L’année 2023 n’avait pas commencé sous les meilleurs auspices avec des faillites bancaires, la poursuite des licenciements dans le secteur technologique et l'apparition de mesures d'austérité dans les entreprises. De sombres évènements qui ont fait place à une légère reprise de la croissance. Surtout, les promesses de l’IA générative ont relancé l’optimisme des dirigeants. Dans son analyse prospective pour l’année qui vient, Forrester dégage cinq axes majeurs pour 2024.
D’une part, la sécurité Zero Trust, « confiance zéro » est un concept qui fait appel à la gestion rigoureuse des identités. Il continuera de se développer. Pour l’heure, les emplois à pourvoir le sont surtout aux Etats-Unis. Ces postes nécessitent des compétences dans les domaines de l’architecture IT, de l'ingénierie, de la gouvernance, de la stratégie et bien entendu du Zero Trust.
D’autre part, le poids croissant de l’IA générative et de l’IA dans la génération de code informatique fait craindre des risques de violation de données. Forrester fait mention des «Turing bots» ces outils d’assistance à la programmation utilisés par les développeurs, susceptibles de créer des vulnérabilités dans les programmes. Cette aide de l’IA au développement concernerait 49 % des professionnels qui ont une connaissance des TuringBots, les pilotent, les mettent en œuvre ou vont le faire. En l'absence d’analyse des failles possibles dans les programmes, Forrester prévoit que des brèches seront publiquement attribuées à un code non sécurisé généré par l'IA. Ces failles liées aux dépendances auxquelles fait appel l’IA, s’ajoutent aux failles classiques lors du développement. Une étude récente a démontré une proportion importante d’utilisation des API, en l’occurrence, celles de l’IA.
Des amendes à prévoir pour ChatGPT ainsi qu’une augmentation des primes des assureurs
OpenAI, à l’origine de ChatGPT est actuellement sous le coup d’une enquête en Italie et en Pologne pour violation du RGPD. Mais certaines applications risquent aussi de devoir répondre de ce type d’accusation. Ces problèmes sont liés au manque de ressources et d'expertise pour les corriger.Le secteur des cyberassurances collecte de plus en plus d’informations sur les sinistres et selon Forrester, deux fournisseurs de technologies de sécurité seront considérés comme des signaux d'alarme par les assureurs. Des brèches telles la vulnérabilité zero day du
31 mai 2023 du logiciel de transfert de fichiers MOVEit, a été attaquée avec succès par les pirates, ce qui a fortement attiré l’attention des cyberassureurs. Le recours à des fournisseurs jugés à risques par les assureurs entraînera une augmentation des primes et de nouvelles exigences en matière de gestion des vulnérabilités, voire, plus grave, un refus de couverture.
Le facteur humain en cause dans 74 % des violations de données
Les violations de données sont souvent issues d’un élément humain (erreurs, abus de privilèges, utilisation d'informations d'identification volées ou ingénierie sociale). Le pourcentage de brèches incluant un facteur humain augmentera en 2024 en raison de l'impact de la genAI (IA générative) et de la prévalence des canaux de communication qui rendent possibles les attaques d'ingénierie sociale.En 2024, les RSSI seront de plus en plus nombreux à passer à la protection humaine adaptative, à mesure que le NIST (Institut national des normes et de la technologie américain) mettra ses directives à jour sur la sensibilisation. La formation des équipes et la collecte d'informations utiles viendront compléter ce champ d’analyse des risques.