Au bord de la crise d'épuisement des CISO, comment la cybersécurité va évoluer en 2025 ?
Les CISO, sous pression et menacés d'épuisement, doivent faire face à des cyberattaques croissantes. En 2025, une culture sans blâme et proactive est cruciale.
Alors que les responsables de la sécurité des systèmes d'information (CISO) sont au bord de l’épuisement, la cybersécurité va continuer d’évoluer au cours de l’année 2025.
Les responsables de la cybersécurité sont comparables aux arbitres de football : ils ne sont sous les feux des projecteurs que lorsque quelque chose ne va pas. Tout comme leurs homologues sportifs, les CISO sont soumis à une pression énorme pour obtenir des résultats.
Mais la comparaison s'arrête là. Malgré les nombreuses réglementations, il n'existe pas de règles d'engagement convenues entre les équipes de sécurité et les cybercriminels. Les règles du jeu changent constamment et les CISO sont chargés de se défendre contre un arsenal de cybermenaces en constante évolution.
On estime que les CISO ne restent en poste que 18 à 24 mois. Pour lutter contre ce taux de rotation élevé et soutenir les personnes qui assument cette tâche souvent ingrate, les organisations doivent remettre à zéro la « culture du blâme » afin d'éviter un burnout des CISO en 2025.
Il est temps d'arrêter le jeu des reproches
La cybercriminalité est extrêmement répandue. Avec l'essor de l'IA, il devient de plus en plus difficile de faire la différence entre une demande authentique émanant d'une personne que vous connaissez et un escroc. Après une cyberattaque, les victimes continuent de ressentir un impact psychologique pendant au moins dix semaines, mais la majorité n'en parle pas. Les cybercriminels exploitent les vulnérabilités et la stigmatisation de la cybercriminalité qui réduit les victimes au silence.
Dans le passé, nous avons vu des entreprises tenter de supprimer les détails d'une violation pour sauver la face - mais cela ne fait que jouer en faveur des cybercriminels. L'une des meilleures armes contre les cybercriminels est le partage des connaissances et la compréhension du « comment » de l'attaque plutôt que de s'interroger sur le « pourquoi ». Heureusement, les nouvelles réglementations qui entrent progressivement en vigueur - NIS2 et DORA - exigent que les incidents soient signalés dans les 24 heures suivant leur détection.
Je souhaite que le secteur de la cybersécurité s'inspire de celui du transport aérien en 2025. Pour les opérateurs aériens, le paramètre le plus important est la sécurité. C'est pourquoi ils mettent en œuvre une « culture juste » et veillent à ce que chaque employé puisse signaler des problèmes sans craindre d'être blâmé pour avoir commis des erreurs honnêtes. Cela permet d'éviter que la même erreur ou le même exploit ne soit exploité à maintes reprises.
2025 : l'année où il vaut la peine d'être pessimiste
En 2025, votre entreprise sera victime d'une cyberattaque. Avec des cybercriminels sophistiqués qui passent outre les défenses traditionnelles, les entreprises doivent repenser leur politique en matière d'intrusion.
Ces incidents ne doivent pas être traités comme un délit passible de licenciement. La meilleure façon de modifier les perceptions est de devenir plus pessimiste et d'adopter l'état d'esprit de la violation présumée. Le fait de penser non seulement à empêcher les criminels d'entrer, mais aussi à ce qu'il faut faire lorsqu'ils parviennent à pénétrer dans l'entreprise, encouragera les investissements dans la détection des menaces, les plans de réaction et les architectures de zero trust.
2025 prouvera que les entreprises qui se préparent sont mieux équipées pour identifier et atténuer les intrusions à un stade précoce, limiter les dégâts et renforcer leur résilience.