Cybersécurité : les 8 défis de 2024

1. Poursuivre les efforts financiers entrepris en 2023

En premier lieu, l’effort financier doit être maintenu. Même si l'augmentation des budgets cyber ne faiblit pas d'année en année (+280% en cinq ans - HISCOX), l'investissement financier des organisations dans les sujets de cybersécurité doit se poursuivre. La tendance est à la hausse mais les efforts restent disparates selon la taille des entreprises. Ainsi, les grands groupes ont vu leur budget cyber être multiplié par 5 ces 3 dernières années, alors que les entreprises de moins de 50 salariés ont divisé par 2 leurs investissements sur la même période (Source Etude Hiscox Cyber Readiness 2022). Or, les PME et ETI ne sont pas épargnées par les cyberattaques - elles représentent 40% des attaques par ransomware rapportées à l’ANSSI en 2022. Aussi, l’investissement en cybersécurité doit rester, voire devenir pour certaines, une priorité. Si l'on peut se féliciter de la trajectoire croissante des investissements cyber, il est important de maintenir l’effort car l’ingéniosité et l’efficacité des attaquants ne faiblissent pas, bien au contraire.

2. Continuer à élever le sujet cyber au niveau des directions générales

Près de la moitié des RSSI reportent désormais au PDG, au niveau mondial. Cette tendance est encourageante et montre que les RSSI sortent progressivement de leur rôle de technicien pour embrasser une posture de stratège, nécessaire à la bonne appréhension des enjeux soulevés par la cybersécurité. D’ailleurs, près de 86% de ces RSSI déclarent que leur métier n’a plus rien à voir avec celui de leurs débuts. Pour parvenir à positionner les enjeux cyber au bon niveau, les RSSI doivent adopter un nouveau langage, pour faire entrer les sujets cyber au conseil d’administration pour démontrer que les enjeux cyber concerne l’organisation au sens large, que ses implications vont au-delà de la seule sécurité, mais sont bien au service de la préservation de la valeur, de la marque et même source d’innovation (Global Digital Trust Insights PwC, 2024).

3. Jouer collectif

a. Décloisonner les efforts

L’un des enjeux en 2024 sera celui de poursuivre le décloisonnement des initiatives entre le privé et le public, entre les états et les organes supra étatiques, des entreprises entre elles, … L’effort contre la cybercriminalité doit être décloisonné et collectif pour relever les défis posés par les acteurs malveillants.

“La montée des cybermenaces hybrides et la frontière floue entre l’espionnage et la cybercriminalité, propulsent la cyberdéfense dans le domaine de la sécurité nationale.”

- PwC, Global Digital Trust Insights Survey 2024

b. Contribuer à la structuration de la filière cybersécurité

Les ressources cyber se font rares, et parallèlement la demande explose : on estime à près de 15 000 postes en cybersécurité vacants en France et il faudrait en créer 37 000 à horizon 2025 pour faire face à la pénurie. Les acteurs doivent se rassembler pour former, structurer la filière et aider au recrutement de talents.

”Des initiatives louables comme le Campus Cyber vont dans ce sens et nous devons les encourager et y prendre part (de façon croissante ?).”

- Jamal Basrire, Associé en charge du développement des activités Techno, PwC France et Maghreb

4. La sensibilisation à tous les niveaux, plus que jamais

Vos collaborateurs sont les premiers susceptibles à faire l’objet d’attaques, ils doivent donc constituer le premier rempart efficace contre les acteurs malveillants. Or, développer une culture cyber à tous les niveaux de votre organisation est une course de longue haleine qu’il vaut le coup de poursuivre en 2024.

5. Appréhender l’IA et naviguer entre risques et opportunités

Conscients que l’IA générative est à la fois génératrice de risques (52% des dirigeants anticipent des attaques cyber catastrophiques causées par l’IA dans les 12 prochains mois – Global Digital Trust Insights 2024) mais aussi source d’opportunités pour muscler leur cyber défense (près de 70% des répondants déclarent que leur organisation utilisera l'IA générative pour la défense cyber), les dirigeants doivent naviguer dans un climat incertain et très mouvant. Pour autant, il est indéniable que l’IA peut vous aider voire vous aide déjà (54 % l’utilisent déjà pour la détection et la réduction des risques cyber) à muscler votre défense dans 3 domaines : La détection et l'analyse des menaces, Le reporting sur les risques cyber et les incidents.

6. Commencer / continuer à se familiariser avec les implications concrètes de NIS2

Alors que l’entrée en vigueur de NIS2 en France se fera au plus tard en octobre 2024, il est opportun de préparer dès à présent les implications concrètes de la directive sur votre activité. S’appliquant à plusieurs milliers d’entités, de PME aux grands groupes, opérant dans 18 secteurs d’activité distinct, la directive NIS2 se veut plus large que NIS1 pour plus de protection. La première étape est bien entendu celle de savoir si vous êtes concernés par les exigences de NIS2. Plusieurs cas de figure se présentent : Soit vous étiez déjà concernés par la directive NIS1, auquel cas, la directive NIS2 s’appliquera également, dans la continuité de NIS1. En attendant son entrée en vigueur, vous continuez à respecter les exigences prévues par NIS1 et travailler à la mise en conformité. Si vous n’étiez pas concernés par NIS1, il est possible que l’élargissement prévu par NIS2 vous concerne si vous opérez dans les secteurs désignés en annexes 1 et 2 de la directive. Dans ce cas, l’anticipation et la proactivité pour hausser votre niveau de sécurité doivent être mis à l’agenda de vos priorités 2024.

7. Persévérer dans la voie de l’optimisation et de la simplification de l’infrastructure et des outils

En matière de cyber, comme dans de nombreux autres domaines, le mieux est l’ennemi du bien. Aujourd'hui, l’heure est à l’optimisation des investissements. Il s’agit de capitaliser sur les efforts engagés, notamment en matière technologique pour rationaliser et moderniser ce qui peut l’être. 60% des dirigeants français placent la modernisation de la technologie, notamment l’infrastructure cyber comme priorité n°1 d’investissement cyber pour 2024 (Global Digital Trust Insights PwC, 2024). Concentrez vos efforts sur la recherche de maximisation de l’utilisation de vos outils existants.

8. Continuer à appréhender le cloud, entre complexité et opportunité

Le niveau de maturité sur le cloud est encore faible, et ce sujet suscite beaucoup d’intérêt autant qu’il préoccupe. Alors que 58% des dirigeants français ont adopté le cloud dans la plupart ou la totalité de des fonctions de leur entreprises (Etude Cloud France 2023, PwC), ils considèrent la sécurité du cloud comme leur principale préoccupation, tant les points d’entrée pour les acteurs malveillants sont nombreux : l'identité et l'accès, le mouvement latéral, les comptes de messagerie, les portails web, les applications, les informations propriétaires, … pour ne citer qu’eux. Pour autant, l’appréhension du risque lié au déploiement du cloud est faible, et constitue un enjeu de taille pour les années à venir. Seuls 3% des organisations maintiennent des plans à jour qui abordent les neuf domaines de sécurité du cloud. Une écrasante majorité des entreprises doit encore muscler sa stratégie autour des enjeux soulevés par le cloud, notamment celui en matière de sécurité. Réussir son move to cloud et tirer parti de la puissance permise par le cloud sans compromettre sa sécurité, voilà un défi de taille pour 2024.