Les risques, les vulnérabilités et les exploits en matière de cybersécurité continueront d'affecter chaque utilisateur et chaque organisation sous une forme ou une autre en 2023. La vitesse d'attaque, la complexité des cyberattaques et les difficultés liées à l'auto-remédiation auront un impact financier et opérationnel sur les organisations. Parmi les autres tendances, citons la menace pour la confiance des entreprises, la santé mentale et la rotation des employés, les licenciements de fournisseurs de technologies, les violations de produits de sécurité et l'accès au marché vCISO.
L'année dernière a commencé avec des records à la bourse américaine, un faible taux de chômage et une croissance rapide de la plupart des entreprises technologiques. En outre, l'année a également commencé par un boom de l'emploi dans le secteur des technologies. Toutefois, à la fin de l'année, de nombreux grands acteurs, dont Meta, Microsoft et Amazon, ont commencé à réduire leurs embauches en raison des inquiétudes suscitées par l'économie mondiale, la baisse des ventes de publicité, l'inflation et la hausse des taux d'intérêt. La cybersécurité, cependant, semblait immunisée contre ces tendances. À la fin de l'année, certains rapports estimaient à 700 000 le nombre de postes ouverts dans le domaine de la sécurité, rien qu'aux États-Unis.
À l'heure où nous écrivons ces lignes, Cisco, Intel et Salesforce.com ont rejoint le nombre croissant d'organisations qui mettent en garde contre une réduction des effectifs, des revenus et des bénéfices. Le secteur de la technologie est essentiel à la protection de toutes les organisations, des gouvernements et des données. Les entreprises qui licencient des talents précieux risquent de voir leurs produits et services exploités par des pirates et de compromettre les investissements de leurs clients en matière de cybersécurité. Les menaces cybernétiques contre les organisations qui annoncent des licenciements résulteront de l'exploitation par les pirates des médias sociaux pour la divulgation publique de la réduction du personnel.
Les produits sont conçus, construits et entretenus par des personnes. L'intelligence artificielle et l'IA adaptative sont essentielles au développement et au test des produits. Cependant, il faut des personnes expérimentées pour créer, programmer et entretenir les systèmes dotés d'IA. Les risques liés à la mise en œuvre de l'apprentissage automatique et de l'IA dans les produits et solutions de cybersécurité sont très élevés, car les structures de coûts de nombreuses entreprises qui produisent des solutions tirant parti de la prochaine génération de technologies seront gravement touchées.
Le problème de santé mentale chez les travailleurs de l'industrie technologique sera malheureusement toujours présent en 2023. Les entreprises doivent reconnaître sa gravité, créer un environnement propice pour les travailleurs afin de prévenir l'apparition ou l'exacerbation de problèmes de santé, et offrir soutien et flexibilité à ceux qui cherchent de l'aide.
Les organisations qui doivent fidéliser leurs employés en raison du stress et d'autres problèmes mentaux, recruter et récolter des talents compétitifs sont confrontées à un risque incertain. La perte d'un directeur technique ou d'un vice-président du développement important constitue un risque de cybersécurité et un revers pour toute organisation.
La propriété intellectuelle de l'organisation perdra de sa valeur si les principaux membres du personnel chargés de la technologie, de la conformité et des finances quittent l'entreprise. Alors que de nombreuses organisations procèdent rapidement à des promotions, à des remplacements ou à l'achat d'une autre entreprise, la perte de personnel clé constitue un risque inacceptable. Ces risques commerciaux incertains sont en corrélation avec leur capacité à fournir une protection, des solutions et des services de sécurité à leurs clients.
Plus de 4 100 violations de données divulguées publiquement ont eu lieu en 2022, ce qui correspond à environ 22 milliards de dossiers exposés. Selon la publication Security Magazine sur la cybersécurité, les chiffres pour 2022 devraient dépasser ce chiffre de 5 %.
Le coût moyen mondial d'une violation de données a augmenté de 2,6 %, passant de 4,24 millions de dollars en 2021 à 4,35 millions de dollars en 2022, soit le plus haut niveau jamais atteint dans l'histoire du rapport "The Cost of a Data Breach Report" d'IBM Security.
