KnowBe4, fournisseur de la plus grande plateforme mondiale de formation à la sensibilisation à la sécurité et de simulation d’hameçonnage, a annoncé ses prédictions pour 2024 en matière de cybersécurité pour l’Europe, le Moyen-Orient et l’Afrique (EMEA), établies par son équipe d’experts locaux du secteur.
Les cybermenaces sont plus sophistiquées et plus complexes que jamais et évoluent rapidement grâce à de nouvelles technologies comme l’IA qui se perfectionnent de jour en jour. Il est essentiel de développer une culture de la sécurité pour renforcer le pare-feu humain d’une organisation.
Les tendances prévues en matière de cybersécurité pour 2024 sont les suivantes :
- Attaques contre les services de Cloud
L’augmentation des attaques contre les services de Cloud signifie malheureusement que nous assisterons à des attaques réussies contre les fournisseurs de services ou les applications basées sur le Cloud, voire les deux. Il en résultera potentiellement une perte de disponibilité des services, une violation des données personnelles et de la propriété intellectuelle. Il est intéressant de noter que le Royaume-Uni est le pays le plus ciblé de la zone EMEA et qu’il est donc plus susceptible de faire l’objet d’attaques.
- Collaboration et partage d’informations
L’accent sera davantage mis sur la collaboration et le partage d’informations entre les agences de cybersécurité nationales et internationales et, à terme, entre les partenariats publics et privés afin de lutter contre la cybercriminalité, de s’attaquer aux menaces qui pèsent sur les états et les nations et de détecter et répondre de manière proactive aux cybermenaces émergentes.
- Législation sur l’IA
Une législation très attendue sur l’IA, et plus particulièrement sur l’IA générative, verra le jour dans toute l’Europe au cours de l’année prochaine. Les lois sont incroyablement vagues à l’heure actuelle, ouvrant la voie à des interprétations erronées et à des abus de la part des organisations. Le Digital Service Act et la proposition de loi de l’Union européenne sur l’IA font partie des textes législatifs qui obligeront les fournisseurs d’IA générative dans l’UE à être plus transparents et à respecter les exigences en matière d’obligations de divulgation, ce qui permettra aux organisations de savoir clairement ce qui est autorisé et ce qui ne l’est pas.
Parallèlement, l’Afrique ne dispose pas de législation en matière d’IA à l’heure actuelle. Toutefois, trois pays africains, l’île Maurice, l’Égypte et le Kenya, se sont efforcés d’élaborer des programmes d’action spécifiquement consacrés à l’IA.
En revanche, le Centre financier international de Dubaï (DIFC) a déjà promulgué des amendements à sa réglementation sur la protection des données au début de l’année. De nouvelles exigences sur le traitement des données personnelles par des systèmes autonomes et semi-autonomes, comme l’IA, ont été introduites et sont applicables à partir du 1er septembre 2023. Il s’agit de l’une des premières législations des Émirats Arabes Unis en matière d’IA.
- Les attaques par rançongiciel visent les services de la chaîne d’approvisionnement
Les groupes de cybercriminels spécialisés dans les rançongiciels continueront d’intensifier leurs attaques qui seront davantage ciblées et dirigées contre les services de la chaîne d’approvisionnement afin de perturber et de compromettre les organisations du monde entier.
- La formation interne et l’IA pour réduire le déficit de compétences en cybersécurité
Selon l’ISACA, l’UE connaît actuellement une pénurie de 260 000 à 500 000 spécialistes du secteur technologique. Le rapport de Microsoft sur la défense numérique montre que la demande de compétences en cybersécurité a augmenté en moyenne de 35 % en Afrique rien qu’en 2022, et une étude récente de Trellix a révélé que 66 % des responsables informatiques des Émirats Arabes Unis et d’Arabie Saoudite pensent que leurs organisations ne disposent pas du personnel ou des processus adéquats pour être cyber-résilientes.
Cette importante pénurie de compétences n’est pas près d’être comblée, laissant ainsi les organisations vulnérables aux cyberattaques. Les organisations n’auront d’autre choix que de recruter des collaborateurs dans le secteur des technologies moins qualifiés et moins diplômés pour tenter de lutter contre la cybercriminalité. Par ailleurs, elles continueront à combler le déficit de compétences en formant les employés de tous les services pour qu’ils deviennent un pare-feu humain contre les cyberattaques et utiliseront la défense alimentée par l’IA pour une meilleure détection des menaces et une meilleure réponse aux incidents.
- Les campagnes de désinformation conduisent à des tentatives d’extorsion
Les campagnes de désinformation seront utilisées pour lancer des attaques ou pour détourner l’attention des attaques en cours. On peut s’attendre à voir des offres de services liées sur le dark web, ce qui donnera naissance à la désinformation en tant que service. Cela aura un impact sur la politique et le secteur privé. La désinformation devient un outil dans la panoplie des cybercriminels qui cherchent à soutirer de l’argent à des entreprises privées légitimes par le biais de tentatives d’extorsion. Les attaquants utiliseront de plus en plus de deep fakes, comme la vidéo et la voix.
- Le respect de la vie privée à la demande
Les réglementations en matière de protection de la vie privée obligent les organisations à s’adapter et nous verrons la protection de la vie privée dès la conception et la protection de l’expérience utilisateur gagner du terrain. En particulier, le recours à l’IA générative dans les organisations, les considérations éthiques et la prise en compte de la protection de la vie privée dès la conception deviendront plus fréquents.
- La cyber-résilience deviendra une priorité
Veiller à ce que les organisations continuent de fonctionner malgré les cyberattaques restera une priorité stratégique pour beaucoup, qui reconnaissent que la mise en place d’une telle stratégie est vitale. Les organisations mettront davantage l’accent sur le développement et l’entretien d’une culture de la sécurité, car c’est l’un des meilleurs moyens de protéger leurs données et leurs systèmes contre les cyberattaques, et de veiller à ce que les attaques soient détectées et signalées rapidement en cas de succès.
« Les cyberattaques comme l’hameçonnage sont de plus en plus difficiles à détecter », a déclaré Stu Sjouwerman, PDG de KnowBe4. « Il est impératif que les collaborateurs gardent à l’esprit la menace des attaques d’hameçonnage et ne se laissent pas aller à la complaisance. Cela n’est possible que grâce à des formations récurrentes de sensibilisation à la sécurité et à des simulations d’hameçonnage, afin que les utilisateurs finaux aient les connaissances nécessaires pour identifier les attaques d’hameçonnage, les signaler et mieux protéger leur organisation. Cela revient à construire une véritable culture de la sécurité et nous verrons les organisations continuer à se concentrer sur ce point en 2024. »
Communiqué
