Nous avons demandé à des experts en cybersécurité leurs principales prévisions pour 2025

Alors que nous approchons de la fin de l’année 2024, le secteur de la cybersécurité est confronté à de nombreux défis . Pour commencer, les pertes dues à la cybercriminalité ont quadruplé pour atteindre 2,5 milliards de dollars depuis 2017 , selon un rapport.

Les grandes entreprises perdent des millions à cause des ransomwares ou, dans le cas de T-Mobile, à cause d'un règlement de 30 millions de dollars pour avoir exposé les données de leurs clients. Une entreprise américaine de cybersécurité a même accidentellement embauché un pirate informatique nord-coréen.

À l’aube du nouveau millénaire, le paysage de la sécurité en ligne continuera à évoluer sous nos pieds collectifs. Comment pouvez-vous vous assurer de rester au courant des dernières tendances ? En parcourant le guide ci-dessous, nous avons passé au peigne fin des dizaines de prédictions, de mises en garde et de prévisions d'experts en cybersécurité pour récolter la crème de la crème.

Voici à quoi s’attendre du monde de la cybersécurité pour la nouvelle année.

Les plus grandes prévisions en matière de cybersécurité pour 2025 :

• Sécurité renforcée pour l'Internet des objets
• L'architecture Zero Trust s'étend au-delà des appareils
• La quantification des risques devient un outil de sécurité essentiel
• Un accent sur les lacunes de niveau intermédiaire en matière de cybercompétences
• Les outils d'IA s'intégreront davantage au protocole de sécurité des entreprises
• Méfiez-vous des actifs sous-gérés

Sécurité renforcée pour l'Internet des objets

L'« Internet des objets » ou IoT fait référence à tous les appareils technologiques connectés à Internet et qui dépendent de mises à jour logicielles, des réfrigérateurs intelligents aux thermostats, en passant par les sonnettes et même les stimulateurs cardiaques. Aujourd’hui, ils se portent tous mieux que jamais, ce qui fait peur à de nombreux experts en cybersécurité, car tous ces appareils sont désormais vulnérables aux cyberattaques.

Daniel Pearson, PDG de KnownHost, note que l'IoT n'est pas réservé aux maisons intelligentes. Les entreprises disposent de nombreux appareils IoT dans leurs locaux : capteurs, équipements de surveillance, systèmes de gestion de l'énergie et articles de bureau quotidiens, notamment des ampoules, des serrures de porte et des systèmes de vidéosurveillance.

Pour faire face au nombre élevé de vulnérabilités potentielles, les entreprises doivent en 2025 « s’assurer que leurs appareils intelligents sont correctement sécurisés à l’aide d’une authentification multifacteur, d’un cryptage régulier et de mises à jour du micrologiciel », explique Pearson.

L'architecture Zero Trust s'étend au-delà des appareils

Les architectures Zero Trust nécessitent une vérification continue pour atténuer les risques d'attaque latérale en minimisant la confiance implicite. En 2025, ces tactiques s’étendront au-delà de la simple sécurité des appareils et commenceront à englober tous les utilisateurs, appareils, applications et interactions.

Ofer Regev, CTO chez Faddom, prévoit que Zero Trust ira au-delà des appareils.

« Zero Trust s’étendra au-delà des appareils et des réseaux pour inclure des cadres de vérification d’identité pour toutes les interactions numériques. Avec l’essor du travail à distance et des systèmes décentralisés, les modèles d’identité traditionnels ne seront pas à la hauteur. Cela nécessitera des outils capables de suivre et de valider les comportements des utilisateurs et des systèmes dans des paysages informatiques dynamiques. -Regev

L’expansion du Zero Trust émergera parce que les professionnels de la cybersécurité continueront à rechercher des mesures supplémentaires pour assurer la sécurité de leurs entreprises.

La quantification des risques devient un outil de sécurité essentiel

Un rapport de Bitsight et Diligent révèle que, même si les entreprises cyber-sécurisées affichent des performances financières quatre fois supérieures à celles de leurs pairs, à peine 5 % des entreprises comptent des cyber-experts dans leurs conseils d'administration.

Comment les professionnels de l’informatique peuvent-ils communiquer avec leurs conseils d’administration ? Quantification des risques, selon Monica Landen, RSSI de Diligent, qui affirme qu'elle deviendra « l'outil le plus puissant et le plus fiable pour communiquer les cyber-risques à votre salle de conseil en 2025 ». Landen compare la quantification des risques dans le secteur de la sécurité à l'évaluation des risques dans le secteur des assurances : En constante amélioration.

« 2025 pourrait être l’année d’une pollinisation plus inter-organisationnelle pour communiquer correctement les cyber-risques au conseil d’administration. Les équipes de sécurité ont toujours été cloisonnées, mais si elles parviennent à lier leurs défis et leurs succès à l’impact sur les clients, au pipeline des ventes ou au développement de produits, ces barrières se détérioreront et l’impact, positif ou négatif, d’une mauvaise sécurité trouvera un écho adéquat auprès du conseil d’administration. -Landen

Les entreprises auront besoin d’un cadre GRC solide pour garantir que la cybersécurité reste la pierre angulaire de leur stratégie globale de gestion des risques pour la nouvelle année. En 2025, la cybersécurité doit être une priorité à tous les niveaux d’une organisation.

Un accent sur les lacunes de niveau intermédiaire en matière de cybercompétences

Le perfectionnement et la reconversion sont des problèmes constants pour les cols blancs chargés de la cybersécurité. Les mises à jour logicielles sont constamment déployées, les travailleurs doivent donc toujours obtenir de nouveaux diplômes et certifications pour suivre le rythme.

