Prévisions clés en cybersécurité pour 2025

Un nouveau webinaire ajouté à la Knowledge Vault d’ISC2, intitulé Les cinq principales prévisions en cybersécurité pour 2025, indique que l’intelligence artificielle (IA) donne actuellement un avantage aux équipes de sécurité des entreprises et aux fournisseurs. Cependant, cela pourrait évoluer. Il est également prédit que la première victime humaine vérifiable suite à une cyberattaque se produira dans les trois prochaines années. ISC2 est une association internationale dédiée aux professionnels de la cybersécurité.

En analysant les chiffres de 2024, Steve Piper, fondateur et PDG de la société de recherche et de conseil CyberEdge Group, indique que les attaques par ransomware réussies ont diminué, passant d’environ 86 % des entreprises ciblées pendant la pandémie à 64 % des organisations sondées ayant été compromises en 2024. Les avis des professionnels de la sécurité montrent également qu’en période de pandémie, 75 % pensaient qu’une attaque réussie était plus probable que non ; ce chiffre est tombé à 67 % en 2024. « Plus de 80 % des organisations ont été attaquées avec succès et plus de 60 % ont été victimes. Nous tendons dans la bonne direction, mais ce n’est pas encore idéal », souligne-t-il.

Les budgets de sécurité augmentent pour 89 % des organisations interrogées, avec une augmentation annuelle moyenne de 5,7 %. (Les données de Piper proviennent d’une enquête réalisée auprès de 1 200 professionnels de la sécurité dans 17 pays et 19 secteurs.)

Concernant le fait de savoir si les entreprises récupèrent leurs données après avoir payé une rançon (les paiements de rançon ont eux-mêmes diminué grâce à diverses initiatives législatives dans le monde interdisant ces paiements), il indique que cela ne se produit que dans 57 % des cas, contre 73 % des payeurs de rançon qui récupéraient leurs données par le passé. « C’est presque comme un lancers de pièce pour voir si vous allez récupérer vos données », précise Piper.

Conscience de la sécurité insuffisante

Piper souligne que l’une des principales entraves à la réussite contre ces attaques est la faible conscience de la sécurité parmi les employés ainsi qu’un manque de talents en cybersécurité.

Les cinq principales prévisions de Piper pour 2025 incluent :

1. L’intelligence artificielle (IA) donnera pour l’instant un avantage aux équipes de sécurité IT. (Le webinaire évoque les sentiments des professionnels de la sécurité IT ; 50 % estiment que l’IA bénéficie davantage aux équipes de sécurité qu’aux acteurs de menaces, pour le moment.)
2. Les fournisseurs et les acteurs de menaces expérimenteront des agents autonomes en IA. En 2024, les premiers agents IA auto-apprenants ont été développés pour les opérations de sécurité, tandis qu’une équipe de l’Université de l’Illinois a conçu un agent IA autonome utilisant ChatGPT 4.0 pour identifier et exploiter des vulnérabilités connues.
3. Moins d’organisations effectueront des paiements de rançon. Cela est en partie dû aux mandats législatifs dans le monde et à certaines compagnies d’assurance qui commencent à refuser les paiements de rançon dans le cadre de leurs polices.
4. L’authentification sans mot de passe deviendra la norme en 2025. Bien que 14 % des entreprises affirment qu’elles n’ont aucun projet dans ce sens, Piper note qu’il existe une large gamme de fournisseurs et d’options à examiner. Bien qu’il n’existe pas de solution universelle adaptée à tous les cas, il encourage ceux qui n’ont pas prévu de passer au sans mot de passe à reconsidérer leur position.
5. Dans les trois prochaines années, Piper prédit qu’il y aura la première victime humaine indiscutable causée par une cyberattaque.

« Nous avons déjà eu un décès où, si la cyberattaque n’avait pas eu lieu, cette personne serait encore en vie. Et nous avons eu des situations très critiques », explique-t-il en abordant les attaques contre les systèmes médicaux des hôpitaux dans le monde entier. « Ce n’est pas seulement les ransomwares, il pourrait également y avoir des attaques sur les réseaux électriques. Nous avons eu beaucoup de rapports », ajoute-t-il. « Il existe de nombreuses voies potentielles où les cyberattaques pourraient entraîner des décès humains. Malheureusement, je pense que nous allons voir notre première victime humaine indiscutable dans les trois prochaines années. »

En évoquant ses « mentions honorables », c’est-à-dire celles qui n’apparaissent pas dans le top cinq mais qui méritent une attention particulière, Piper parle de l’informatique quantique par certaines entreprises et acteurs de menace (actuellement, les coûts et le manque de compétences opérationnelles constituent des obstacles pour les deux, mais cela devrait être à l’ordre du jour selon lui). Il mentionne également les services de détection et de réponse gérés, qui pourraient représenter une solution pour les entreprises manquant de talents pour la chasse aux menaces.

Pas de solution miracle

Piper conclut en suggérant que les entreprises utilisent la formation avancée en cybersécurité comme outil de recrutement et de fidélisation. « Il n’existe pas de solution miracle, aucun logiciel de sécurité qui puisse offrir une formation de sensibilisation à la sécurité de classe mondiale », déclare-t-il. « Nous devons investir dans nos pare-feux humains car cela fait une grande différence, et les deepfakes ne feront qu’aggraver le problème. »

Parmi ses remarques finales, Piper insiste sur le besoin d’améliorer la formation des employés en matière de cybersécurité. « Environ la moitié des organisations ne dispensent aucune formation de sensibilisation à la sécurité durant l’intégration. Cela doit cesser », insiste-t-il. « Faites peur à vos nouvelles recrues. La sécurité est la responsabilité de tous. »