2024-2026 : ce que réserve la cybersécurité
décembre 2023 par CyberArk
2023 a été marquée par l’ascension de ChatGPT. La percée de l’intelligence artificielle générative (GenAI) a été à la fois passionnante et inquiétante pour les professionnels de la cybersécurité qui savent que l’évolution technologique et les cyber-risques sont inextricables. Dans le même temps, des changements spectaculaires dans le monde physique ont remodelé le paysage des menaces, réorienté les stratégies de cybersécurité et suscité des réformes réglementaires. Pourtant, certaines choses n’ont pas changé, comme la quête incessante d’identités par les attaquants et les moyens éprouvés de les voler et de les utiliser.
Les experts de CyberArk se sont réunis pour réfléchir à l’impact des tendances de 2023 sur 2024 et au-delà, basées sur leurs recherches, leurs interactions avec les clients et les partenaires et leurs collaborations avec les autres acteurs du marché.
En 2024
• Le détournement de session représentera 40 % de toutes les cyberattaques – De plus en plus d’organisations passeront à la gestion des accès sans mot de passe, des passkeys à la MFA, pour aider à contrer les attaques. Les cybercriminels feront évoluer leurs tactiques en parallèle pour duper les utilisateurs de l’entreprise ainsi que les tiers, voler les cookies de session et contourner les mécanismes d’authentification forte. Leur créativité sera payante, c’est pourquoi il est essentiel de rester vigilant en matière de sécurisation, de surveillance et de réponse aux abus/compromissions de sessions d’utilisateurs et de cookies - en particulier avec la promesse encourageante de Google d’effacer définitivement les cookies, il ne faut jamais sous-estimer les attaquants créatifs qui trouveront un autre moyen.
• 30 % des organisations paieront pour une protection laxiste des mots de passe – Le vol traditionnel d’informations d’identification sera moins fréquent lorsque l’absence de mot de passe s’imposera et sera utilisée de manière adaptée. Pourtant, le vol d’identifiants n’est pas près de disparaître. Pourquoi ? Les organisations qui mettent en œuvre l’authentification sans mot de passe peuvent avoir besoin d’un facteur de secours, et de nombreuses entreprises se rabattront sur des options peu sûres - les mots de passe. Alors que les équipes de sécurité luttent contre de nouveaux démons, les attaquants profiteront de ces protections laxistes des mots de passe, et 30 % des organisations connaîtront une augmentation des violations de données liées au vol d’identifiants.
• 55 % des entreprises vont accélérer la consolidation technologique pour simplifier la sécurité – Les environnements informatiques et de sécurité de la plupart des entreprises sont déjà trop étendus, compliqués et difficiles à gérer. Les équipes sont rarement compétentes dans l’utilisation de tous les outils qu’elles doivent assembler avec d’autres, ce qui les oblige à embaucher ou à faire appel à des experts externes. Et comme chaque plateforme se concentre sur des éléments spécifiques et se chevauche avec d’autres, les équipes ont du mal à voir - et encore moins à comprendre - toutes les vulnérabilités et menaces potentielles dans leurs clouds. Les accords de niveau de service (SLA) non respectés, la spirale des frais généraux et les dérives de sécurité dangereuses pousseront 55 % des entreprises à accélérer la consolidation technologique. Elles chercheront à simplifier les opérations et à maximiser les ressources existantes en travaillant avec moins de fournisseurs et de systèmes.
D’ici 2025
• Les mécanismes de sécurité basés sur l’IA non protégés alimenteront un cercle vicieux de cyber-risques – Bien que les organisations adoptent l’IA générative (GenAI) pour renforcer leurs cyberdéfenses, 80 % d’entre elles ne parviendront pas à protéger ces mêmes modèles de sécurité basés sur l’IA, ce qui alimentera un cercle vicieux de cyber-risques. Pour prendre l’avantage sur les attaquants, il faudra adopter un état d’esprit antagoniste, en formant les modèles de GenAI avec des échantillons offensifs et défensifs, en adoptant une assurance de modèle et des tests de stress réguliers (y compris le red teaming et le pen testing). Il sera également essentiel d’héberger ces modèles d’IA dans des environnements hautement sécurisés avec des protections d’accès hautement sécurisées. Les gouvernements publieront des lignes directrices avant-gardistes dans ce domaine, mais les organisations ne peuvent pas attendre des normes codifiées qui risquent de devenir rapidement obsolètes. L’intégration de la GenAI dans la sécurité des produits doit se faire maintenant.