Keatron Evans, vice-président de la stratégie d'IA à l'Infosec Institute, prédit que les déficits de compétences – et l'apprentissage nécessaire pour les combler – seront plus importants que jamais en 2025. Et ce ne sont pas seulement les travailleurs débutants qui devront se mettre au travail.

« Lorsque nous parlons des lacunes en matière de compétences en matière de cybersécurité, l’une des erreurs que font souvent les gens est qu’ils attribuent ces lacunes à tous les postes de niveau débutant. Cependant, à l’échelle de l’industrie, nous avons réalisé que certaines des plus grandes lacunes résident dans le besoin de talents expérimentés ayant quelques années de travail à leur actif […] » -Evans

L’industrie verra probablement une augmentation des compétences pratiques ou vérifiables, ainsi que de l’apprentissage immersif nécessaire pour les enseigner, explique Evans, qui ajoute qu’« une partie du défi réside dans le niveau de diplômes et de certifications requis au sein de l’industrie ». Les travailleurs devront équilibrer le risque d’épuisement professionnel et la nécessité de continuer à ajouter de nouvelles certifications.

Ofer Regev pousse le débat sur le déficit de compétences un peu plus loin, prédisant que cela accélérera les outils d'automatisation légers : « La pénurie mondiale de professionnels de l'informatique qualifiés s'aggravera en 2025 », déclare Regev, « poussant les entreprises à adopter des outils automatisés plus légers. Les solutions complexes nécessitant une expertise approfondie perdront du terrain au profit des technologies sans agent qui simplifient rapidement le déploiement et génèrent de la valeur.

Bien entendu, c’est loin d’être la seule prédiction liée à l’utilisation de la technologie de l’IA.

Les outils d'IA s'intégreront davantage aux protocoles de sécurité des entreprises

Les experts en cybersécurité que nous avons consultés pour cet article avaient de nombreuses prédictions différentes concernant l’IA, mais la tendance générale peut se résumer ainsi : l’IA continuera de trouver sa place au sein de l’industrie dans son ensemble. L’IA est depuis longtemps une solution à la recherche d’un problème, et en 2025, elle pourrait commencer à trouver ces problèmes.

Cela pourrait ressembler à une compréhension ascendante croissante de la technologie, comme le soutient Keatron Evans :

« Les personnes qui souhaitent sérieusement conserver une longueur d’avance en matière de cybersécurité doivent se rapprocher de la technologie, et pas seulement de son utilisation par les consommateurs. L’année prochaine sera l’année où il faudra véritablement plaider pour la compréhension de la technologie sous-jacente et de son fonctionnement – ​​cela rendra les employés de façon exponentielle plus précieux. -Evans

Selon le rapport 2025 Forecast de la société de confidentialité des données Kiteworks, cela pourrait ressembler à un renforcement des risques en matière de sécurité des données que le recours à la formation aux données entraînera.

« En 2025, des réglementations mondiales plus strictes exigeront transparence et responsabilité dans la gestion des données d’IA, les organisations étant confrontées à des sanctions en cas de mauvaise gestion des contenus sensibles. Pour lutter contre ces menaces, les entreprises doivent mettre en œuvre des cadres de gouvernance de l’IA robustes, donner la priorité aux technologies préservant la confidentialité et adopter des pratiques de développement de modèles sécurisés pour garantir la conformité et préserver la confiance. -Travaux de cerfs-volants

L'IA alimentera également l'automatisation des sauvegardes, déclare Sebastian Straub, architecte de solutions principal chez N2W.

« 2025 verra le début de systèmes de sauvegarde avec une intervention administrative quasi nulle. L'IA apprendra les modèles complexes d'utilisation des données, les exigences de conformité et les besoins organisationnels, devenant ainsi un expert proactif en gestion des données, déterminant de manière autonome ce qui doit être sauvegardé et quand, y compris le respect des normes de conformité telles que RGPD, HIPAA ou PCI DSS. -Straub

Cependant, l’adaptation de l’IA est une bataille difficile. Staub prévient également que l’IA n’est « pas une solution miracle » et que nous verrons encore de nombreux « malheureux abus de confiance et violations de conformité » alors que les entreprises luttent pour intégrer l’IA dans leurs systèmes en 2025 et au-delà.

Méfiez-vous des actifs sous-gérés

Tim Matthews, directeur marketing chez CyCognito, affirme que nous assisterons à une augmentation des violations de données dues à des « actifs inconnus et sous-gérés ». Matthews prédit que 70 % des violations en 2025 seront attribuées à ces actifs, ce qui représente une augmentation par rapport aux 60 % estimés aujourd'hui par de nombreux analystes.

« Cela sera alimenté par des surfaces d’attaque croissantes et de plus en plus complexes, des migrations vers le cloud, des dépendances tierces et une infrastructure de travail à distance. Les organisations seront obligées de passer d’une sécurité réactive et spécifique aux actifs à une approche axée sur la découverte qui se concentre sur les éléments en dehors de l’inventaire connu. -Matthieu

Cela concorde avec les prévisions plus larges sur les tendances technologiques que nous avons recueillies auprès de professionnels de la technologie dans de nombreux autres secteurs : des mesures plus proactives seront nécessaires en 2025, et pas seulement des mesures réactives.

En fin de compte, l’histoire reste la même pour le secteur de la sécurité en ligne. Qu’il s’agisse de fonctions d’IA, d’architecture Zero Risk ou de quantification des risques, tout cela marque une course constante aux armements de perfectionnement entre les mauvais acteurs et les professionnels de la cybersécurité, sans véritable fin en vue.