Les responsables de la sécurité et de la gestion des risques (Security and risk management : SRM) doivent repenser l'équilibre de leurs investissements entre la technologie et les éléments centrés sur l'humain lorsqu'ils créent et mettent en œuvre des programmes de cybersécurité, conformément aux neuf principales tendances du secteur, selon Gartner. « Une approche de la cybersécurité centrée sur l'Homme est essentielle pour réduire les défaillances de sécurité. En mettant l'accent sur les personnes dans la conception et la mise en œuvre des contrôles, ainsi que dans les communications d'entreprise et la gestion des talents en matière de cybersécurité, il sera possible d'améliorer les décisions relatives aux risques d'entreprise et de fidéliser le personnel chargé de la cybersécurité », a déclaré Richard Addiscott, directeur principal de l'analyse chez Gartner.
Pour faire face aux risques de cybersécurité et maintenir un programme de cybersécurité efficace, les responsables de la gestion des risques et de la sécurité doivent se concentrer sur trois domaines clés : (i) le rôle essentiel des personnes pour le succès et la durabilité du programme de sécurité ; (ii) les capacités techniques de sécurité qui offrent une plus grande visibilité et une meilleure réactivité dans l'écosystème numérique de l'organisation ; et (iii) la restructuration de la façon dont la fonction de sécurité fonctionne pour permettre l'agilité sans compromettre la sécurité.
Les neuf tendances suivantes auront un impact important sur les responsables SRM dans ces trois domaines :
Tendance 1 : conception de la sécurité centrée sur l'Homme
La conception de la sécurité centrée sur l'humain donne la priorité au rôle de l'expérience des employés dans le cycle de vie de la gestion des contrôles. D'ici 2027, 50 % des responsables de la sécurité des informations des grandes entreprises ( chief information security officers : CISO) auront adopté des pratiques de conception de la sécurité centrées sur l'humain afin de minimiser les frictions induites par la cybersécurité et de maximiser l'adoption des contrôles.
« Les programmes traditionnels de sensibilisation à la sécurité n'ont pas réussi à réduire les comportements non sécurisés des employés. Les RSSI doivent examiner les incidents de cybersécurité passés pour identifier les principales sources de friction induites par la cybersécurité et déterminer où ils peuvent alléger le fardeau des employés grâce à des contrôles plus centrés sur l'humain ou retirer les contrôles qui ajoutent de la friction sans réduire le risque de manière significative », a déclaré Addiscott.
Tendance 2 : Améliorer la gestion du personnel pour assurer la pérennité du programme de sécurité
Traditionnellement, les responsables de la cybersécurité se concentrent sur l'amélioration de la technologie et des processus qui soutiennent leurs programmes, sans se préoccuper des personnes qui sont à l'origine de ces changements. Les RSSI qui adoptent une approche de gestion des talents centrée sur l'humain pour attirer et retenir les talents ont constaté des améliorations dans leur maturité fonctionnelle et technique. D'ici 2026, Gartner prévoit que 60 % des organisations passeront du recrutement externe au « recrutement discret » à partir des marchés de talents internes pour relever les défis systémiques en matière de cybersécurité et de recrutement.
Tendance 3 : Transformer le modèle opérationnel de la cybersécurité pour soutenir la création de valeur
La technologie se déplace des fonctions informatiques centrales vers les lignes d'activité, les fonctions d'entreprise, les équipes de fusion et les employés individuels. Une étude de Gartner a révélé que 41 % des employés effectuent une forme ou une autre de travail technologique, une tendance qui devrait continuer à croître au cours des cinq prochaines années.
« Les chefs d'entreprise reconnaissent aujourd'hui que le risque de cybersécurité est un risque commercial majeur à gérer, et non un problème technologique à résoudre. Soutenir et accélérer les résultats de l'entreprise est une priorité essentielle de la cybersécurité, mais reste un défi majeur », a déclaré Addiscott.
Les RSSI doivent modifier le modèle opérationnel de leur cybersécurité pour intégrer la manière dont le travail est effectué. Les employés doivent savoir comment équilibrer un certain nombre de risques, notamment les risques liés à la cybersécurité, aux finances, à la réputation, à la concurrence et à la législation. La cybersécurité doit également être liée à la valeur de l'entreprise en mesurant et en rapportant le succès aux résultats et aux priorités de l'entreprise.
Tendance 4 : Gestion de l'exposition aux menaces
La surface d'attaque des entreprises modernes est complexe et crée de la fatigue. Les RSSI doivent faire évoluer leurs pratiques d'évaluation pour comprendre leur exposition aux menaces en mettant en œuvre des programmes de gestion continue de l'exposition aux menaces (continuous threat exposure management : CTEM). Gartner prévoit que d'ici 2026, les organisations qui priorisent leurs investissements en matière de sécurité sur la base d'un programme CTEM subiront deux tiers de violations en moins.
« Les RSSI doivent continuellement affiner leurs pratiques d'évaluation des menaces pour suivre l'évolution des pratiques de travail de leur organisation, en utilisant une approche CTEM pour évaluer plus que les seules vulnérabilités technologiques », a déclaré Addiscott.
