Secu
8 prédictions du Gartner autour de la cybersécurité en 2022/2023…
Par Laurent Delattre, publié le 09 août 2022
La sécurité informatique n’est plus seulement l’affaire des DSI, RSSI et autres experts. Chaque CEO, chaque dirigeant, doit aujourd’hui s’engager et démontrer sa capacité à appréhender les risques cyber. Et pour les y aider, Gartner vient de dévoiler les 8 tendances qui vont marquer la cybersécurité en 2023 et dans les 2 à 3 années à venir…
Cet été, IT for Business vous propose de retrouver certains des articles qui ont connu les plus fortes audiences durant le premier semestre 2022. Comme souvent, cette étude publiée en juin dernier autour des grandes tendances cybersécurité dans les mois à venir à fortement attirer l’attention des DSI et RSSI, alors que la situation économique et géopolitique ne fait qu’accentuer les tensions sur les budgets et les politiques cyber des entreprises… L’occasion d’y revenir.
« Nous ne pouvons pas sombrer dans nos vieilles habitudes et essayer de tout traiter de la même manière que par le passé » déclarait Richard Addiscott, analyste directeur sénior chez Gartner en ouverture du dernier « Gartner Security & Risk Management Summit ». « La plupart des responsables de la sécurité et des risques cyber reconnaissent désormais que toute nouvelle crise risque d’engendrer des perturbations majeures. Nous ne pouvons bien évidemment pas la contrôler. Mais nous pouvons en revanche faire évoluer notre réflexion, notre philosophie, nos process et notre architecture. »
À la lumière des dernières crises géopolitiques et de la diversité et multiplicité des menaces, les analystes du Gartner attirent désormais l’attention de tous les responsables sur 8 tendances cyber qui doivent nourrir leur réflexion et leur agenda d’actions :
1/ L’impact des règlementations souveraines
« D’ici 2023, les réglementations gouvernementales exigeant des organisations qu’elles fournissent des droits à la vie privée des consommateurs couvriront 5 milliards de citoyens et plus de 70 % du PIB mondial ».
Inspirées par le RGPD européen, les règlementations autour de la protection des données privées continuent de s’étendre partout dans le monde. Au-delà de la nécessaire gouvernance des données et des mesures de protection devenues impératives, Gartner suggère aux entreprises d’aller plus loin en implémentant de nouvelles métriques notamment pour mesurer les demandes des clients ou des autorités, le coût et le temps passé par demande, etc. Objectif : identifier les inefficiences et accélérer les automatisations.
2/ Vers l’adoption de solutions SSE uniques
« D’ici 2025, 80 % des entreprises adopteront une stratégie visant à unifier l’accès au Web, aux services cloud et aux applications privées à partir d’une plateforme SSE d’un seul fournisseur ».
Gartner ne parle désormais plus de SASE mais de SSE « Secured Service Edge ». Dans un monde de travail hybride, le réseau n’est plus central dans le contrôle de la sécurité. Le SSE voit la sécurité comme un ensemble de « fonctions », délivrées sous forme de services, centralisées et unifiées dans le cloud, et assemblées dans une approche « Zero Trust ».
Et comme c’est souvent le cas dans d’autres secteurs IT, les approches « Best Of Breed » devraient céder le pas devant des solutions unifiées, cohérentes et complètes provenant d’un seul et même fournisseur. Moins de consoles, moins d’éparpillement des informations, une intégration plus étroite, les nouvelles plateformes SSE des grands fournisseurs de cybersécurité ont le vent en poupe.
3/ Un Zero Trust indispensable mais difficile à implémenter
« 60 % des organisations adopteront le Zero Trust comme point de départ de leur sécurité d’ici 2025. Mais plus de la moitié ne parviendront pas à en tirer les bénéfices. »
Remplacer une confiance implicite par une confiance dynamiquement attribuée en fonction du risque, des identités et des contextes… Les approches Zero Trust font l’unanimité ou presque. Mais leur implémentation nécessite un changement de culture, une approche organisée et une communication adaptée. D’où le fossé entre la volonté et la capacité des entreprises à en tirer les bénéfices attendus. Un fossé qui explique le scepticisme du Gartner qui voit la moitié des entreprises échouer d’ici 2025 à implémenter avec succès une véritable sécurité Zero Trust.
4/ Surveiller ses partenaires pour renforcer sa propre sécurité
« D’ici 2025, 60 % des organisations utiliseront le risque de cybersécurité comme un facteur déterminant dans la conduite de transactions et d’engagements commerciaux avec des tiers ».
