Cette année, le Rapport sur l'état de la sécurité de l'information L'étude a révélé la multitude de défis et d'opportunités auxquels les responsables de la sécurité ont été confrontés au cours des 12 derniers mois. De la gestion de la chaîne d'approvisionnement à la prise en compte des risques liés à l'IA, l'évolution du paysage des cybermenaces oblige les entreprises à réévaluer et à réorienter leurs priorités en matière de sécurité.

Parmi les personnes interrogées figuraient plus de 160 professionnels de la sécurité travaillant dans les secteurs de la fabrication et des services publics aux États-Unis et au Royaume-Uni. Leurs réponses ont mis en lumière les principales menaces pesant sur la sécurité de l'information auxquelles le secteur est confronté, les mesures prises par les dirigeants pour relever les défis cybernétiques et leurs priorités en matière de renforcement de la résilience numérique au cours des 12 prochains mois.

Découvrez les 11 principales statistiques sur la sécurité de l'information que tout dirigeant des secteurs manufacturier et des services publics devrait connaître.

Statistiques clés sur la sécurité de l'information pour le secteur manufacturier et des services publics

Cybermenaces sophistiquées

  1. La montée en puissance des cybermenaces « as-a-Service » (par exemple, Ransomware-as-a-Service, Phishing-as-a-Service) est le principal défi en matière de sécurité de l’information (46 %) pour les organisations manufacturières et de services publics.
  2. Le phishing par l’IA et la désinformation générée par l’IA sont les principales menaces émergentes qui préoccupent les organisations manufacturières et de services publics (40 %).
  3. 40 % des entreprises manufacturières et de services publics ont subi des incidents de phishing/vishing au cours des 12 derniers mois.

Défis organisationnels

  1. 36 % des entreprises manufacturières et de services publics affirment que leurs employés ont utilisé GenAI sans autorisation ni directives de leur organisation.
  2. 43 % des entreprises manufacturières et des services publics déclarent avoir adopté trop rapidement la technologie de l'IA et rencontrent désormais des difficultés pour la réduire ou la mettre en œuvre de manière plus responsable.

Chaîne d'approvisionnement

  1. Au cours des 12 derniers mois, 46 % des entreprises manufacturières et des services publics ont été touchées par un incident de cybersécurité ou de sécurité de l'information causé par un fournisseur tiers ou un partenaire de la chaîne d'approvisionnement.
  2. 40 % des entreprises manufacturières et de services publics exigent que leurs fournisseurs soient ISO 27001 certifiés ; le même pourcentage exige que les fournisseurs soient GDPR conforme.

Priorités en matière de sécurité de l'information

  1. 90 % des entreprises manufacturières et des services publics s'accordent à dire que chaque entreprise devrait avoir une personne responsable de la sécurité de l'information au niveau du conseil d'administration.
  2. Les organisations manufacturières et de services publics ont classé l'amélioration de la préparation et des capacités de réponse aux incidents comme leur principale priorité en matière de sécurité de l'information (31 %).

Investissement AI

  1. 70 % des entreprises manufacturières et des services publics prévoient d'augmenter leurs dépenses en applications de sécurité basées sur l'IA et l'apprentissage automatique.
  2. 98 % des entreprises manufacturières et des services publics prévoient d'investir dans la détection et la défense contre les menaces GenAI au cours des 12 prochains mois.

Le paysage des cybermenaces

Si les menaces sophistiquées alimentées par l'IA représentent un défi évolutif pour les organisations, les méthodes de cyberattaque traditionnelles restent une préoccupation majeure pour les entreprises des secteurs manufacturier et des services publics. 40 % des répondants de ce secteur ont déclaré que leur organisation avait subi des incidents de phishing ou de vishing au cours des 12 derniers mois.

