À l’approche de la fin de l’année 2024, l’industrie de la cybersécurité fait face à de nombreux débats. Depuis 2017, les pertes engendrées par la cybercriminalité ont quattuplé, atteignant 2,5 milliards de dollars, selon un rapport.
Les grandes entreprises perdent des millions à cause des ransomwares ou, dans le cas de T-Mobile, ont été contraintes de verser un règlement de 30 millions de dollars pour avoir exposé les données de leurs clients. Une entreprise de cybersécurité basée aux États-Unis a même embauché par erreur un hacker nord-coréen.
Alors que nous nous apprêtons à franchir le quart de siècle du nouveau millénaire, le paysage de la sécurité en ligne continue d’évoluer rapidement. Comment pouvez-vous rester informé des dernières tendances ? En parcourant le guide ci-dessous : nous avons analysé les prévisions, les mises en garde et les prévisions de dizaines d’experts en cybersécurité pour en extraire les meilleures informations.
Voici un aperçu des perspectives en matière de cybersécurité pour l’année à venir.
Les Prévisions Clés en Cybersécurité pour 2025 :
Renforcement de la Sécurité pour l’Internet des Objets
L’« Internet des Objets », ou IoT, désigne tout appareil technologique connecté à Internet et nécessitant des mises à jour logicielles, que ce soit un réfrigérateur intelligent, un thermostat, une sonnette ou même un pacemaker. Ces appareils se portent mieux que jamais, ce qui suscite l’inquiétude de nombreux experts en cybersécurité, car ils deviennent de plus en plus vulnérables aux cyberattaques.
Daniel Pearson, PDG de KnownHost, souligne que l’IoT n’est pas seulement destiné aux maisons intelligentes. Les entreprises utilisent également de nombreux dispositifs IoT sur leurs lieux de travail : capteurs, équipements de surveillance, systèmes de gestion de l’énergie et objets du quotidien tels que des ampoules, serrures de porte et systèmes de vidéosurveillance.
Pour faire face à ce nombre élevé de vulnérabilités potentielles, les entreprises doivent « s’assurer que leurs dispositifs intelligents sont correctement sécurisés en utilisant une authentification multifacteur, des mises à jour régulières de la cryptographie et du firmware », déclare Pearson.
L’Architecture Zero Trust S’étend au-delà des Appareils
L’architecture Zero Trust nécessite une vérification continue pour atténuer les risques d’attaques latérales en minimisant la confiance implicite. En 2025, ces tactiques passeront au-delà de la simple sécurité des dispositifs pour englober tous les utilisateurs, dispositifs, applications et interactions.
Ofer Regev, CTO chez Faddom, prévoit que Zero Trust s’étendra au-delà des dispositifs.
« Zero Trust s’étendra au-delà des appareils et des réseaux pour inclure des cadres de vérification d’identité pour toutes les interactions numériques. Avec la montée du travail à distance et des systèmes décentralisés, les modèles d’identité traditionnels seront insuffisants. Cela nécessitera des outils capables de suivre et de valider les comportements des utilisateurs et des systèmes à travers des environnements IT dynamiques. » – Regev
Cette expansion de Zero Trust sera motivée par la nécessité pour les professionnels de la cybersécurité de mettre en place des mesures supplémentaires pour garantir la sécurité dans leurs entreprises.
La Quantification des Risques comme Outil Central de Sécurité
Un rapport de Bitsight et Diligent a révélé que, malgré le fait que les entreprises cybersécurisées affichent des performances financières quatre fois supérieures à celles de leurs pairs, seules 5% d’entre elles comptent des experts en cybersécurité au sein de leurs conseils d’administration.
Comment les professionnels de l’IT peuvent-ils communiquer avec leurs conseils ? La quantification des risques, selon Monica Landen, CISO de Diligent, qui affirme qu’elle deviendra « l’outil le plus puissant et fiable pour communiquer le risque cybernétique à votre conseil d’administration en 2025. » Landen compare la quantification des risques dans le secteur de la sécurité à l’évaluation des risques dans l’industrie de l’assurance : en constante amélioration.
« 2025 pourrait être l’année d’une meilleure communication inter-organisationnelle pour transmettre correctement les risques cybernétiques au conseil. Les équipes de sécurité ont historiquement été isolées, mais si elles peuvent relier leurs défis et succès à des impacts sur les clients, le pipeline de ventes ou le développement de produits, ces barrières s’effondreront et l’impact, positif ou négatif, d’une sécurité insuffisante résonnera réellement auprès du conseil. » – Landen
Les entreprises devront mettre en place un solide cadre GRC pour s’assurer que la cybersécurité demeure un pilier central de leur stratégie de gestion des risques en 2025. La cybersécurité doit devenir une priorité à tous les niveaux d’une organisation.
Un Accent sur les Lacunes en Compétences Cybernétiques Intermédiaires
Le développement et la reconversion des compétences restent des enjeux permanents pour les travailleurs de bureau confrontés à la cybersécurité. Les mises à jour logicielles étant fréquentes, les employés doivent constamment obtenir de nouveaux diplômes et certifications pour rester à jour.
Keatron Evans, VP de la stratégie IA chez Infosec Institute, prédit que les lacunes en compétences, ainsi que l’apprentissage nécessaire pour les combler, seront plus cruciales que jamais en 2025. Et ce ne sont pas seulement les travailleurs débutants qui devront se former.
