Cybersécurité : le top 10 des tendances pour 2025

Sur le volet réglementaire, 2024 aura été marquée par le commencement de l’adoption de la directive NIS2, avec un seul objectif : la cyberrésilience d’un grand nombre d’entreprises. Avec l’organisation des Jeux Olympiques de Paris 2024, les nombreuses élections dans le monde et l’essor de l’IA générative, 2024 aura été une année riche en défis cyber. Que nous réserve 2025 ?

Une contribution de Damien Gbiorczyk, expert en cybersécurité chez Illumio

 Ces prédictions sont également le fruit de discussions et d’échanges entre Damien et les experts d’Illumio, apportant une vision collaborative et éclairée sur les tendances à venir.

1-IA : une quête effrénée pour établir des directives et des cadres réglementaires

C’est un fait, les outils d’intelligence artificielle générative (GenAI) se sont imposés et démocratisés. En 2025, nous assisterons à une course contre la montre pour définir un cadre réglementaire à l’instar des discussions qui avaient marqué la régulation des réseaux sociaux. L’objectif de ces cadres sera de protéger les utilisateurs et d’établir des normes pour sécuriser l’IA contre les menaces posées par d’autres systèmes d’IA.

Trois niveaux de cadres et de principes directeurs verront le jour : au niveau international (comme l’IA Act), au niveau local (le règlement IA) et au niveau des entreprises. Des lignes directrices claires sur l’utilisation et la sécurité de l’IA en entreprise contribueront à améliorer leur productivité. En revanche, des cadres réglementaires plus généraux risquent de se révéler moins efficaces car les réglementations internationales, souvent sujettes à interprétation, pourraient en effet être exploitées par certaines entreprises pour détourner les règles à leur avantage.

2-Le secteur de l’énergie sous haute tension

Nous pourrions être confrontés à une attaque de grande ampleur, très probablement orchestrée par un acteur étatique, contre des infrastructures nationales critiques comme les réseaux énergétiques. Ce genre d’attaques pourrait provoquer des désordres publics majeurs, allant de coupures de courant généralisées à des évacuations massives d’hôpitaux. De telles conséquences obligeront les pouvoirs publics et l’industrie à réévaluer de manière approfondie leur capacité de cyber résilience et leurs stratégies de protection et de gestion des services essentiels. Il se pourrait d’ailleurs qu’une nouvelle stratégie, similaire au cadre « DORA » mais adaptée au domaine de l’énergie, voit le jour pour établir un modèle de sécurité harmonisé dès la phase de conception.

3-La chaîne d’approvisionnement de l’IA dans le viseur des cybercriminels

En 2025, il est très probable que les cyber attaquants concentrent leurs efforts sur les chaînes d’approvisionnement de l’IA. Leur objectif principal sera de cibler les sources, et notamment les fournisseurs d’outils d’IA générative et de copilotes. Les entreprises spécialisées dans l’IA devraient ainsi être davantage exposées aux violations de sécurité, dans la mesure où les cybercriminels chercheront à exploiter les vulnérabilités dans les produits pour compromettre les données sensibles de leurs clients.

D’autre part, ils s’attaqueront aux chaînes d’approvisionnement matérielles de l’IA, et notamment aux fournisseurs d’énergie, dans le but de générer des perturbations massives dans les services et les activités des entreprises. Ces attaques pourraient s’avérer particulièrement dévastatrices, surtout au moment où ces chaînes d’approvisionnement dépendent de plus en plus de la GenAI.

4-L’ingénierie sociale jouera sur le facteur humain pour compromettre la sécurité

Des utilisateurs lambda se retrouveront impliqués dans des attaques de grande envergure et ce, à leur insu. Les spécialistes de l’ingénierie sociale profiteront de la popularité de certaines applications, des dynamiques des réseaux sociaux et même des outils d’IA pour les manipuler et les inciter à activer, sans qu’ils en aient conscience, des vulnérabilités de sécurité via le Web ou des scripts malveillants.

Les cyber attaquants utiliseront des stratégies hybrides. Ils exploiteront des outils ou des applications légitimes qui, en apparence, fonctionneront normalement. Mais dans les coulisses, ces plateformes hébergeront des activités malveillantes. Les victimes deviendront alors des complices involontaires, tandis que les véritables responsables de ces attaques massives resteront dissimulés et opèreront dans l’ombre en toute impunité.

5-Quand les machines automatisées se mettent à dérailler

Il faut s’attendre à des dysfonctionnements, et plus particulièrement au sein des chaînes de production et dans le fonctionnement des véhicules, dans la mesure où ces dispositifs autonomes seront dotés d’une IA qui leur permettra de gagner en efficacité. Ces incidents pourraient bouleverser les chaînes d’approvisionnement mondiales, affecter la disponibilité des produits ou, dans les cas les plus graves, causer des préjudices corporels ou des pertes humaines.

