La cybersécurité est un univers en perpétuel changement. Gartner, entreprise américaine de conseil et de recherche dans les techniques avancées, s’est prêté au jeu des prédictions.
La cybersécurité étant désormais perçue comme un risque commercial et non plus uniquement comme un problème informatique technique, la responsabilité du traitement des cyber risques sera confiée aux hauts dirigeants de l’entreprise.
Faisons un bond dans le temps et projetons-nous dans quelques années. Pas besoin d’aller bien loin. Dans le discours d’ouverture du Gartner Security & Risk Management Summit à Sydney, Richard Addiscott, directeur principal de l’analyse, et Rob McMillan, vice-président directeur de Gartner, ont évoqué les principales prédictions préparées par les experts en cybersécurité de Gartner pour aider les responsables de la sécurité et de la gestion des risques à réussir à l’ère numérique.
« Nous ne pouvons pas tomber dans les vieilles habitudes et essayer de tout traiter de la même manière que par le passé » déclare Richard Addiscott. « La plupart des responsables de la sécurité et des risques reconnaissent aujourd’hui qu’une perturbation majeure n’est qu’à une crise près. Nous ne pouvons pas la contrôler, mais nous pouvons faire évoluer notre réflexion, notre philosophie, notre programme et notre architecture. » Gartner recommande aux responsables de la cybersécurité d’intégrer les hypothèses de planification stratégique suivantes dans leurs stratégies de sécurité pour les deux prochaines années.
Des réglementations pour couvrir 5 milliards de citoyens
La première prédiction concerne 2023. Les réglementations gouvernementales exigeant des organisations qu’elles offrent des droits à la vie privée des consommateurs couvriront 5 milliards de citoyens et plus de 70 % du PIB mondial. En 2021, près de 3 milliards d’individus avaient accès au droit à la vie privée des consommateurs dans 50 pays, et la réglementation en la matière continue de s’étendre.
Gartner recommande aux organisations de suivre les paramètres de demande de droits des sujets, notamment le coût par demande et le temps de traitement, afin d’identifier les inefficacités et de justifier une automatisation accélérée.
Un accès unifié à partir d’une plateforme SSE
Seconde prédiction, d’ici 2025, 80 % des entreprises adopteront une stratégie visant à unifier l’accès au web, aux services cloud et aux applications privées à partir de la plateforme SSE d’un seul fournisseur. Avec une main d’œuvre hybride et des données partout accessibles par tout, les fournisseurs proposent une solution intégrée de bordure de service de sécurité (SSE) pour offrir une sécurité cohérente et simple du Web, des accès privés et des applications SaaS.
La confiance zéro, point de départ de la sécurité
Troisième prédiction, 60 % des organisations adopteront la confiance zéro comme point de départ de la sécurité d’ici 2025. Plus de la moitié ne parviendront pas à en tirer les bénéfices.
Le terme « confiance zéro » est désormais répandu dans le marketing des fournisseurs de sécurité et dans les conseils de sécurité des gouvernements. En tant qu’état d’esprit – remplacer la confiance implicite par une confiance adaptée au risque, basée sur l’identité et le contexte – il est extrêmement puissant. Cependant, comme la confiance zéro est à la fois un principe de sécurité et une vision organisationnelle, elle nécessite un changement culturel et une communication claire qui la lie aux résultats commerciaux pour en tirer des avantages.
Un facteur déterminant dans la conduite des transactions
Quatrième prédiction, d’ici 2025, 60 % des organisations utiliseront le risque de cybersécurité comme un facteur déterminant dans la conduite de transactions et d’engagements commerciaux avec des tiers.
Les cyberattaques liées à des tiers sont en augmentation. Cependant, selon les données de Gartner, seuls 23 % des responsables de la sécurité et des risques surveillent en temps réel l’exposition des tiers à la cybersécurité.
En raison des préoccupations des consommateurs et de l’intérêt des autorités de réglementation, Gartner pense que les organisations vont commencer à considérer le risque de cybersécurité comme un facteur déterminant dans les transactions avec des tiers, qu’il s’agisse de la simple surveillance d’un fournisseur de technologie critique ou d’un contrôle préalable complexe dans le cadre de fusions et d’acquisitions.
Une législation sur les ransomwares
Cinquième prédiction, d’ici à 2025, 30 % des États nations adopteront une législation réglementant les paiements, les amendes et les négociations relatifs aux ransomwares, contre moins de 1 % en 2021.
Les gangs modernes de ransomware volent désormais les données en plus de les crypter. La décision de payer ou non la rançon est une décision de niveau commercial, et non une décision de sécurité. Gartner recommande de faire appel à une équipe professionnelle de réponse aux incidents ainsi qu’aux forces de l’ordre et à tout organisme de réglementation avant de négocier.
Des environnements technologiques pouvant causer des pertes humaines
Sixième prédiction, en 2025 toujours, les acteurs de la menace auront réussi à armer les environnements technologiques opérationnels pour causer des pertes humaines. Les attaques contre les technologies opérationnelles – matériel et logiciels qui surveillent ou contrôlent les équipements, les actifs et les processus – sont devenues plus courantes et plus perturbatrices.
Selon Gartner, dans les environnements opérationnels, les responsables de la sécurité et de la gestion des risques devraient se préoccuper davantage des dangers réels pour les personnes et l’environnement que du vol d’informations.
Une nécessaire culture de la résilience organisationnelle
Septième prédiction, d’ici 2025, 70 % des PDG exigeront une culture de la résilience organisationnelle pour survivre aux menaces simultanées de la cybercriminalité, des phénomènes météorologiques violents, des troubles civils et des instabilités politiques. La pandémie de COVID-19 a révélé l’incapacité de la planification traditionnelle de la gestion de la continuité des activités à soutenir la réponse de l’organisation à une perturbation à grande échelle.
Comme il est probable que les perturbations se poursuivent, Gartner recommande aux responsables des risques de considérer la résilience organisationnelle comme un impératif stratégique et de mettre en place une stratégie de résilience à l’échelle de l’entreprise qui implique également le personnel, les parties prenantes, les clients et les fournisseurs.
Des exigences de cybersécurité dans les objectifs des cadres
Huitième et ultime prédiction, d’ici 2026, 50 % des cadres de niveau C auront des exigences de performance liées au risque intégrées dans leur contrat de travail. La cybersécurité sera de plus en plus l’affaire de tous.
Au regard de ces prédictions, votre entreprise vous semble-t-elle prête à ces nouveaux défis ?