Solar Winds a fait les gros titres en subissant une faille de sécurité en 2021 et, avec OKTA, en 2022. En 2022, de nombreux fournisseurs, dont Last Pass, Uber, Cisco et Veeam, reconnaissent publiquement que leur solution client ou leur offre en nuage a été victime d'un exploit, d'une attaque de type "zero-day" ou d'une violation des données des clients en 2022.
Si les coûts financiers associés à une violation de données sont certainement élevés, l'impact réel sur les entreprises est beaucoup plus profond : perte de réputation, responsabilité juridique et perte de confiance des entreprises et des consommateurs. Selon le magazine Security, "les cyberattaques et les violations de données ne sont pas en voie de disparition - au contraire, elles ne font qu'augmenter en fréquence et en gravité. Il est vital que les organisations créent et testent des manuels de réponse aux incidents afin d'accroître leur cyber-résilience."
L'IA adaptative et l'auto-remédiation devraient apporter des améliorations en 2023 dans l'ensemble du paysage de la cybersécurité. Les entreprises et les pirates continuent toutefois à investir dans cette capacité technologique. Les pirates ciblent souvent des ensembles de données avant leur insertion dans les différents outils d'analyse de l'IA. La rationalisation, la projection et la classification des données sont essentielles pour que les entreprises se protègent contre les cyberintrusions et la manipulation des données.
Davantage d'organisations prévoient d'augmenter leurs investissements dans les actifs basés sur l'IA pour l'observabilité des données, l'automatisation des contrôles adaptatifs de cybersécurité et pour offrir une meilleure expérience client. Plusieurs stratégies de transformation numérique, notamment la réussite client, l'adoption d'une stratégie multi-cloud et la gestion universelle de l'identité, comportent un risque pour les organisations. Sans une augmentation des ressources en capital humain, les organisations devront investir dans l'automatisation pour aider à réduire le risque lié au paysage des menaces.
La fonctionnalité d'automatisation permet aux organisations d'exécuter davantage de fonctions commerciales sans interaction humaine.
L'automatisation suscite d'autres questions liées à l'humanité. L'élimination des emplois est la préoccupation la plus apparente, mais l'absence de la touche personnalisée que de nombreuses petites entreprises exploitent pour renforcer leurs affiliations avec les clients en est une autre. Comment les MSP se différencient-ils les uns des autres en utilisant les mêmes systèmes d'automatisation ? Une question à laquelle il faudra réfléchir en 2023.
Les organisations qui veulent rester en tête de l'augmentation continue des attaques de cybersécurité tout en faisant face aux défis du capital humain peuvent vouloir revoir leur stratégie pour tirer parti des fournisseurs de services gérés (MSP). Nous n'avons pas l'habitude de faire de la publicité dans nos articles de blog, nous allons donc rester brefs et nous concentrer sur les avantages qu'une organisation peut tirer des technologies, des personnes et des processus qu'un MSP peut offrir.
Les fournisseurs MSP continuent d'étendre leurs capacités et leurs services pour aider toutes les organisations en matière de SecOps, de conformité et de protection des données. Ces MSP couvrent la sécurité des emails, la protection des données multi-cloud, la gestion des identités et les solutions de gouvernance des risques. L'une des valeurs essentielles des MSSP est de tirer parti de leur accès mondial aux talents pour servir leurs clients 24 heures sur 24, 7 jours sur 7 et 365 jours par an.
Gartner suggère que les MSSP soient définis comme suit : les MSSP fournissent aux organisations une variété de services de gestion et d'exploitation spécifiques aux technologies de sécurité et aux résultats commerciaux de la sécurité. Les capacités comprennent la surveillance de la sécurité, la détection et la réponse, l'évaluation et la gestion de l'exposition, ainsi que le conseil en sécurité et la mise en œuvre des technologies de sécurité. Les services sont fournis selon différents modes, dans l'infrastructure en nuage des fournisseurs, sous forme d'engagements de consultation ou par l'augmentation du personnel et sur place. Les MSSP offrent une variété de modèles d'engagement différents. Il s'agit notamment de modèles fortement personnalisés et axés sur le conseil, ainsi que d'expériences axées sur la gestion des technologies de base.