Le phishing sous sa forme la plus récente, alimentée par l'IA, figurait également parmi les principales préoccupations des répondants lorsqu'on leur a demandé de révéler leurs plus grandes inquiétudes concernant les menaces émergentes. Les répondants ont classé le phishing par IA et la désinformation générée par l'IA comme leurs principales préoccupations (40 % dans les deux cas).

De même, les entreprises manufacturières et de services publics ont cité la montée en puissance des cybermenaces « à la demande », telles que les ransomwares et le phishing, comme le principal défi en matière de sécurité de l’information (46 %) auquel elles sont actuellement confrontées. Les répondants ont classé ce défi avant des problématiques comme la pénurie de compétences en sécurité de l’information et la sécurisation des technologies émergentes telles que l’IA, le ML et la blockchain (45 % pour les deux).

Ces opérations de cybercriminalité à la demande permettent à des groupes criminels spécialisés d'agir comme prestataires de services pour le compte de commanditaires, généralement en échange d'un paiement ou d'une part des gains obtenus. La levée des barrières à l'entrée pour les cybercriminels potentiels rend les attaques de phishing et de ransomware plus accessibles que jamais aux acteurs malveillants.

Défis liés aux personnes et aux processus

Les défis liés à la gestion de l'IA s'étendent à la manière dont le personnel, voire les équipes dirigeantes, utilisent et mettent en œuvre cette technologie.

Plus d'un tiers (36 %) des répondants des secteurs de la fabrication et des services publics ont déclaré que leurs employés avaient utilisé l'IA générative (GenAI) sans autorisation ni encadrement de leur organisation. Cette pratique représente la principale erreur de sécurité informatique commise par les employés, suivie de près par l'informatique parallèle (35 %) et l'utilisation d'appareils personnels à des fins professionnelles sans mesures de sécurité adéquates (34 %).

Mais les employés ne sont pas les seuls à se précipiter sur l'utilisation de l'IA ; cette tendance se retrouve également au sein des équipes dirigeantes. 43 % des personnes interrogées ont déclaré que leur organisation avait adopté l'IA trop rapidement et qu'elle rencontrait désormais des difficultés pour en limiter l'impact ou la mettre en œuvre de manière plus responsable.

Alors que la technologie de l'IA progresse rapidement et que les entreprises comme les particuliers s'empressent d'en tirer profit, les garde-fous et les directives réglementaires restent insuffisants. Toutefois, la loi européenne sur l'IA, qui entre en vigueur progressivement, oblige les fournisseurs d'IA à prendre les mesures appropriées pour atténuer et gérer les risques liés aux systèmes d'IA. Pour les organisations qui mettent en œuvre l'IA, ISO 42001 Cette norme fournit des recommandations de bonnes pratiques pour la mise en place d'un système de gestion de l'IA (AIMS) sécurisé et éthique, couvrant le développement, la mise en œuvre, la gestion et l'amélioration continue des systèmes d'IA.

Sécuriser la chaîne d'approvisionnement

Près de la moitié (46 %) des entreprises manufacturières et de services publics interrogées ont déclaré avoir subi un incident de cybersécurité ou de sécurité de l'information causé par un fournisseur tiers ou un partenaire de la chaîne d'approvisionnement au cours des 12 derniers mois. 15 % d'entre elles ont été touchées par plusieurs incidents. Ces entreprises ont subi des répercussions allant des violations de données (43 %) aux interruptions d'activité nécessitant des interventions d'urgence (36 %). Un tiers (34 %) a connu des pannes de système temporaires ou des perturbations opérationnelles.

Face à la multiplication des incidents ciblant la chaîne d'approvisionnement, les entreprises des secteurs manufacturier et des services publics font de la sécurité de leur chaîne d'approvisionnement et de leurs fournisseurs une priorité. Près de quatre répondants sur cinq (79 %) de ces secteurs ont déclaré avoir renforcé la gestion des risques liés aux tiers et aux fournisseurs au cours des 12 derniers mois, et 19 % prévoient de le faire dans les 12 prochains mois. Par ailleurs, 55 % envisagent d'accroître leurs dépenses en matière de sécurité de la chaîne d'approvisionnement et des fournisseurs tiers au cours des 12 prochains mois.