La multiplication des attaques sur la Supply Chain et les affaires « SolarWinds/Sunburst » et « Log4J/Log4Shell» ont marqué les esprits. Cependant pour Gartner, seulement 23% des responsables « risques cyber » surveillent en temps réel leurs partenaires et tiers en termes d’exposition de la cybersécurité. Gartner est convaincu, à priori à juste titre, que sous la pression des clients et des régulateurs, les entreprises vont devoir considérer le risque cyber comme une priorité dans la conduite des affaires avec leurs tierces parties. Cela ira de la surveillance d’un fournisseur d’une technologie critique à des contrôles préalables accentués lors de fusions/acquisitions, en passant par des contrôles réguliers des processus cyber des fournisseurs et partenaires ou l’exigence de voir ces derniers souscrire des cyber-assurances.
5/ Les États vont réguler les paiements des rançons
« D’ici 2025, 30 % des États-nations adopteront une législation réglementant les paiements, les amendes et les négociations relatifs aux ransomwares, contre moins de 1 % en 2021 ».
Les ransomwares sont les ennemis publics « numéro 1 ». Mais ils évoluent sans cesse dans leur technologie comme dans leur pratique. Désormais, ce sont des attaques « double peine » : non seulement les données sont chiffrées et potentiellement perdues, mais elles ont aussi été préalablement exfiltrées par les cyberattaquants. Pour Gartner, « la décision de payer ou non la rançon est une décision Business, et non une décision de sécurité ». Ses analystes recommandent de faire appel à une équipe professionnelle de réponse aux incidents ainsi qu’aux forces de l’ordre et à tout organisme de réglementation avant de négocier.
6/ Impacts de ces menaces sur les infrastructures critiques
« D’ici 2025, les cyberattaquants auront réussi à « armer » les environnements technologiques opérationnels entraînant des pertes humaines ».
Les attaques contre les infrastructures industrielles et critiques sont de plus en plus courantes et perturbatrices. Aux attaques menées ponctuellement par des groupes cybercriminels s’ajoutent celles menées de façon plus sournoise et à long terme par les États. « L’ANSSI trouve des traces d’attaques de ce type partout. Elles sont de plus en plus complexes et massives, » constatait avec inquiétude Guillaume Poupard, directeur de l’ANSSI, lors du FIC 2021.
Pour Gartner, dans les environnements opérationnels (OT), les responsables de la gestion des risques vont désormais devoir se préoccuper plus des cyber-dangers potentiels pour les personnes et l’environnement.
7/ Vers une résilience organisationnelle… Se préparer à tout, mais surtout au pire…
« D’ici 2025, 70% des dirigeants d’entreprise chercheront à insuffler une culture de la résilience organisationnelle pour survivre aux menaces simultanées de la cybercriminalité, des phénomènes météorologiques violents, des troubles civils et des instabilités politiques ».
Cybercriminalité, fake news, désinformation, manipulation d’opinions via les réseaux sociaux, troubles civils, instabilités politiques, évènements météorologiques violents… Tout est lié, plus ou moins. Le paysage dans lequel les entreprises vont évoluer dans les prochaines années est de plus en plus chaotique. Pour Gartner, les leaders des entreprises et les responsables de la gestion des risques doivent prendre conscience de ce nouvel environnement et faire de la « résilience organisationnelle » un impératif stratégique. Ils doivent bâtir une stratégie de résilience à l’échelle de l’entreprise impliquant tous les employés, les actionnaires, les fournisseurs.
8/ Des CxO impliqués dans la gestion des risques
« D’ici 2026, 50 % des principaux directeurs (les CxO) auront dans leurs contrats de travail des clauses de performance intégrant leur gestion des risques »
Selon une récente enquête de Gartner, la plupart des conseils d’administration considèrent désormais la cybersécurité comme un risque commercial et non plus uniquement comme un problème technique et informatique. En conséquence, Gartner s’attend à ce que la responsabilité officielle du traitement des cyber-risques passe du responsable de la sécurité aux hauts dirigeants de l’entreprise. Un transfert qui est une conséquence logique des points précédents et du risque « Business » désormais posé par les cybercriminels et les cyberattaques des États-nations.
Autant de prédictions finalement peu joyeuses qui laissent entrevoir un univers cyber et business bien sombre pour les entreprises dans les deux ou trois ans à venir…
Source : Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23