Joëlle Boutin
Les avancées sur le plan technologique se multiplient et se complexifient. La robotisation et la transformation numérique permettent d’améliorer la productivité de nos entreprises et d’ajouter de la valeur à celles-ci. Cette numérisation de notre économie amène son lot d’enjeux quant à la protection des données et les menaces de plus en plus grandes et sophistiquées en matière de cybersécurité. Les entreprises et les organisations doivent plus que jamais comprendre les enjeux de cybersécurité et s'adapter pour faire face à ces défis, en utilisant les meilleures pratiques et les solutions les plus innovantes sur le marché.
La cybersécurité dans la mire
Dans ce contexte, la cybersécurité est l’un des enjeux qui attirera le plus l’attention des organisations dans les prochaines années et il est impératif de s’y intéresser. Chaque année Gartner, leader mondial de la recherche et du conseil en technologies de l'information, publie une série d’articles et de webinaires sur les tendances émergentes en matière de cybersécurité qui façonnent le paysage numérique. Voici donc un bref aperçu des tendances à venir en matière de cybersécurité, selon Gartner.
Réglementation sur la protection des renseignements personnels
D'ici 2024, plusieurs juridictions, dont le Québec, adopteront une réglementation moderne visant à mieux protéger les renseignements personnels. Au Québec, la deuxième phase de la Loi 25, fortement inspirée de la RGPD en Europe, est entré en vigueur le 22 septembre 2023. Ce genre de réglementation couvrira la majorité des données des consommateurs d’ici 2024, mais seulement 10 % des organisations sauront tirer profit de l’aspect de la confidentialité des données, qui renforce le sentiment de confiance des clients, comme un avantage concurrentiel.
La responsabilité et le programme Zero Trust
Étonnement, toujours selon Gartner, d'ici 2025, 50 % des responsables de la cybersécurité changeront de travail en raison du stress lié à ce type de responsabilité professionnelle.
D'ici 2026, 10 % des grandes organisations auront mis en place un programme Zero Trust mature (comparativement à 1 % aujourd'hui). Le modèle Zero Trust suppose que la sécurité d'un réseau complexe est toujours exposée aux menaces externes et internes. En conséquence, l’infrastructure privilégiée dans un tel modèle limite en tout temps l’accès aux données en vérifiant chaque connexion. Bien sûr, cette philosophie doit être combinée à d’autres stratégies complémentaires de sécurité préventive et offensive.
La TDIR
D'ici 2026, plus de 60 % des capacités d’identification, d’évaluation et de réponse aux menaces (threat detection and incident response ou TDIR) exploiteront les données de gestion pour valider et hiérarchiser les menaces détectées comparativement à 5 % aujourd’hui. À mesure que les surfaces d'attaque organisationnelles s'étendent en raison de la connectivité accrue, de l'utilisation du SaaS et des applications cloud, les entreprises ont besoin d’avoir une meilleure vue d’ensemble de leurs risques et de faire appel à des solutions et des experts afin de surveiller en permanence les menaces. Heureusement, de nouvelles solutions TDIR de plus en plus performantes émergent sur le marché et servent à identifier les menaces potentielles, détecter les attaques de cybersécurité et toutes formes d’incident impliquant des données que l’on souhaite protéger.
Aussi, les enjeux de cybersécurité étant de plus en plus au cœur des stratégies de gestion de risque des entreprises, Gartner prédit qu’avoir un expert en cybersécurité au sein des conseils d’administration sera une tendance afin de mieux aiguiller les prises de décisions en lien avec ce type de risque. Ainsi, d'ici 2026, 70 % des conseils d'administration comprendront un membre possédant une expertise en cybersécurité.
L’humain au cœur de la cybersécurité
Malheureusement, la croyance selon laquelle la technologie peut résoudre tous nos problèmes demeure un mythe; le facteur humain étant encore bien plus importants dans la gestion de la sécurité informatique. En ce sens, d’ici 2027, 50 % des responsables de la sécurité des systèmes d’information adopteront officiellement des pratiques de conception centrées sur l’humain dans leurs programmes de cybersécurité, plutôt que sur la technologie. D’ailleurs, une autre étude de Gartner démontre que plus de 90 % des employés ont admis avoir déjà eu des comportements qu’ils savaient risqués pour leur organisation. Il ne faudra donc pas minimiser le facteur humain.
D'ici 2027, 75 % des employés adopteront, modifieront ou créeront des technologies, applications ou autre outils informatiques sans en informer leur employeur ou le département d’informatique (comparativement à 41 % en 2022). Ce comportement ne fera qu’étendre encore plus les surfaces d’attaques potentielles et mettre à risque les organisations. Gartner recommande donc de réfléchir à la cybersécurité au-delà de la technologie et de l'automatisation pour impliquer activement les employés afin d'influencer leur prise de décision positivement et de garantir qu'ils disposent de toutes les connaissances nécessaires pour agir de manière éclairée et sécuritaire.
Dans tous les cas, souvenons-nous que la cybersécurité évolue rapidement et que celle-ci deviendra de plus en plus un enjeu important dans la gestion de risque des entreprises et qu’il est donc impératif d’aligner ses stratégies sur les objectifs de celles-ci et surtout de ne pas négliger le facteur humain dans l’équation. À une époque de changements rapides, rester immobile est la pire ligne de conduite.