Secu
9 tendances 2023 d’une cybersécurité qui se recentre sur l’humain
Par Laurent Delattre, publié le 18 avril 2023
Selon Gartner, les responsables sécurité des organisations publiques et privées doivent désormais adopter une approche cyber plus centrée sur l’humain. Une approche à la fois induite par et influente sur les tendances 2023 en matière de cybersécurité…
Centrer la cybersécurité sur l’humain – nos lecteurs se souviendront qu’il s’agissait déjà thème du FIC 2020, en avance sur son temps donc – est une approche qui vise à protéger les utilisateurs plutôt que les technologies qu’ils utilisent et à rendre les protections les plus fluides et transparentes possibles pour ne pas complexifier l’expérience utilisateur. L’approche a du sens alors que la majorité des attaques démarrent par un email malveillant exploitant la confiance, la curiosité, la cupidité, l’avidité ou la naïveté de l’être humain.
Pour Gartner, les RSSI, CISO et autres responsables en sécurité et gestion des risques doivent aujourd’hui repenser leur équilibre entre investissements technologiques et humains dans la mise en œuvre de leur stratégie de cyber-résilience.
« Une approche centrée sur l’humain en matière de cybersécurité est essentielle pour réduire les échecs de sécurité », explique ainsi Richard Addiscott, directeur analyste principal chez Gartner. « Se concentrer sur les personnes lors de la conception et la mise en œuvre des contrôles mais aussi dans la communication de l’entreprise autour de la sécurité et dans la gestion des talents cyber, aidera l’entreprise à améliorer ses décisions en matière de risques Business et à retenir ses experts en cybersécurité. »
Alors que RSSI et leaders SRM (Security & Risk Management) planchent sur l’amélioration de la cyber-résilience de leur entreprise, sur leur conformité à NIS2, et sur la mise en œuvre d’une approche « Zero Trust », Gartner les invite à redéfinir leur stratégie en se focalisant sur le rôle essentiel des personnes dans la réussite du projet cyber, en restructurant la fonction Cybersécurité pour permettre une agilité maximale sans jamais sacrifier la sécurité, en offrant à l’écosystème numérique de l’organisation plus de visibilité et de réactivité.
À LIRE AUSSI :
Il en résulte pour Gartner 9 tendances clés 2023 en matière de cybersécurité :
Tendance 1 : Une conception de la sécurité centrée sur l’humain
Reconnaissant que les programmes traditionnels de sensibilisation des collaborateurs à la cybersécurité ont échoué à réduire les comportements à risque, Gartner invite les RSSI à de nouvelles approches en examinant les incidents passés pour mieux identifier les frictions. Objectif : alléger la charge pour les employés en adoptant des contrôles plus centrés sur l’humain et en supprimant les contrôles qui ajoutent de la friction sans réduire significativement le risque. Il faut mettre l’accent sur l’expérience cyber des collaborateurs tout au long du processus de gestion des contrôles. Selon Gartner, « d’ici 2027, 50% des responsables de la sécurité informatique (CISO) auront adopté des pratiques de sécurité centrées sur l’humain afin de réduire les obstacles et frictions liés à la cybersécurité et d’accroître l’adoption des contrôles et autres mesures de protection ».
Tendance 2 : Améliorer la gestion RH pour assurer la durabilité des programmes de sécurité
Cela a été l’un des grands thèmes du FIC 2023. La cybersécurité est en manque de collaborateurs. Pas un acteur passé sur notre plateau TV n’a manqué l’occasion de lancer un appel et annoncer chercher à embaucher.
Gartner l’affirme : « Traditionnellement, les responsables de la cybersécurité se concentrent sur l’amélioration de la technologie et des processus qui soutiennent leurs programmes, sans se préoccuper des personnes qui sont à l’origine de ces changements. ». Une telle approche ne peut plus durer. Les RSSI doivent aussi adopter une gestion des « talents » centrée sur l’humain. C’est la clé pour recruter et fidéliser les collaborateurs mais aussi pour gagner en maturité opérationnelle et technique. C’est aussi la clé pour aller piocher en interne les futurs talents cybersécurité de demain.
Tendance 3 : Transformer la cybersécurité pour soutenir la création de valeur
Pour Richard Addiscott, « les chefs d’entreprise ont pris conscience aujourd’hui que le risque cyber est un risque Business et non un problème technologique à résoudre ».
La cybersécurité est aussi là pour soutenir les résultats de l’entreprise. Et les RSSI doivent ajuster le modèle opérationnel de leur cybersécurité pour intégrer la façon dont les collaborateurs font les choses, la façon de travailler de chacun. Et pour Gartner la cybersécurité ne doit pas être déconnectée de la valeur Business. Elle doit être mesurée et corrélée aux priorités et aux résultats de l’entreprise.
Tendance 4 : Gérer l’exposition aux menaces
Sur le fond cette tendance n’est ni nouvelle ni sous-estimée. Mais elle reste toujours d’actualité car la surface d’attaque des entreprises modernes ne cesse de gagner en taille et en complexité. Multicloud, Edge, supply chain logicielle, adoption massive des solutions SaaS, tout contribue à un élargissement et une complexification de la surface d’attaque et de sa gestion.