Les entreprises réagissent également en exigeant de leurs fournisseurs qu'ils prouvent leur niveau de sécurité de l'information et de cybersécurité. 40 % des entreprises manufacturières et des services publics interrogées exigent que leurs fournisseurs soient certifiés conformes à la norme de sécurité de l'information. ISO 27001; le même pourcentage exige GDPR La conformité et la gestion de l'IA restent une priorité absolue en matière de sécurité de la chaîne d'approvisionnement : 35 % des répondants ont indiqué que leur organisation exige de ses fournisseurs qu'ils soient conformes. ISO 42001 agréé.

Priorités en matière de sécurité de l'information

Face à l'évolution constante des cybermenaces, les entreprises du monde entier, notamment celles des secteurs manufacturier et des services publics, misent sur la préparation. Selon les répondants, la préparation et les capacités de réponse aux incidents constituent leur priorité absolue en matière de sécurité de l'information pour les 12 prochains mois (31 %).

Cette tendance a été suivie par le renforcement des défenses contre les menaces générées par l'IA, telles que le phishing et les deepfakes (30 %), et par l'amélioration de la sensibilisation et des comportements des employés en matière de sécurité (27 %), deux points qui correspondent aux principaux défis et préoccupations relevés par les répondants au rapport. 90 % des répondants des secteurs manufacturier et des services publics estiment que chaque entreprise devrait désigner un responsable de la sécurité de l'information au sein de sa direction, ce qui souligne la nécessité d'une sensibilisation à la sécurité de l'information à l'échelle de l'organisation.

Menaces et opportunités liées à l'IA

Les entreprises des secteurs manufacturier et des services publics tirent parti de l'IA pour renforcer leur sécurité tout en se préparant à se défendre contre les utilisations malveillantes de cette technologie. 70 % d'entre elles prévoient d'accroître leurs investissements dans les applications de sécurité basées sur l'IA et l'apprentissage automatique, ce qui permettra de consolider leur dispositif de sécurité existant et d'alléger la charge de travail souvent surchargée des équipes de sécurité et de conformité.

Par ailleurs, 98 % des entreprises manufacturières et des services publics prévoient d'investir dans la détection et la défense contre les menaces générées par l'IA au cours des 12 prochains mois. Comme indiqué précédemment, le renforcement des défenses contre les menaces générées par l'IA, telles que les deepfakes et le phishing, figure au deuxième rang des priorités en matière de sécurité de l'information pour les répondants. Dans ce contexte, un investissement stratégique permettra aux organisations d'être mieux armées pour identifier et contrer ces menaces.

Regard vers l'avenir

Les responsables de la sécurité dans les secteurs de la fabrication et des services publics doivent faire face à un ensemble complexe de défis en matière de sécurité de l'information.

Toutefois, leurs réponses au rapport de cette année montrent qu'ils travaillent de manière stratégique : ils identifient les menaces et les opportunités liées à l'IA, renforcent les exigences de sécurité de la chaîne d'approvisionnement et s'efforcent d'améliorer la sensibilisation des employés à la sécurité de l'information, du conseil d'administration aux nouveaux arrivants. Ils conçoivent et mettent en œuvre des systèmes d'IA de manière plus sûre et éthique et investissent dans des mesures de sécurité de l'information renforcées.

En intégrant proactivement les meilleures pratiques de sécurité de l'information à l'échelle de l'organisation, les entreprises manufacturières et de services publics peuvent rationaliser leurs efforts de conformité, renforcer la confiance de leurs clients et améliorer leur résilience numérique. Nous avons hâte de découvrir comment les entreprises du secteur se sont adaptées à l'évolution du paysage cybernétique dans le rapport de l'année prochaine.