Cybersécurité et sécurité logicielle en 2023 : des avancées décisives grâce à une transparence accrue et plus de collaboration entre les secteurs d'activités

Jacob DePriest, Vice-Président et Adjoint au Directeur de la Sécurité (CSO), GitHub

En 2023, face aux menaces de plus en plus diversifiées et complexes, la cybersécurité restera une préoccupation clé des entreprises. Pour minimiser le risque cyber, trois approches seront décisives. D’une part, la capacité des équipes de sécurité à  collaborer efficacement avec les équipes projets en communiquant clairement sur les incidents de sécurité. D’autre part, l’importance de sécuriser des infrastructures au-delà des frontières des entreprises et des pays. Enfin, le fait de comprendre que les équipes de sécurité internes peuvent constituer un avantage commercial indéniable pour les entreprises.

La sécurité deviendra une discipline plus diversifiée

Il ne fait aucun doute que les cyberattaques vont continuer d’augmenter en 2023. Pour s’adapter à l’évolution rapide des menaces, les organisations continueront à faire évoluer leur culture en matière de sécurité et de recrutement de profils experts en cybersécurité. Les équipes de sécurité, quant à elles, devront travailler encore plus étroitement avec les équipes d'ingénierie et de produits pour réagir rapidement aux nouvelles menaces. En particulier, cette collaboration s’attellera de manière croissante au développement de solutions élaborées en interne, pour compléter les outils et les services de cybersécurité existants. Les menaces devenant plus variées et plus complexes, pour mieux les combattre, au sein des équipes de sécurité, nous assisterons au recrutement d’une main-d'œuvre de plus en plus diversifiée - en termes d’origines, de formation et de capacités techniques. In fine, cette approche créera une culture de sécurité plus forte, une intégration plus étroite avec l'ingénierie et une capacité d’innover plus rapidement pour mieux combattre les attaques malveillantes.  

La transparence en matière de cybersécurité sera saluée comme une force

Dans le même temps, les organisations  devront faire évoluer la façon dont elles communiquent sur ce sujet. L’année dernière, nous avons connu un nombre important de divulgations de failles. Cette année ne devrait pas être différente. Cela étant, nous verrons de plus en plus d'organisations se tourner vers la transparence comme moyen de renforcer la confiance à l’égard de leur activité. De plus en plus de responsables de la sécurité s'attacheront à créer un environnement dans lequel l'équipe de sécurité est un partenaire de confiance de l'entreprise. Ils privilégieront une communication ouverte et transparente sur les incidents de sécurité afin de renforcer la confiance des parties prenantes internes et externes. Il en résultera un niveau d’exigence plus élevé en interne en matière de protection de la vie privée et des données. Dans le même temps, le partage externe des incidents de sécurité sera plus fréquent. 

Sécurité et chaîne d'approvisionnement logicielle : plus de collaboration intersectorielle 

Les événements tels que SolarWinds et Log4j, ont rappelé l’importance de la sécurisation du code et de la chaîne d’approvisionnement logicielle. Le sommet de la Maison Blanche sur la sécurité des logiciels open source, quant à lui, a permis de réunir les parties prenantes des secteurs public et privé pour discuter de l'amélioration de la sécurité des logiciels open source. Un constat en a émergé : seul un effort collectif de l'industrie et de la communauté permettra de sécuriser la chaîne d'approvisionnement des logiciels. L'année 2023 sera donc marquée par une collaboration encore plus étroite. Le secteur public se tournera vers le secteur privé pour contribuer à l'élaboration des politiques, un plus grand nombre d'organisations et de groupes de travail tels que l'OpenSSF se focaliseront sur des objectifs de sécurité communs, et davantage de partenariats directs se créeront entre les entreprises. Les attaques de la chaîne d'approvisionnement ne reconnaissent pas les rôles, les frontières des entreprises, ni même les frontières nationales, il faudra donc une collaboration sans précédent pour s'en défendre. La sécurité de la chaîne d'approvisionnement étant essentiellement liée à la manière dont le monde construit les logiciels, pour avoir un véritable impact, ces efforts devront soutenir les développeurs qui conçoivent, construisent et maintiennent les projets open source dont nous dépendons tous.

Programmes de sécurité interne : un facteur de différenciation clé sur le marché

Jusqu’ici les programmes de sécurité se sont exclusivement concentrés sur la collaboration et la communication internes, y compris dans les entreprises qui construisent et vendent des solutions de sécurité. La sensibilisation des consommateurs et des entreprises à l'importance des bonnes pratiques en matière de cybersécurité continuera de croître en 2023. Par conséquent, pour une meilleure sécurité, non seulement les responsables de la sécurité informatique seront plus nombreux à parler publiquement de leurs approches, mais les membres des équipes de sécurité seront plus enclins à partager leurs meilleures pratiques avec les partenaires, les homologues et les clients. La conformité et la certification resteront des indicateurs fondamentaux de la sécurité. Ils seront combinées à des artefacts externes supplémentaires tels que des blogs, des recherches et des articles. La qualité et l'excellence opérationnelle des équipes de sécurité internes deviendront encore plus un facteur de différenciation sur le marché pour les entreprises. Ils seront de plus en plus un facteur de confiance dans la marque et les partenariats.

En 2023, pour contrer la menace cyber, la sécurité sortira de ses frontières traditionnelles pour collaborer activement aux projets, être plus transparente et occuper une place encore plus importante au sein des entreprises!