Les entreprises doivent impérativement mettre en œuvre des programmes CTEM (Continuous Threat Exposure Management ou gestion continue de l’exposition aux menaces) dignes de ce nom. Pour Gertner, en 2016, les entreprises qui prioriseront leurs investissements de sécurité en s’appuyant sur un programme CTEM subiront deux fois moins de brèches de sécurité.
À LIRE AUSSI :
Tendance 5 : Immuniser l’infrastructure d’identité
La cyber-résilience de l’entreprise dépend en grande partie de la résilience de son infrastructure de gestion des identités. Plus que jamais, les entreprises doivent pouvoir se protéger contre les menaces liées à l’identité numérique comme le vol et l’usurpation d’identité. Au-delà du IAM (Identité Access Management), elles doivent mettre ne place une vraie « Identity Fabric », une plateforme à même de gérer les multiples identités (d’utilisateurs et de machines) de manière unifiée. Et s’assurer que celle-ci soit complète, bien configurer et sans élément vulnérable. L’immunité de l’Identity Fabric est un principe qui vise à protéger et fortifier cette Fabric avec des mesures de sécurité adaptée et des outils IDTR (Identity Threat Defense & Response).
Tendance 6 : Valider votre Cybersécurité
La « Validation de la Cybersécurité » est, selon Gartner, une tendance en vogue. Il s’agit de ne plus vivre la cybersécurité en aveugle en attendant d’être attaqué pour savoir si la cybersécurité en place tient le choc. Cette pratique de validation s’appuie sur un ensemble de techniques (dont le pentest) automatisées, de processus et d’outils qui permettent de vérifier et valider qu’un attaquant ne pourra pas exploiter une faille identifiée. Dit autrement, cette technique consiste à simuler des scénarios d’attaque et vérifier pour chacun d’eux l’efficacité des mesures mises en place. Aujourd’hui de nouvelles plateformes (parfois appelées Validation Platform ou BAS Platform pour Breach & Attack Simulaiton) voient le jour – telles que Mandiant Advantage Security Validation, AttackIQ Security Optimization Platform, Cymulate, Picus Security, SafeBreach, XM Cyber Exposure Management Platform, Qualys VMDR – permettant de réaliser des tests d’attaques réguliers et de contrôler l’efficacité des contrôles et processus de sécurité.
Tendance 7 : Consolider les plateformes de cybersécurité
On le sait, le monde de la cybersécurité est hyper éclaté. Et les entreprises perçoivent cette diversité d’outils comme une complexité supplémentaire malgré les approches « plateforme ». La consolidation des plateformes de cybersécurité est une tendance qui consiste à regrouper plusieurs services ou fonctionnalités de sécurité dans une seule plateforme. Sur le papier, cette consolidation permet de simplifier les opérations, de réduire les coûts et d’améliorer l’efficacité de la cybersécurité. Typiquement, les plateformes de sécurité des identités tendent à consolider tous les aspects de la sécurité des identités : gouvernance, gestion des accès à privilège, gestion des accès, analyse des risques, etc.
À LIRE AUSSI :
Tendance 8 : Une sécurité « Composable » pour l’entreprise composable
L’entreprise composable… C’est le grand truc du Gartner depuis quelques années. L’analyste nous ressert le concept à toutes les sauces… Y compris donc quand il parle de cybersécurité. Derrière ce concept se cache l’idée d’entreprises agiles entièrement structurées autour des API et des applications SaaS de sorte que les entreprises ne sont plus composées que de « blocs de construction » interchangeables et modifiables. Pour Gartner, les entreprises s’appuyant sur des systèmes monolithiques ne sont pas viables. Elles doivent évoluer vers des capacités modulaires pour mieux répondre à des changements toujours plus rapides.
Pour Gartner, d’ici 2027, plus de 50% des applications métiers seront bâties sur des architectures composables. Et la cybersécurité doit s’y adapter et ne peut être monolithique. Elle doit s’appuyer sur une approche modulaire avec des technologies et des politiques de contrôles qui peuvent être assemblées et réassemblées de façon évolutive.
Pour Richard Addiscott, « la création d’applications avec des composants composables introduit des dépendances inconnues. Pour les responsables de la sécurité, c’est une opportunité importante d’intégrer la confidentialité et la sécurité « by design » – dès la conception – en créant des objets de contrôle de sécurité réutilisables et basés sur les composants. »
Tendance 9 : Les conseils d’administration gagnent en compétences cyber
« RSSI et CISO doivent encourager une participation active du conseil d’administration sur la cybersécurité et son engagement dans la prise de décision en matière de cybersécurité » affirme Richard Addiscott. « Ils doivent agir en tant que conseillers stratégiques et formuler des recommandations sur les mesures à prendre par le conseil d’administration, notamment en ce qui concerne l’affectation des budgets et des ressources à la sécurité ». Dit autrement, le Conseil d’administration doit se mouiller et assumer ! L’ère du « on vire le RSSI, il a failli » alors que le conseil d’administration a toujours refusé les dépenses de cybersécurité réclamées est révolue. Ou doit l’être.
Bref, il est l’heure de responsabiliser le conseil d’administration sur les sujets de cybersécurité. Parallèlement, les RSSI et CISO doivent aussi être en mesure de fournir aux conseils des rapports qui montrent l’impact des programmes de cybersécurité sur les objectifs et les résultats de l’organisation.
Pour en savoir plus : Top Trends in Cybersecurity 2023 | Gartner
À LIRE AUSSI :