Les tendances sécurité 2024-2026 selon CyberArk

Pour 2024

• Le détournement de session représentera 40 % de toutes les cyberattaques – De plus en plus d'organisations passeront à la gestion des accès sans mot de passe, des passkeys à la MFA, pour aider à contrer les attaques. Les cybercriminels feront évoluer leurs tactiques en parallèle pour duper les utilisateurs de l'entreprise ainsi que les tiers, voler les cookies de session et contourner les mécanismes d'authentification forte. Leur créativité sera payante, c’est pourquoi il est essentiel de rester vigilant en matière de sécurisation, de surveillance et de réponse aux abus/compromissions de sessions d'utilisateurs et de cookies - en particulier avec la promesse encourageante de Google d'effacer définitivement les cookies, il ne faut jamais sous-estimer les attaquants créatifs qui trouveront un autre moyen.
• 30 % des organisations paieront pour une protection laxiste des mots de passe – Le vol traditionnel d'informations d'identification sera moins fréquent lorsque l'absence de mot de passe s'imposera et sera utilisée de manière adaptée. Pourtant, le vol d’identifiants n'est pas près de disparaître. Pourquoi ? Les organisations qui mettent en œuvre l'authentification sans mot de passe peuvent avoir besoin d'un facteur de secours, et de nombreuses entreprises se rabattront sur des options peu sûres - les mots de passe. Alors que les équipes de sécurité luttent contre de nouveaux démons, les attaquants profiteront de ces protections laxistes des mots de passe, et 30 % des organisations connaîtront une augmentation des violations de données liées au vol d’identifiants.
• 55 % des entreprises vont accélérer la consolidation technologique pour simplifier la sécurité – Les environnements informatiques et de sécurité de la plupart des entreprises sont déjà trop étendus, compliqués et difficiles à gérer. Les équipes sont rarement compétentes dans l’utilisation de tous les outils qu'elles doivent assembler avec d'autres, ce qui les oblige à embaucher ou à faire appel à des experts externes. Et comme chaque plateforme se concentre sur des éléments spécifiques et se chevauche avec d'autres, les équipes ont du mal à voir - et encore moins à comprendre - toutes les vulnérabilités et menaces potentielles dans leurs clouds. Les accords de niveau de service (SLA) non respectés, la spirale des frais généraux et les dérives de sécurité dangereuses pousseront 55 % des entreprises à accélérer la consolidation technologique. Elles chercheront à simplifier les opérations et à maximiser les ressources existantes en travaillant avec moins de fournisseurs et de systèmes.

D’ici 2026 

• Près de la moitié des conseils d'administration des entreprises du classement Fortune 500 chercheront à recruter un responsable de la sécurité de l'IA – La cybersécurité n'est pas un problème informatique ; c'est le pivot de la résilience de l'entreprise et de la confiance des parties prenantes. La plupart des entreprises du classement Fortune 500 reconnaissent l'importance des enjeux et renforcent les compétences en matière de cybersécurité au niveau des directeurs d'entreprise. Les risques émergents liés à l'IA renforcent encore le sentiment d'urgence. D'ici 2026, 45 % de ces entreprises recruteront et travailleront à la nomination d'un responsable de la sécurité de l'IA au sein du conseil d'administration. Ce dirigeant possédera à la fois une expertise technique et un sens aigu des affaires, jouant un rôle influent dans l'avancement de l'innovation en matière d'IA, la gestion des risques qui en découlent et la sauvegarde des modèles de sécurité basés sur l'IA. Ils seront profondément ancrés dans la stratégie de cybersécurité et élargiront les mécanismes de surveillance et de reporting pour mieux mesurer et améliorer les initiatives de sécurité, les évaluations des risques et les plans de réponse aux incidents.
• Les organisations multinationales seront confrontées à un problème de réglementation – 60 % de toutes les entités mondiales réglementées auront beaucoup de mal à se conformer aux exigences de plus en plus strictes en matière de protection des données et de divulgation des violations, en particulier à mesure que les cas d'utilisation de la GenAI se multiplieront. De plus en plus d'organisations devront faire face à des sanctions pour non-conformité. Aujourd'hui, le non-respect du Règlement Général sur la Protection des Données (RGPD) peut coûter aux organisations jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les amendes déjà élevées continueront de grimper, avec un impact potentiellement paralysant. 
• Les grandes puissances mondiales vont demander une convention de Genève sur la cybersécurité – Les attaques sophistiquées d'États-nations, en particulier celles qui visent les infrastructures critiques, peuvent entraîner des perturbations généralisées, des pannes mettant en danger la vie des personnes et des dommages étendus aux chaînes d'approvisionnement logicielles. Les craintes croissantes d'une escalade vers la guerre conventionnelle inciteront les grandes puissances mondiales à prendre des mesures radicales pour renforcer la résilience cybernétique, les cadres juridiques et la coopération internationale. Dans ce cadre, ces pays feront pression pour établir une Convention de Genève sur la cybersécurité afin de dissuader les attaques des États-nations et de tenir les auteurs pour responsables.