« Lorsque nous parlons des lacunes en compétences en cybersécurité, une des erreurs courantes est d’attribuer cette lacune uniquement aux rôles débutants. Cependant, au niveau de l’industrie, nous avons réalisé que certaines des plus grandes lacunes se trouvent dans le besoin de talents expérimentés ayant quelques années d’expérience. » – Evans
Le secteur devrait observer une augmentation des compétences pratiques ou vérifiables, ainsi que de l’apprentissage immersif nécessaire pour les enseigner, souligne Evans, qui ajoute que « l’un des défis réside dans le niveau de diplômes et de certifications requis dans l’industrie. » Les travailleurs devront trouver un équilibre entre le risque d’épuisement professionnel et la nécessité d’ajouter de nouvelles certifications.
Ofer Regev pousse la discussion sur les lacunes de compétences plus loin, prévoyant que cela accélérera l’adoption d’outils d’automatisation légers : « La pénurie mondiale de professionnels de l’IT qualifiés s’aggravera en 2025, incitant les entreprises à adopter des outils d’automatisation plus légers. Les solutions complexes nécessitant une expertise approfondie perdront du terrain face à des technologies sans agent qui simplifient rapidement le déploiement et apportent de la valeur. »
Cela ne se limite pas aux prévisions liées à l’utilisation de la technologie IA, bien sûr.
Les Outils d’IA S’intègrent Davantage dans les Protocoles de Sécurité des Entreprises
Les experts en cybersécurité consultés pour cet article ont formulé de nombreuses prévisions liées à l’IA, mais la tendance générale peut être résumée ainsi : l’IA continuera de trouver sa place au sein de l’industrie. L’IA a longtemps été une solution à la recherche d’un problème, et en 2025, elle pourrait commencer à identifier ces problèmes.
Cela pourrait se traduire par une compréhension croissante de la technologie, comme l’explique Keatron Evans :
« Les personnes désireuses de conserver un avantage dans le domaine de la cybersécurité doivent se rapprocher de la technologie, au-delà de son utilisation par les consommateurs. L’année prochaine sera celle de la vraie défense de la compréhension de la technologie sous-jacente et de son fonctionnement – cela rendra les employés exponentiellement plus précieux. » – Evans
Il pourrait également s’agir de réduire les risques de sécurité des données que l’IA entraîne en raison de sa dépendance à l’égard des données de formation, comme le souligne le rapport de prévisions 2025 de la société de protection des données Kiteworks.
« En 2025, des réglementations internationales plus strictes exigeront transparence et responsabilité dans la gestion des données de l’IA, les organisations faisant face à des sanctions en cas de mauvaise gestion de contenus sensibles. Pour contrer ces menaces, les entreprises doivent mettre en œuvre des cadres de gouvernance de l’IA robustes, prioriser les technologies préservant la vie privée et adopter des pratiques de développement sécurisé pour garantir la conformité et protéger la confiance. » – Kiteworks
Selon Sebastian Straub, Architecte principal des solutions chez N2W, l’IA alimentera également l’automatisation des sauvegardes.
« En 2025, nous verrons les débuts de systèmes de sauvegarde nécessitant presque aucune intervention administrative. L’IA apprendra les schémas complexes d’utilisation des données, les exigences de conformité et les besoins organisationnels, devenant un expert en gestion des données proactif, déterminant de manière autonome ce qui doit être sauvegardé et quand, y compris le respect des normes de conformité telles que le RGPD, la HIPAA ou le PCI DSS. » – Straub
Cependant, l’adoption de l’IA n’est pas un chemin sans obstacles. Straub prévient également que l’IA « n’est pas une solution miracle », et nous continuerons à observer de « malheureux manquements à la confiance et violations de conformité » alors que les entreprises luttent pour intégrer l’IA dans leurs systèmes tout au long de 2025 et au-delà.
Se Méfier des Actifs Mal Gérés
Tim Matthews, CMO chez CyCognito, avance que nous serons témoins d’une augmentation des violations de données liées à des « actifs inconnus et mal gérés ». Matthews prévoit que 70% des violations en 2025 seront imputées à ces actifs, marquant une hausse par rapport aux 60% estimés par de nombreux analystes aujourd’hui.
« Cela sera alimenté par une surface d’attaque en expansion et de plus en plus complexe, des migrations vers le cloud, des dépendances vis-à-vis de tiers et des infrastructures de travail à distance. Les organizations devront passer d’une sécurité réactive et spécifique aux actifs à une approche axée sur la découverte, qui se concentre sur les éléments en dehors de l’inventaire connu. » – Matthews
Cela rejoint les prévisions de tendances technologiques recueillies auprès de professionnels de la technologie dans de nombreuses autres industries : des mesures plus proactives seront nécessaires en 2025, et pas seulement réactives.
En fin de compte, l’histoire demeure la même pour le secteur de la sécurité en ligne. Que les outils et protocoles soient des fonctions d’IA, des architectures Zero Trust ou de la quantification des risques, tout ceci marque une course incessante au perfectionnement entre les acteurs malveillants et les professionnels de la cybersécurité, sans véritable fin en vue.
Bon à savoir
- La cybersécurité est un domaine en constante évolution, ce qui le rend crucial pour les entreprises de suivre les dernières tendances.
- Les entreprises doivent mettre en place des cadres solides pour gérer les risques liés à la cybersécurité à tous les niveaux organisationnels.
- Il est important d’investir dans la formation continue des employés pour combler les lacunes en compétences.
- Les avancées technologiques, telles que l’IA, jouent un rôle de plus en plus central dans la sécurisation des données et systèmes.
Le paysage de la cybersécurité continuera d’évoluer dans les années à venir, et la compréhension des défis à venir est essentielle pour préparer efficacement les entreprises. Quelles stratégies seront à la pointe pour faire face à ces défis ? L’anticipation et la proactivité seront les clés du succès dans ce domaine.