Les responsables de la scurit et de la gestion des risques (Security and risk management : SRM) doivent repenser l'quilibre de leurs investissements entre la technologie et les lments centrs sur l'humain lorsqu'ils crent et mettent en uvre des programmes de cyberscurit, conformment aux neuf principales tendances du secteur, selon Gartner. Une approche de la cyberscurit centre sur l'Homme est essentielle pour rduire les dfaillances de scurit. En mettant l'accent sur les personnes dans la conception et la mise en uvre des contrles, ainsi que dans les communications d'entreprise et la gestion des talents en matire de cyberscurit, il sera possible d'amliorer les dcisions relatives aux risques d'entreprise et de fidliser le personnel charg de la cyberscurit , a dclar Richard Addiscott, directeur principal de l'analyse chez Gartner.Pour faire face aux risques de cyberscurit et maintenir un programme de cyberscurit efficace, les responsables de la gestion des risques et de la scurit doivent se concentrer sur trois domaines cls : (i) le rle essentiel des personnes pour le succs et la durabilit du programme de scurit ; (ii) les capacits techniques de scurit qui offrent une plus grande visibilit et une meilleure ractivit dans l'cosystme numrique de l'organisation ; et (iii) la restructuration de la faon dont la fonction de scurit fonctionne pour permettre l'agilit sans compromettre la scurit.
Les neuf tendances suivantes auront un impact important sur les responsables SRM dans ces trois domaines :
Tendance 1 : conception de la scurit centre sur l'Homme
La conception de la scurit centre sur l'humain donne la priorit au rle de l'exprience des employs dans le cycle de vie de la gestion des contrles. D'ici 2027, 50 % des responsables de la scurit des informations des grandes entreprises ( chief information security officers : CISO) auront adopt des pratiques de conception de la scurit centres sur l'humain afin de minimiser les frictions induites par la cyberscurit et de maximiser l'adoption des contrles.
Les programmes traditionnels de sensibilisation la scurit n'ont pas russi rduire les comportements non scuriss des employs. Les RSSI doivent examiner les incidents de cyberscurit passs pour identifier les principales sources de friction induites par la cyberscurit et dterminer o ils peuvent allger le fardeau des employs grce des contrles plus centrs sur l'humain ou retirer les contrles qui ajoutent de la friction sans rduire le risque de manire significative , a dclar Addiscott.
Tendance 2 : Amliorer la gestion du personnel pour assurer la prennit du programme de scurit
Traditionnellement, les responsables de la cyberscurit se concentrent sur l'amlioration de la technologie et des processus qui soutiennent leurs programmes, sans se proccuper des personnes qui sont l'origine de ces changements. Les RSSI qui adoptent une approche de gestion des talents centre sur l'humain pour attirer et retenir les talents ont constat des amliorations dans leur maturit fonctionnelle et technique. D'ici 2026, Gartner prvoit que 60 % des organisations passeront du recrutement externe au recrutement discret partir des marchs de talents internes pour relever les dfis systmiques en matire de cyberscurit et de recrutement.
Tendance 3 : Transformer le modle oprationnel de la cyberscurit pour soutenir la cration de valeur
La technologie se dplace des fonctions informatiques centrales vers les lignes d'activit, les fonctions d'entreprise, les quipes de fusion et les employs individuels. Une tude de Gartner a rvl que 41 % des employs effectuent une forme ou une autre de travail technologique, une tendance qui devrait continuer crotre au cours des cinq prochaines annes.
Les chefs d'entreprise reconnaissent aujourd'hui que le risque de cyberscurit est un risque commercial majeur grer, et non un problme technologique rsoudre. Soutenir et acclrer les rsultats de l'entreprise est une priorit essentielle de la cyberscurit, mais reste un dfi majeur , a dclar Addiscott.
Les RSSI doivent modifier le modle oprationnel de leur cyberscurit pour intgrer la manire dont le travail est effectu. Les employs doivent savoir comment quilibrer un certain nombre de risques, notamment les risques lis la cyberscurit, aux finances, la rputation, la concurrence et la lgislation. La cyberscurit doit galement tre lie la valeur de l'entreprise en mesurant et en rapportant le succs aux rsultats et aux priorits de l'entreprise.
Tendance 4 : Gestion de l'exposition aux menaces
La surface d'attaque des entreprises modernes est complexe et cre de la fatigue. Les RSSI doivent faire voluer leurs pratiques d'valuation pour comprendre leur exposition aux menaces en mettant en uvre des programmes de gestion continue de l'exposition aux menaces (continuous threat exposure management : CTEM). Gartner prvoit que d'ici 2026, les organisations qui priorisent leurs investissements en matire de scurit sur la base d'un programme CTEM subiront deux tiers de violations en moins.
