Raphael Marichez, Chief security officer régional (France et Europe du Sud) chez Palo Alto Networks, partage auprès des RSSI et des DSI ses prédictions cybersécurité 2023, avec les enjeux émergents que les entreprises et administrations doivent prendre en compte au niveau de la direction. Il apporte des conseils sur les changements de postures et les points de vigilance qui doivent retenir l’attention des RSSI et des DSI dans leur programme de transformation de la cybersécurité.
1 – Cyber-risque : un critère clé pour le choix des fournisseurs
Avec l’augmentation des attaques et des risques d’attaques visant la chaîne d’approvisionnement (Supply Chain), les facteurs tels que la cyber-résilience, les évaluations de la vulnérabilité et le niveau de cyberassurance feront partie intégrante des critères de sélection avant tout lancement d’une nouvelle relation commerciale.
CONSEIL ET ACTION
Classez vos fournisseurs en fonction de leur maturité en cybersécurité et déterminez s’ils sont “cyberassurables” ou non. Une étape clé du processus de sélection d’un fournisseur doit s’intéresser aux dépendances en open source – anticipez qu’alors le processus d’évaluation sera plus poussé.
2 – L’augmentation d’attaques combinant un effet cinétique
Le cyberespace est déjà un champ de bataille pour de nombreux Etats-nations. L’année 2023 verra une augmentation des activités coordonnées tant depuis l’environnement numérique que depuis l’environnement physique ciblant des infrastructures critiques. Dans le secteur privé, la sécurité physique des utilisateurs face à de telles attaques exploitant des objets connectés (IoT) ou des systèmes industriels (OT) sera un sujet de préoccupation majeur.
CONSEIL ET ACTION
Les “centres autonomes de fusion de la sécurité” qui combinent des éléments cyber et physiques peuvent agir comme un système d’alerte en prévention pour détecter ces attaques et y répondre. De la même façon, combiner les équipes de cybersécurité et de sécurité physique peut aussi faciliter la coordination des réponses à apporter.
3 – La responsabilité sociale et environnementale (RSE) s’invite à l’agenda des RSSI.onsables
Sachant que les activités numériques devraient atteindre 7 % des émissions de gaz à effet de serre d’ici 2025, les entreprises se tournent vers la transformation digitale comme levier pour réduire leurs émissions.
CONSEIL ET ACTION
Comme avant eux les DSI, les RSSI devront inscrire dans leur feuille de route des objectifs de développement durable et, d’une façon plus générale, contribuer à la stratégie de responsabilité sociale et environnementale (RSE) de leur entreprise. La cybersécurité est un catalyseur, en plus de préserver la sécurité des infrastructures critiques, elle apporte aux entreprises la confiance nécessaire pour déployer de nouvelles technologies qui les aideront à réaliser leurs objectifs en matière de développement durable.
4 – Le cadre réglementaire de l’UE s’infléchit
Avec la révision de la directive NIS (v2) et la future directive sur la cyber résilience (CRA – Cyber Resilience Act), les infrastructures critiques et les chaînes d’approvisionnement numériques vont devoir se préparer à une évolution du cadre réglementaire sur l’ensemble de l’Union européenne.
CONSEIL ET ACTION
Alors que de plus en plus d’entreprises intègrent des éléments numériques dans leur chaîne d’approvisionnement, les RSSI doivent chercher à faire de l’évolution de la réglementation un futur avantage concurrentiel, au moment même où les conseils d’administration appellent à la création de comités dédiés à la cybersécurité.
5 – Des rançongiciels aux “voleurs furtifs”
Les attaquants utilisent de plus en plus de techniques et de logiciels furtifs pour voler des données sans que leurs victimes ne s’en aperçoivent. Par opposition au modèle économique des rançongiciels, qui s’articule autour de demandes de paiement, le vol furtif consiste à revendre ou exploiter les informations volées telles que des portefeuilles crypto, alors que le voleur reste inconnu.
CONSEIL ET ACTION
La montée en compétences et l’acquisition de meilleurs outils pour la maîtrise des surfaces d’attaque et les capacités de détection autour des actifs numériques critiques des entreprises vont largement s’intensifier.
6 – L’année de la consolidation
Avec le resserrement des budgets et l’incertitude économique, l’une des mesures clés que prendront les RSSI pour l’année à venir sera de consolider les équipements de sécurité provenant des fournisseurs, ce qui réduira les risques et les coûts.
CONSEIL ET ACTION
Il sera indispensable de prioriser les efforts vers la convergence de plateformes pour le SASE, le XDR et le Cloud ainsi qu’au sein du SOC. En allant plus loin, les équipes sécurité devraient aligner leurs efforts sur les indicateurs business de l’entreprise, afin de garantir des niveaux de protection en cohérence avec l'”appétit-risque” de leurs administrateurs.
7 – La sécurité dans le Cloud… mais pas trop loin, s’il vous plaît !
Les besoins de faible latence (IoT, robotique), d’une expérience client optimale, et de suivi de la réglementation, en particulier autour de la localisation des données, incitent à localiser les capacités de traitement des données au plus près de l’endroit où l’utilisateur consommera le service. Les services de sécurité fonctionnant dans le Cloud devront pouvoir s’étendre à une infrastructure de plus en plus dispersée et locale.
CONSEIL ET ACTION
Le modèle SASE (Secure Access Service Edge) apportera la meilleure expérience utilisateur et la meilleure performance opérationnelle, pour la croissance du numérique à venir, ouvrant ainsi la voie au véritable “edge computing” (informatique en périphérie).
8 – La profusion de données relatives aux employés va poser des difficultés aux dirigeants d’entreprises
Renforcée par le passage à des pratiques de travail hybrides, la supervision de l’activité des employés s’est largement installée, pour soutenir et augmenter la productivité. Mais où placer la limite à ne pas dépasser ? La collecte de données, comme l’enregistrement de la frappe au clavier, les copies d’écran montrant le bureau, voire le suivi des déplacements des employés peuvent constituer des violations de la réglementation sur la protection des données telles que le RGPD.
CONSEIL ET ACTION
Pour ce qui concerne la collecte des données, les RSSI doivent se mettre à la place de l’employé et se poser deux questions : à quel moment est-ce “trop” ? Que faire si l’employé veut qu’on lui “rende” ses données ?