Réflexions sur la Cybersécurité Européenne 2024

Cette période de l’année est idéale pour la réflexion : faire le bilan des défis et des succès de 2024, tout en anticipant les opportunités et les changements que 2025 nous réserve. Alors que nous nous préparons à profiter des fêtes en famille et entre amis, au cours de rassemblements chaleureux, autour de plats savoureux et de joyeux toasts au Nouvel An, nous souhaitons partager nos réflexions sur ce qui a façonné les marchés européens de la cybersécurité, du risque et de la vie privée au cours de l’année écoulée.

Une année de transformation législative

2024 a été marquée par une forte activité législative au sein de l’Union européenne, notamment dans les domaines de la cybersécurité, du risque, de la vie privée et de l’intelligence artificielle. Voici quelques points notables :

• Règlement sur les services numériques (DSA) et règlement sur les marchés numériques (DMA) : Ces régulations ont été mises en œuvre, visant à créer des écosystèmes numériques équilibrés qui encouragent l’innovation tout en protégeant les droits des consommateurs.
• Directive NIS2 : Avant le 17 octobre 2024, les États membres de l’UE devaient intégrer cette directive dans leur législation nationale pour renforcer la résilience des infrastructures critiques. Malheureusement, des retards subsistent dans de nombreux pays. Actuellement, seuls la Belgique, l’Italie, la Lettonie, la Lituanie, la Hongrie et la Croatie ont transposé la directive en lois nationales.
• Loi sur la résilience cybernétique : Adoptée par le Conseil, cette loi commencera à s’appliquer 36 mois après son entrée en vigueur, avec certaines dispositions prenant effet plus tôt. Tandis que les obligations concernant la déclaration des vulnérabilités entreront en vigueur en 2026, les organisations devront anticiper l’impact de cette loi en 2025.
• Règlement ePrivacy : Toujours en phase de rédaction, cette législation vise à compléter le RGPD en établissant des règles spécifiques pour les communications électroniques.
• Loi sur l’IA de l’UE : Adoptée en mai, cette régulation ouvre la voie au développement et au déploiement responsables de l’intelligence artificielle. Découvrez nos prévisions concernant 2025.
• Loi sur la résilience opérationnelle numérique (DORA) : Le secteur financier a concentré ses efforts sur la préparation à la conformité avec DORA, qui entrera en vigueur en janvier 2025.

2024 a été une année déterminante pour la réglementation en matière de cybersécurité en Europe. En entrant en 2025, l’accent sera mis sur la mise en œuvre de cette multitude de réglementations. Nous prévoyons également que ces lois influenceront l’agenda global en matière de régulation cybernétique et définiront les contours de la réglementation sur l’IA. Certains considéreront la régulation européenne comme un frein à l’innovation et une corrélation excessive pour les entreprises européennes, tandis que d’autres la verront comme un modèle à suivre pour réguler ces secteurs.

Tensions géopolitiques et cyber-guerre

Les tensions géopolitiques se sont intensifiées en 2024, amplifiant les menaces cybernétiques :

• Attaques sponsorisées par des États : Les réseaux énergétiques, les systèmes de santé et les infrastructures de transport ont subi des risques croissants d’attaquants nationaux. En 2024, nous avons observé une cyberattaque visant le principal parti d’opposition en Allemagne en juin, peu avant les élections au Parlement européen, ainsi qu’une cyberattaque par ransomware en Roumanie qui a affecté 25 hôpitaux. Les soupçons portent sur des acteurs menaçants typiquement associés à des pays comme la Chine, l’Iran, la Russie, la Corée du Nord, et d’autres acteurs non étatiques malveillants.
• Guerre hybride : Les cyberattaques ont été intégrées dans des campagnes de désinformation et d’autres tactiques hybrides, telles que l’ingérence récente dans les élections en Roumanie et en Moldavie, attribuées aux stratégies hybrides russes. Attendez-vous également à de curieux “accidents” touchant les câbles sous-marins dans des zones sensibles comme la mer Baltique, qui devraient se poursuivre en 2025.
• Initiatives de défense cybernétique de l’UE : L’UE a renforcé son Unité conjointe de cybersécurité et élargi ses efforts de collaboration, notamment avec les Équipes de réponse rapide en cybersécurité (CRRT), pour lutter contre ces menaces. Avec un engagement incertain concernant la défense européenne de la part de la future administration américaine, attendez-vous à une augmentation des dépenses pour renforcer les défenses cybernétiques de l’UE en 2025 et au-delà.

Le rôle évolutif du CISO
Au cours des dernières années, nous avons assisté à des changements dans le rôle du CISO à travers l’Europe. Les CISOs succèdent à un rôle purement technique pour endosser celui de leaders stratégiques, avec des conseils d’administration leur demandant de démontrer la valeur des investissements en sécurité et de traduire les risques techniques en risques métier.

Les CISOs européens doivent également contribuer à l’industrie, en partageant des meilleures pratiques, en participant à des discussions politiques publiques, ou en prenant la parole lors de conférences. Ils doivent veiller à équilibrer leurs contributions externes tout en se concentrant suffisamment sur leur travail et avec leur propre équipe de sécurité, un équilibre que tous n’atteignent pas toujours.

Vous souhaitez connaître nos prévisions pour 2025 ? Découvrez toutes nos attentes concernant l’Europe, la cybersécurité et le risque.

Joyeuses fêtes !