Cybersécurité 2025 : les pronostics de Patrowl
Quels sont les risques cybersécurité majeurs auxquels les entreprises françaises seront exposées en 2025 ? Voici 4 pronostics selon Patrowl à anticiper.
2025, l’année blanche de la cyber
Les réglementations européennes nous parviennent à flots ininterrompus mais leur mise en œuvre sera lente et laborieuse. Nous ne verrons pas leurs effets en 2025 et certainement pas d’impacts mesurables. Aucune sanction d’ailleurs n’est prévue avant quelques années, ce qui contribue en partie à l’inertie. L’exemple particulièrement représentatif de l’application tardive du RGPD en Europe ne laisse aucun doute quant au sort réservé aux futurs textes.
Paradoxalement, les freins viennent aussi des cabinets de conseil, dont la surcharge de travail crée un embouteillage massif. Toutes les organisations ne seront pas servies en temps et en heure. Il vaut mieux chercher à travailler en interne, quitte à recruter et à obtenir une validation externe de sa mise en conformité et des mesures prises dans un second temps. Le risque à ce stade est de s’adresser à des officines de conseil sans compétences cybersécurité valides et elles sont légion à avoir flairé le filon. Méfiance donc.
Des équipements de sécurité trop peu fiables
Les incidents de sécurité importants se multiplient sur les équipements de cybersécurité, un comble. Ivanti, Fortinet, Paloalto, Checkpoint, Citrix ne sont que quelques exemples médiatisés d’incidents qui se produisent toutes les semaines. Là encore, on ne constatera pas d’amélioration tangible tant que le Cyber Resilience Act ne sera pas formellement entré en application et n’aura pas instauré de véritables exigences de qualité auprès des grands équipementiers cyber.
D’un point de vue pratique, ce type d’incidents à répétition génèrent une importante désorganisation dans les entreprises. C’est désormais un vendredi sur deux (en fin d’après-midi généralement) que surviennent les annonces d’évènements critiques sans solution de remédiation. La situation atteint un tel degré que ce qui était un trait d’humour noir devient une réalité à considérer : les entreprises auraient tout intérêt à repenser leurs plannings d’astreinte, libérant leurs équipes en début de semaine et concentrant leurs efforts principalement sur les week-ends, devenus des cibles quasi hebdomadaires.
L’e-commerce, toujours plus perméable
Les plateformes d’e-commerce accusent un retard important dans leur cybersécurité. Les fuites de données continueront en 2025, voire accéléreront, compte tenu du grand nombre de petits et moyens acteurs, notamment dans l’habillement, dont le budget est insuffisant pour couvrir et sécuriser de larges surfaces d’attaque.
Outre cette exposition native, le manque de sécurité de la supply chain concerne l’ensemble des acteurs e-commerce, même les plus gros, comme en témoigne la récente fuite de données relatives aux salariés d’Amazon. Si NIS 2 cherche à éteindre le risque en exigeant des entreprises qu’elles exercent un contrôle accru des tiers fournisseurs et prestataires, la directive ne vise pas le commerce en ligne. Autrement dit, l’effort à fournir est élevé mais est aussi et surtout volontaire. La résilience dont le secteur a fait preuve en 2024 ne suffira peut-être pas en cas de multiplication d’incidents portant sur les données personnelles des clients.
La banalisation des dérives de l’IA générative
Les progrès en réalisme de l’IA générative sont fulgurants. Entre de mauvaises mains, ils font de nombreuses victimes. 2025 n’échappera pas à la recrudescence des escroqueries, que ce soit par texte, audio ou vidéo (faux courriers, SMS, deepfakes, etc.). Prévenir et apprendre à repérer les tentatives de fraudes par IA relèvent des bonnes pratiques de cybersécurité d’entreprise.
Plus largement et au-delà des malversations, la contrefaçon par IA générative touchera de plus en plus de secteurs économiques. Après le livre, le secteur musical appelle à mieux légiférer afin de protéger les créations du pillage technologique. Si des voix s’élèvent pour critiquer le coût pour les entreprises des réglementations européennes relatives à la cybersécurité, il n’en demeure pas moins que ces initiatives ont désormais vocation à protéger notre économie dans son ensemble. Elles ne sont donc pas près de lâcher du lest.