Dans un monde numérique en constante et rapide évolution, l’année 2024 s’annonce pleine de challenges et de défis à relever pour les professionnels du monde de la cybersécurité.
Dans cet article, Erium vous propose d’analyser 4 des tendances qui feront l’année 2024.
L’humain, au cœur des nouvelles stratégies de défense
La grande majorité des cyberattaques réussies commencent par une erreur humaine, passant souvent par de la manipulation psychologique.
Cette tendance n’est pas nouvelle mais sera toujours autant d’actualité en 2024. D’autant plus, que les surfaces d’attaques et la croissance de l’IA générative complexifient le paysage cyber.
La plupart des programmes traditionnels de sensibilisation ont montré : malgré les formations, les comportements à risque persistent et continuent d’exposer les organisations à de nombreux risques (financiers, réputationnels, juridiques). L’évolution rapide des attaques rend ces programmes d’autant plus obsolètes. Les stratégies de défense actuelles ne parviennent souvent pas à suivre le rythme de cette course technologique effrénée, laissant les entreprises vulnérables face à des attaques de plus en plus sophistiquées.
Face à ce constat, la solution est de recentrer les efforts de cyberdéfense sur l’humain pour protéger les utilisateurs autant – voire plus – que la technologie qu’ils utilisent. De favoriser les mesures de protection plus transparentes pour ne pas complexifier l’expérience utilisateur. Mais aussi de repenser l’équilibre entre investissements technologiques et humains, de privilégier une cyber résilience centrée sur l’humain et d’analyser les incidents passés pour adopter une gestion des talents humaine de façon à améliorer la maturité opérationnelle des organisations en cas de crise.
L’IA, l’inarrêtable course
Depuis quelques années, l’IA prend de plus en plus de place et ne cesse d’évoluer de façon toujours plus rapide. Cette croissance qui complexifie davantage le paysage numérique représente à la fois des risques et des opportunités pour la cybersécurité.
Un des risques avec l’IA, qui se répand dans tous les secteurs, est de rendre les attaques plus difficiles à détecter et contrer, notamment pour les organisations non préparées.
Les deepfakes et générateurs de voix perfectionnent les techniques d’ingénierie sociale, augmentant ainsi le risque de fraude. Même pour les utilisateurs avertis, la distinction entre interaction légitime et usurpation devient plus difficile et les méthodes de détection traditionnelles deviennent, quant à elles, insuffisantes.
Quelles solutions face à ces risques ?
Alors qu’un nouveau cadre législatif européen pour la protection des entreprises se met en place, les RSSI et équipes IT se doivent de suivre de près les tendances et évolutions en matière d’Intelligence Artificielle. Les collaborateurs doivent être formés en continu sur une utilisation responsable de l’IA, les bonnes pratiques de partage des données ainsi que la connaissance des nouveaux risques.
L’enjeu est de mieux identifier les méthodes de fraude pour s’en prémunir.
Face au développement de l’IA, il faut placer l’humain au cœur des stratégies de défense cyber.
La tech, un secteur plus féminin
La proportion de femmes dans le numérique progresse lentement mais progresse (17% en 2022 contre 12% en 2018 selon une étude Gender Scan). Selon l’INSEE, les femmes qui exercent ces métiers sont souvent jeunes (>39 ans) et occupent des postes hautement qualifiés (cadres).
Pourtant, cette progression lente est particulièrement dommageable pour le secteur de la cybersécurité qui manque de talents et peine à recruter. De plus, 70% des femmes se sentent injustement rémunérées, et la moitié d’entre elles rapportent avoir subi des commentaires sexistes. Cette situation freine le développement économique, social et sociétal.
Le défi est grand : comment intégrer davantage de femmes pour enrichir et diversifier le secteur de la tech ?
Les pistes face à ce problème de société sont nombreuses.
Parmi elles : promouvoir une culture d’égalité au sein des entreprises, mettre en place des conditions de travail favorables à l’équilibre vie pro – vie perso, aménager les temps de travail, instaurer une politique de salaires équitables.
Mais les entreprises ne sont pas les seules à pouvoir agir, il est également nécessaire d’éduquer au numérique dès le plus jeune âge, déconstruire les stéréotypes autour des métiers numériques (image du geek à capuche).
Bref, favoriser une présence forte et durable des femmes dans le secteur numérique pour répondre aux triples enjeux sociaux, sociétaux et économiques que rencontre le marché.
La validation de la cybersécurité
Alors que les investissements (temps, argent) en cybersécurité ne cessent de croître, les cyberattaques continuent de progresser défiant ainsi les efforts de cyberdéfense des organisations.
Les RSSI doivent désormais justifier leurs coûts et apporter des preuves d’efficacité cyber à leurs dirigeants face à une menace en constante évolution.
En effet, jusque très récemment, les dirigeants suivaient l’efficacité cyber via une analyse des risques. Mais ces modèles, trop théoriques, ne suffisent plus et désormais les RSSI et DSI doivent apporter des preuves concrètes, mesurables et démontrables de leur organisation à résister à des chocs cyber selon leur nature et leur degré d’intensité.
Comment prouver son efficacité cyber ?
Pour prouver l’efficacité de ses moyens de défense, il faut adopter des pratiques de validation plutôt que des tests isolés comme le pentesting ou les audits de code, afin de vérifier qu’un attaquant ne peut exploiter les failles identifiées.
Passer à une validation continue et exhaustive des surfaces, simuler des scénarios d’attaque pour tester l’efficacité des mesures mises en place (avec le Breach and Attack Simulation notamment). Fournir aux conseils d’administration des rapports sur l’impact des programmes de cybersécurité mais aussi les impliquer et les responsabiliser face aux enjeux en cybersécurité.