• Sous la pression, les RSSI plaideront en faveur d’une divulgation rapide et transparente des atteintes à la sécurité – La responsabilité en matière de cybersécurité devient personnelle. Tout d’abord, le responsable de la sécurité d’Uber a été accusé de ne pas avoir divulgué aux régulateurs fédéraux une violation de données survenue en 2016. Cet automne, la SEC a accusé SolarWinds et son RSSI de fraude et de défaillance des contrôles internes dans une affaire historique qui fait suite à la décision de l’agence sur le renforcement des exigences de divulgation en matière de cybersécurité. Les responsables de la sécurité du monde entier observent la situation de près. D’ici à 2025, 60 % des RSSI des entreprises du classement Fortune 2000 défendront des pratiques de divulgation transparentes et rapides, non seulement pour des raisons politiques, mais aussi parce que leur carrière et leur réputation sont en jeu.
D’ici 2026
• Près de la moitié des conseils d’administration des entreprises du classement Fortune 500 chercheront à recruter un responsable de la sécurité de l’IA – La cybersécurité n’est pas un problème informatique ; c’est le pivot de la résilience de l’entreprise et de la confiance des parties prenantes. La plupart des entreprises du classement Fortune 500 reconnaissent l’importance des enjeux et renforcent les compétences en matière de cybersécurité au niveau des directeurs d’entreprise. Les risques émergents liés à l’IA renforcent encore le sentiment d’urgence. D’ici 2026, 45 % de ces entreprises recruteront et travailleront à la nomination d’un responsable de la sécurité de l’IA au sein du conseil d’administration. Ce dirigeant possédera à la fois une expertise technique et un sens aigu des affaires, jouant un rôle influent dans l’avancement de l’innovation en matière d’IA, la gestion des risques qui en découlent et la sauvegarde des modèles de sécurité basés sur l’IA. Ils seront profondément ancrés dans la stratégie de cybersécurité et élargiront les mécanismes de surveillance et de reporting pour mieux mesurer et améliorer les initiatives de sécurité, les évaluations des risques et les plans de réponse aux incidents.
• Les organisations multinationales seront confrontées à un problème de réglementation – 60 % de toutes les entités mondiales réglementées auront beaucoup de mal à se conformer aux exigences de plus en plus strictes en matière de protection des données et de divulgation des violations, en particulier à mesure que les cas d’utilisation de la GenAI se multiplieront. De plus en plus d’organisations devront faire face à des sanctions pour non-conformité. Aujourd’hui, le non-respect du Règlement Général sur la Protection des Données (RGPD) peut coûter aux organisations jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les amendes déjà élevées continueront de grimper, avec un impact potentiellement paralysant.
• Les grandes puissances mondiales vont demander une convention de Genève sur la cybersécurité – Les attaques sophistiquées d’États-nations, en particulier celles qui visent les infrastructures critiques, peuvent entraîner des perturbations généralisées, des pannes mettant en danger la vie des personnes et des dommages étendus aux chaînes d’approvisionnement logicielles. Les craintes croissantes d’une escalade vers la guerre conventionnelle inciteront les grandes puissances mondiales à prendre des mesures radicales pour renforcer la résilience cybernétique, les cadres juridiques et la coopération internationale. Dans ce cadre, ces pays feront pression pour établir une Convention de Genève sur la cybersécurité afin de dissuader les attaques des États-nations et de tenir les auteurs pour responsables.
L’année 2023 a été riche en rebondissements. Mais elle nous rappelle aussi que les programmes de cybersécurité solides ne s’écartent pas ou ne s’arrêtent pas en réaction. Ils sont suffisamment agiles pour rester dans le jeu, en affinant continuellement les pratiques, en faisant des investissements stratégiques basés sur les risques et en se préparant de manière proactive à tout ce qui va suivre.