Les RSSI doivent continuellement affiner leurs pratiques d'valuation des menaces pour suivre l'volution des pratiques de travail de leur organisation, en utilisant une approche CTEM pour valuer plus que les seules vulnrabilits technologiques , a dclar Addiscott.
Tendance 5 : Immunit de la structure d'identit
La fragilit de l'infrastructure d'identit est due des lments incomplets, mal configurs ou vulnrables de la structure d'identit. D'ici 2027, les principes d'immunit de la structure d'identit empcheront 85 % des nouvelles attaques et rduiront ainsi l'impact financier des violations de 80 %.
L'immunit de la structure d'identit ne protge pas seulement les composants IAM existants et nouveaux de la structure avec la rponse de dtection et de menace d'identit (identity threat and detection response : ITDR), mais elle la fortifie galement en la compltant et en la configurant correctement , a dclar Addiscott.
Tendance 6 : validation de la cyberscurit
La validation de la cyberscurit regroupe les techniques, les processus et les outils utiliss pour valider la manire dont les attaquants potentiels exploitent une menace identifie. Les outils ncessaires la validation de la cyberscurit progressent considrablement pour automatiser les aspects reproductibles et prvisibles des valuations, ce qui permet de comparer rgulirement les techniques d'attaque, les contrles de scurit et les processus. D'ici 2026, plus de 40 % des organisations, dont les deux tiers des entreprises de taille moyenne, s'appuieront sur des plateformes consolides pour effectuer des valuations de validation de la cyberscurit.
Tendance 7 : Consolidation des plateformes de cyberscurit
Alors que les entreprises cherchent simplifier leurs oprations, les fournisseurs consolident leurs plateformes autour d'un ou plusieurs domaines majeurs de la cyberscurit. Par exemple, les services de scurit de l'identit peuvent tre offerts par le biais d'une plateforme commune qui combine les fonctions de gouvernance, d'accs privilgi et de gestion des accs. Les responsables SRM doivent continuellement inventorier les contrles de scurit pour comprendre o se situent les chevauchements et rduire la redondance grce des plateformes consolides.
Tendance 8 : les entreprises composables ont besoin d'une scurit composable
Les entreprises doivent passer de systmes monolithiques des capacits modulaires dans leurs applications pour rpondre l'acclration du rythme des changements. La scurit composable est une approche dans laquelle les contrles de cyberscurit sont intgrs dans des modles architecturaux, puis appliqus un niveau modulaire dans des implmentations technologiques composables. D'ici 2027, plus de 50 % des applications professionnelles de base seront construites l'aide d'une architecture composable, ce qui ncessitera une nouvelle approche de la scurisation de ces applications.
La scurit composable est conue pour protger les activits composables. La cration d'applications avec des composants composables introduit des dpendances non dcouvertes. Pour les RSSI, il s'agit d'une opportunit importante d'intgrer la confidentialit et la scurit ds la conception en crant des objets de contrle de scurit rutilisables bass sur des composants , a dclar Addiscott.
Tendance 9 : Les conseils d'administration largissent leurs comptences en matire de contrle de la cyberscurit
L'attention accrue porte par les conseils d'administration la cyberscurit s'explique par la tendance la responsabilisation explicite en matire de cyberscurit, qui se traduit par des responsabilits accrues pour les membres des conseils d'administration dans le cadre de leurs activits de gouvernance. Les responsables de la cyberscurit doivent fournir aux conseils d'administration des rapports dmontrant l'impact des programmes de cyberscurit sur les buts et objectifs de l'organisation.
Les responsables des SRM doivent encourager la participation active du conseil d'administration et son engagement dans la prise de dcision en matire de cyberscurit. Ils doivent agir en tant que conseillers stratgiques et formuler des recommandations sur les mesures prendre par le conseil d'administration, notamment en ce qui concerne l'affectation des budgets et des ressources la scurit , a dclar Addiscott.
Source : Gartner
Et vous ?
Quel est votre avis sur le sujet ?
Etes-vous davis quune approche centre sur lhumain rendra la cyberscurit efficace ?
Voir aussi :
Tendances cyberscurit : 2022 devrait voir un renforcement des lgislations et des normes de scurit, mais aussi une inquitante monte en puissance des ransomwares et des risques technologiques
Trois conseils pour optimiser la formation sur la cyberscurit dispense par votre entreprise, par Chrystal Taylor, Head Geek, SolarWinds
85 % des dcideurs informatiques en Amrique du Nord vont augmenter leur budget de cyberscurit de 50 %, l'investissement dans la cyberassurance est galement une tendance croissante
