Le cabinet conseil Forrester, publie une prévision sur le paysage des risques en termes de cybersécurité pour l’année prochaine. Cette analyse prévisionnelle annonce la persistance des causes essentielles d’incidents que sont l’absence de correctifs et l'ingénierie sociale. En Europe, en 2024, un quart des RSSI ont déclaré avoir été victimes d'exploitation de vulnérabilités logicielles et pour 24 % d’entre eux, des attaques par phishing (hameçonnage). En France, les responsables en cybersécurité ayant subi une attaque externe ont signalé le phishing (23 %) et les violations de la chaîne d'approvisionnement des logiciels (20 %) parmi les vecteurs d'attaque les plus courants.
Avec les risques cyber et les obligations règlementaires de l’UE telles l’AI Act, NIS 2, CRA et DORA, les RSSI et leurs équipes auront du pain sur la planche en 2025. Parmi les trois principales prévisions de Forrester, au moins un fournisseur de solutions d’IA générative (IAGen) sera visé par une instruction judiciaire liée assortie d’une amende, au nom de l’application de l’IA ACT. Une enquête d’Arize AI citée sur notre site indiquait que 69,4 % des entreprises citaient l’IA générative comme une menace externe pour
la concurrence ou la sécurité.
D’autre part, une violation majeure de dispositifs d’IoT devrait perturber de nombreux équipements connectés. Cela dit, nul besoin d’être devin pour anticiper un tel risque.
Les coûts des recours collectifs liés aux violations dépasseront de 50 % celui des amendes réglementaires
Plus intéressant, les actions collectives de la part de clients ou salariés contre les entreprises au titre de la violation des données personnelles ou sensibles seront une épine de plus dans le pied des RSSI et dirigeants. Forrester affirme que ce type d’actions de groupe qui s’inspirent des « class actions » américaines dépasseront de moitié les amendes règlementaires. Une prévision qui ne devrait pas rassurer les responsableset services juridiques.
Indicateur alarmant, le pourcentage d'entreprises confrontées à des recours collectifs a atteint son niveau le plus élevé depuis 13 ans. Les RSSI devront-ils contribuer au fonds de défense des recours collectifs de l'entreprise en 2025 ? C’est ce qu’affirme Forrester bien que la responsabilité des RSSI soit un point de droit délicat qui doit être tranché au cas par cas sur le plan civil, pénal et disciplinaire.
Parmi les autres menaces de cybersécurité en Europe en 2024, figure l'escalade des tensions régionales avec des tactiques de cyberespionnage qui évoluent considérablement.
Forrester rappelle aussi que les attaques contre la chaîne d'approvisionnement coûtent plus d'un million de dollars aux entreprises. Ainsi, 82 % des décideurs européens en matière de sécurité qui ont subi des attaques impliquant l'exploitation d'un fournisseur tiers ou d'une chaîne d'approvisionnement en logiciels ont déclaré un coût cumulé de violation d'un million de dollars ou plus. Cela dit, 65 % des entreprises européennes n'ont pas subi d'attaques impliquant leur chaîne d'approvisionnement.
Dans tous les cas, les entreprises ne devront pas baisser la garde en 2025.