Gartner suggère en outre que d'ici 2023, 75% des organisations restructureront la gouvernance des risques et de la sécurité pour faire face à l'adoption généralisée des technologies avancées, une augmentation par rapport à moins de 15% aujourd'hui. Soit dit en passant, 15 %, c'était en 2017, alors nous sommes impatients de voir à quel point Gartner est proche de sa prédiction lorsqu'il publiera son rapport au début de l'année.
Les petites et moyennes entreprises sont confrontées aux mêmes attaques de cybersécurité que les grandes organisations. Les attaques par hameçonnage, les attaques par force brute, les attaques par ransomware, les dénis de service et l'exfiltration de données touchent toutes les organisations, quels que soient leur segment de marché et leur taille. De nombreuses petites entreprises font appel à un chef de la sécurité virtuel (vCISO) pour remplir un rôle de direction, sur la base d'un contrat, afin de contribuer à la stratégie de sécurité, aux meilleures pratiques et à la compréhension des solutions des fournisseurs. Le vCISO apporte son expérience et son expertise à un coût inférieur à celui de l'embauche d'un responsable de la sécurité à plein temps.
Le vCISO s'est révélé précieux pour les petites et moyennes entreprises. Cependant, la cybersécurité nécessite un leadership à plein temps pour organiser la surveillance des menaces, la réponse aux incidents et la chasse aux menaces.
Les organisations sont confrontées chaque année à de nouveaux mandats de conformité et de sécurité. Un vCISO ou un CISO est essentiel pour qu'une organisation comprenne le risque et les implications de ces nouveaux mandats de confidentialité et de sécurité.
Les lois sur la protection de la vie privée comme la loi 25 au Canada, que nous avons abordée dans notre dernier billet en deux parties, Loi 25 - Changer la conformité en matière de protection de la vie privée au Québec, la CCPA en Californie, et le GDPR en Europe établissent des mandats organisationnels pour l'accès aux données, la protection, la reproduction et la suppression des données personnelles. Les vCISO aident les organisations à comprendre ces mandats et fournissent le leadership nécessaire pour maintenir la conformité.
Si le contrat du vCISO est complet, les organisations peuvent obtenir un autre responsable de la sécurité si elles ont besoin de services supplémentaires par la suite. Un vCISO peut avoir une expertise en matière de conformité ; d'autres peuvent avoir une expérience en matière de SecOps et de réponse aux incidents. Il est rare qu'il y ait un transfert entre les vCISO. Les organisations doivent tenir compte de ce risque potentiel lorsqu'elles investissent dans une stratégie de vCISO au lieu d'engager un responsable à plein temps.
Alors que nous sommes en 2023, les experts en cybersécurité et les observateurs du secteur gardent un œil sur plusieurs tendances susceptibles d'affecter les professionnels de la technologie et de la sécurité au cours de l'année prochaine et d'avoir un impact sur leur travail et leurs aspirations professionnelles. Nous avons couvert un grand nombre des tendances que vous verrez probablement se développer en 2023 ; toutefois, les dommages financiers causés par les cybermenaces devant atteindre 10 500 milliards de dollars par an d'ici 2025, selon un rapport, les organisations de toutes tailles doivent investir davantage dans la technologie et l'expertise pour repousser des attaques plus sophistiquées.
De plus, l'incertitude économique et géopolitique va ajouter aux risques auxquels les organisations sont confrontées. Cela signifie que les RSSI et autres responsables de la sécurité doivent ajuster leurs plans pour relever les défis en matière de sécurité et les menaces qui pèseront sur leur infrastructure et leurs données au cours des 12 prochains mois, a déclaré Lucia Milică, RSSI résidente mondiale de la société de sécurité Proofpoint.
"La complexité croissante de nos systèmes numériques interconnectés, combinée au ralentissement économique, a créé un nouveau type de risque systémique mondial", a déclaré Milică à Dice.
Ces tendances en matière de cybersécurité en 2023 ne manqueront pas d'accroître la crainte des organisations d'augmenter leurs investissements dans la défense de la sécurité. On s'attend à ce que les organisations dépensent plus que jamais, avec plus de 100 milliards de dollars, rien que pour la protection de leurs actifs cette année. En fait, selon le cabinet Gartner, les entreprises dépenseront collectivement 188,3 milliards de dollars en produits et services de sécurité de l'information et de gestion des risques en 2023, en raison de trois mégatendances transitoires : le travail à distance, l'accès réseau sans confiance et le cloud.