Tendance 5 : Immunité de la structure d'identité
La fragilité de l'infrastructure d'identité est due à des éléments incomplets, mal configurés ou vulnérables de la structure d'identité. D'ici 2027, les principes d'immunité de la structure d'identité empêcheront 85 % des nouvelles attaques et réduiront ainsi l'impact financier des violations de 80 %.
« L'immunité de la structure d'identité ne protège pas seulement les composants IAM existants et nouveaux de la structure avec la réponse de détection et de menace d'identité (identity threat and detection response : ITDR), mais elle la fortifie également en la complétant et en la configurant correctement », a déclaré Addiscott.
Tendance 6 : validation de la cybersécurité
La validation de la cybersécurité regroupe les techniques, les processus et les outils utilisés pour valider la manière dont les attaquants potentiels exploitent une menace identifiée. Les outils nécessaires à la validation de la cybersécurité progressent considérablement pour automatiser les aspects reproductibles et prévisibles des évaluations, ce qui permet de comparer régulièrement les techniques d'attaque, les contrôles de sécurité et les processus. D'ici 2026, plus de 40 % des organisations, dont les deux tiers des entreprises de taille moyenne, s'appuieront sur des plateformes consolidées pour effectuer des évaluations de validation de la cybersécurité.
Tendance 7 : Consolidation des plateformes de cybersécurité
Alors que les entreprises cherchent à simplifier leurs opérations, les fournisseurs consolident leurs plateformes autour d'un ou plusieurs domaines majeurs de la cybersécurité. Par exemple, les services de sécurité de l'identité peuvent être offerts par le biais d'une plateforme commune qui combine les fonctions de gouvernance, d'accès privilégié et de gestion des accès. Les responsables SRM doivent continuellement inventorier les contrôles de sécurité pour comprendre où se situent les chevauchements et réduire la redondance grâce à des plateformes consolidées.
Tendance 8 : les entreprises composables ont besoin d'une sécurité composable
Les entreprises doivent passer de systèmes monolithiques à des capacités modulaires dans leurs applications pour répondre à l'accélération du rythme des changements. La sécurité composable est une approche dans laquelle les contrôles de cybersécurité sont intégrés dans des modèles architecturaux, puis appliqués à un niveau modulaire dans des implémentations technologiques composables. D'ici à 2027, plus de 50 % des applications professionnelles de base seront construites à l'aide d'une architecture composable, ce qui nécessitera une nouvelle approche de la sécurisation de ces applications.
« La sécurité composable est conçue pour protéger les activités composables. La création d'applications avec des composants composables introduit des dépendances non découvertes. Pour les RSSI, il s'agit d'une opportunité importante d'intégrer la confidentialité et la sécurité dès la conception en créant des objets de contrôle de sécurité réutilisables basés sur des composants », a déclaré Addiscott.
Tendance 9 : Les conseils d'administration élargissent leurs compétences en matière de contrôle de la cybersécurité
L'attention accrue portée par les conseils d'administration à la cybersécurité s'explique par la tendance à la responsabilisation explicite en matière de cybersécurité, qui se traduit par des responsabilités accrues pour les membres des conseils d'administration dans le cadre de leurs activités de gouvernance. Les responsables de la cybersécurité doivent fournir aux conseils d'administration des rapports démontrant l'impact des programmes de cybersécurité sur les buts et objectifs de l'organisation.
« Les responsables des SRM doivent encourager la participation active du conseil d'administration et son engagement dans la prise de décision en matière de cybersécurité. Ils doivent agir en tant que conseillers stratégiques et formuler des recommandations sur les mesures à prendre par le conseil d'administration, notamment en ce qui concerne l'affectation des budgets et des ressources à la sécurité », a déclaré Addiscott.
Source : Gartner
Et vous ?
Trouvez-vous cette analyse de Gartner pertinente ? Quel est votre avis sur le sujet ?
Etes-vous d’avis qu’une approche centrée sur l’humain rendra la cybersécurité efficace ?
Voir aussi :
Gartner identifie les 7 principales tendances en matière de sécurité et de gestion des risques pour 2022, pour protéger une empreinte numérique en expansion contre les menaces émergentes
Tendances cybersécurité : 2022 devrait voir un renforcement des législations et des normes de sécurité, mais aussi une inquiétante montée en puissance des ransomwares et des risques technologiques
Trois conseils pour optimiser la formation sur la cybersécurité dispensée par votre entreprise, par Chrystal Taylor, Head Geek, SolarWinds
85 % des décideurs informatiques en Amérique du Nord vont augmenter leur budget de cybersécurité de 50 %, l'investissement dans la cyberassurance est également une tendance croissante
Gartner identifie les principales tendances en matière de cybersécurité pour 2023
Les chefs de la sécurité doivent s'orienter vers une approche centrée sur l'humain pour une cybersécurité efficace
Gartner identifie les principales tendances en matière de cybersécurité pour 2023
Les chefs de la sécurité doivent s'orienter vers une approche centrée sur l'humain pour une cybersécurité efficace
Le , par Nancy Rey
Une erreur dans cette actualité ? Signalez-nous-la !