L’origine de ces problèmes est à chercher dans l’opacité des systèmes d’IA, souvent propriétaires, qui échappent bien trop souvent aux audits rigoureux indispensables pour assurer leur sécurité. Les vulnérabilités, les erreurs de codage et les biais latents des outils d’IA générative n’apparaissent qu’à travers les interactions directes avec les utilisateurs. Malheureusement, cela permet également aux cybercriminels de repérer ces failles au même moment.

6-En 2025, investir dans la sécurité ne sera plus une mode, mais une responsabilité

Les budgets alloués à la sécurité resteront en hausse en 2025. Les équipes SOC, de réponse aux incidents et les développeurs seront les plus susceptibles d’être affectées par la priorité accordée aux investissements en IA. En revanche, les investissements dans des technologies auparavant prisées comme le NDR (Network Detection and Response) et le SOAR (Security Orchestration, Automation, and Response) devraient enregistrer une baisse. Les entreprises recentreront leurs priorités sur des solutions qui limiteront les impacts des attaques et qui renforceront la protection de leurs actifs critiques.

Les entreprises ont enfin pris conscience d’une chose. Prétendre éradiquer le risque de cyberattaque relève de l’utopie. Les stratégies de sécurité vont donc devoir changer : bien que la prévention reste essentielle et doit être privilégiée autant que possible, elle doit impérativement s’appuyer sur des systèmes capables de contenir et de maîtriser les attaques lorsqu’elles ont lieu.

7-La cybersécurité, enfin une priorité pour les dirigeants

Depuis quelques années, les conseils d’administration prennent davantage conscience des enjeux que représente la cybersécurité. Mais 2025 marquera une étape décisive : le passage d’une simple sensibilisation à une responsabilisation pleinement assumée.

À l’image de l’emblématique Satya Nadella chez Microsoft, les dirigeants d’entreprise assumeront la responsabilité de la cybersécurité et mettront fin à la pratique consistant à imputer l’entière culpabilité des cyber incidents aux responsables de la sécurité. Renforcer la résilience opérationnelle deviendra une priorité et incitera les entreprises à privilégier des investissements en cybersécurité vers des solutions réellement efficaces, plutôt que vers des démarches purement symboliques. »

8-Le RSSI tire sa révérence. Place au CSO

À compter de 2025, la fonction à la fois complexe et très spécialisée du RSSI cédera progressivement la place à celle des responsables de la sécurité (CSO), une évolution dictée par l’interconnectivité croissante et la convergence entre les systèmes IT et OT. En effet, les entreprises sont bien conscientes que les menaces ne sont plus confinées à des périmètres isolés et qu’elles nécessitent un responsable capable d’unifier la gestion de tous les risques et d’assurer une supervision globale de la sécurité.

Le CSO intégrera l’équipe de direction et siègera au conseil d’administration. Les dirigeants pourront ainsi prendre pleinement conscience de l’enjeu que représente la cybersécurité et assumer la responsabilité des décisions et des stratégies en matière de sécurité.

9-Une adoption rapide du Zero Trust et du cadre NIST avec la convergence des systèmes IT et OT

Dans la mesure où les systèmes de technologie opérationnelle (OT) gagneront en performance et en interconnectivité, les entreprises devront rapidement adopter leurs stratégies et renforceront leurs technologies de sécurité pour répondre aux nouvelles exigences de ces environnements complexes. En effet, plus les environnements OT se rapprocheront des environnements informatiques, plus les architectures de sécurité traditionnelles deviendront obsolètes et inadaptées, à l’instar de la Purdue Enterprise Reference Architecture. Elles seront progressivement supplantées par des approches modernes comme le modèle Zero Trust qui offre des perspectives nettement meilleures en matière de résilience opérationnelle et de cyber résilience.

10-Des talents qui manquent cruellement

Dès l’année prochaine, les RSSI seront contraints de choisir entre investir dans les ressources humaines ou dans l’IA … et la majorité d’entre eux privilégiera l’IA. Ce basculement ne fera qu’aggraver la pénurie de compétences, car les fonds seront essentiellement alloués aux domaines spécialisés en IA, souvent au détriment des stages, des programmes de formation et du développement des talents dans des secteurs essentiels mais moins médiatisés.

La pénurie de compétences en cybersécurité restera donc l’un des défis les plus urgents à relever en 2025. Pour intensifier leurs efforts, les organisations devront faire appel aux technologies émergentes et déployer des stratégies de défense modernes face aux menaces. Pour faire véritablement évoluer la cybersécurité, les organisations devront faire preuve de créativité en termes de recrutement et de fidélisation et proposer des sources de motivation attractives à leurs employés actuels et futurs.

À lire également : Le rôle difficile du management face à l’addiction