cybercriminalité clandestine, en particulier avec les outils de piratage disponibles dans le commerce et les « services contre rémunération ». Cette évolution augmenterait effectivement le nombre d’organisations risquant d’être compromises par l’État. « Les partenariats symbiotiques entre les États et le crime organisé pourraient se développer… en échange de concessions et d'accords bilatéraux », note le rapport.
Qu’est-ce que cela signifie pour la cybersécurité et la conformité ?
Jamie Akhtar, cofondateur et PDG de CyberSmart, estime que le rapport devrait être un appel aux armes.
« Nous vivons dans un monde où la supply chain est reine. Cela signifie que les petites entreprises qui approvisionnent l’État ou les grandes multinationales peuvent devenir des cibles à part entière, dans la mesure où les cybercriminels cherchent à les exploiter pour accéder à des cibles plus importantes », explique-t-il à ISMS.online.
« Chaque entreprise, quelle que soit sa taille ou son secteur, doit considérer la cybersécurité comme une priorité. »
Erfan Shadabi, expert en cybersécurité chez Comforte AG, explique à ISMS.online que les organisations doivent intégrer la cybersécurité dans leur ADN en mettant l'accent sur la protection des données.
« Cela implique une surveillance continue, l’intégration des renseignements sur les menaces et une formation régulière des employés afin de former une main-d’œuvre sensibilisée à la cybersécurité », ajoute-t-il.
Les normes de sécurité de bonnes pratiques telles que la norme ISO 27001 ont clairement un rôle à jouer dans la construction d'une culture de sécurité dès la conception au sein des organisations. Mais Shadabi voit également une opportunité au-delà de l’atténuation des risques.
« Au lieu de considérer la cybersécurité uniquement comme une dépense défensive, les organisations devraient reconnaître son potentiel pour promouvoir la croissance de l’entreprise. Une solide posture de cybersécurité protège non seulement les informations sensibles, mais cultive également la confiance entre les parties prenantes – clients, partenaires et investisseurs », affirme-t-il.
« Démontrer un engagement en faveur de la sécurité des données peut constituer un avantage concurrentiel, en particulier dans les secteurs où la confiance et l'intégrité des données sont primordiales. » Les RSSI pourraient même utiliser le rapport du WEF pour obtenir davantage de financement de la part du conseil d'administration, dit Shadabi.
« Les conclusions et les avertissements du WEF Rapport mondial sur les risques peuvent être des outils puissants pour les RSSI cherchant à impliquer davantage le conseil d’administration et à investir dans la cybersécurité », affirme-t-il. "En présentant le classement élevé des risques mondiaux et l'évolution des tactiques des cyber-adversaires, les RSSI peuvent souligner l'urgence de renforcer les défenses de l'organisation."
Akhtar de CyberSmart convient que les chefs d'entreprise seront particulièrement disposés à prendre connaissance des conclusions du WEF, étant donné que leurs pairs ont contribué au rapport.
« Il est plus vital que jamais que les conseils d'administration continuent de donner la priorité aux investissements dans la cybersécurité », conclut-il. « De plus, il existe une idée fausse selon laquelle une bonne cybersécurité doit coûter cher. En fait, de nombreuses entreprises, en particulier les plus petites, pourraient améliorer considérablement leurs défenses simplement en mettant en œuvre mieux les bases, voire, dans certains cas, pas du tout.
