Cinq tendances en matière de sécurité qui auront un impact sur les entreprises canadiennes en 2024

Par David Senf, stratège national en cybersécurité (ancien vice-président chargé de la recherche chez IDC)  

C’est une nouvelle année qui commence et je ne peux m’empêcher de dépoussiérer ma boule de cristal pour vous dévoiler mes principales prédictions en matière de sécurité pour l’année 2024. J’ai rédigé de nombreux rapports annuels de prédiction et de prévision, et je me réjouis toujours de préparer les perspectives concernant l’année à venir.   

Cette année, je vais m’appuyer sur la dernière édition de l’étude de Bell sur les résultats en matière de sécurité (BSOS). L’étude a révélé un certain nombre de résultats inattendus, lesquels contribueront à façonner les futures stratégies en matière de sécurité des entreprises canadiennes.  

Mon propos porte ici essentiellement sur les entreprises d’utilisateurs finaux, plutôt que sur les tendances impliquant directement les auteurs de menaces et le secteur de la cybersécurité. Cela dit, je souhaiterais partager quelques réflexions sur ces sujets en particulier avant que nous ne nous concentrions sur les entreprises : 

• Activité des auteurs de menaces. En 2024, en raison des progrès de l’IA générative et de l’amélioration de l’automatisation, les auteurs de menaces sont prêts à accélérer leurs opérations de manière significative par rapport à 2023. Cette accélération est notable non seulement en matière d’échelle, mais aussi d’intensité, s’inscrivant ainsi dans la continuité du comportement agressif observé en 2023. De plus, la nature tapageuse des groupes de menace tels que ALPHV et UNC4466 encouragera davantage les émules. Il est fort probable que nous ne verrons que peu d’innovations en ce qui concerne l’accès initial ou tout autre élément de la chaîne d’attaque; il s’agira simplement de beaucoup plus de la même chose. 
• Dynamique du secteur de la sécurité.  Il est étonnant de constater qu’en dépit d’une valorisation beaucoup plus faible des fournisseurs de sécurité en 2023, le secteur de la cybersécurité n’a pas connu autant d’acquisitions que prévu. Toutefois, le rythme de consolidation devrait s’accélérer en 2024, car les grands fournisseurs, le capital-investissement et le capital-risque mettent davantage de capitaux en jeu. Si nous nous basons sur l’activité de lancement en tant qu’indicateur de l’orientation du marché, nous constatons que de nombreux nouveaux venus se concentrent sur la « gestion de la posture globale », la sécurisation de l’IA générative et la sécurité des données. Par ailleurs, on assiste à une évolution vers des plateformes intégrées qui favorisent l’émergence d’un « mouvement du vainqueur » dans le secteur, ainsi que nous le verrons plus loin.

Passons maintenant à mes cinq principales prédictions pour 2024. 
 

La partie immergée de l’iceberg de la sécurité en nuage fait surface 

En 2023, les charges de travail natives en nuage et l’utilisation de capacités avancées de plateforme-service et d’infrastructure-service ont revendiqué la sécurité en nuage. La gestion de la posture de sécurité en nuage (CSPM) et (dans une certaine mesure) la plateforme de protection de la charge de travail en nuage (CWPP) ont occupé le devant de la scène. Cependant, en 2024, ces solutions pourraient être supplantées par la gestion de la posture de sécurité du logiciel-service (SSPM) et la gestion de la posture de sécurité des données (DSPM).  

Les entreprises se rendent compte que, bien que la sécurité des plateformes natives en nuage soit essentielle, elle n’est que la partie immergée de l’iceberg proverbial. Les erreurs de configuration et les accès surprovisionnés dans le domaine du logiciel-service représentent un risque supplémentaire considérable. La SSPM continue d’évoluer sous l’impulsion d’un certain nombre de petits fournisseurs, et il faut donc s’attendre à un certain nombre de consolidations en 2024 et 2025.  

Qu’il s’agisse d’une augmentation de la CSPM, de la SSPM ou de l’accès sécurisé au nuage par la passerelle de sécurité en nuage (SASE), attendez-vous à une augmentation de l’activité liée à la sécurité en nuage en 2024. En effet, les entreprises canadiennes sont susceptibles de franchir une étape importante dans l’adoption du nuage en 2024, lorsque le stockage des données dans le nuage dépassera 50 %. Notre étude BSOS indique qu’en moyenne, 42 % des données d’une entreprise se trouvent actuellement dans le nuage, et que ce chiffre devrait atteindre 59 % dans deux ans. 
 

Renaissance de la sécurité des données 

À la fin des années 2000 et au cours des années 2010, les initiatives de prévention de la perte de données (DLP) se sont multipliées dans les grandes entreprises, généralement réglementées, et les résultats ont souvent été plus ou moins décevants. La sécurité des données est demeurée un tant soit peu insaisissable. En revanche, les entreprises se sont appuyées sur des couches de contrôles autour des données, en plus du cryptage et de diverses techniques de masquage. Toutefois, à mesure que la technologie et les pratiques de sécurité en matière de données évoluent, un regain d’intérêt se dessine à l’horizon pour 2024. Par ailleurs, la prolifération de l’IA générative pour une myriade de cas d’utilisation commerciale suscite de nouvelles demandes de renforcement des garde-fous de sécurité autour des données sensibles. Et bien sûr, la conformité réglementaire est l’une des principales motivations des dépenses en matière de sécurité au Canada, tandis que la sécurité des données est en passe de faire l’objet d’un examen plus approfondi. 

En fait, notre étude BSOS montre que la sécurité des données se classe désormais au deuxième rang des priorités en matière de surface d’attaque pour 2024, juste derrière la sécurité du nuage. La découverte, la classification et la protection des données sont de plus en plus automatisées, avec des capacités d’IA et l’intégration d’API pour suivre le flux de données, en particulier dans le nuage avec toutefois une certaine portée sur site. Tout comme dans mes commentaires sur la SSPM, les solutions DSPM arrivent rapidement à maturité et je m’attends à ce qu’il y ait d’autres acquisitions dans ce domaine (il y en a déjà eu quelques-unes en 2023). 
 

L’intégration prend le pas sur la conservation en ce qui concerne les déploiements de sécurité 

L’évolution rapide des menaces et des surfaces d’attaque incitait autrefois à l’acquisition de solutions ponctuelles visant à combler une faille particulière dans la défense de l’entreprise. Cette situation a mené à un secteur dont les marchés se sont fragmentés, où chaque fournisseur ne représentait qu’une part de pourcentage à un chiffre. Cependant, à mesure que notre secteur mûrit, des intervenants plus importants émergent de leur base initiale en matière de matériel, de logiciels et de nuage, avec notamment des concurrents tels que Palo Alto Networks, Microsoft, Cisco (plus Splunk en 2024), Fortinet et d’autres. De leur côté, les entreprises commencent à parier à plus long terme sur leur fournisseur « tout-en-un » pour en faire le cœur de leur pratique de sécurité.  

Une plateforme plus holistique est une bonne nouvelle (malgré les conséquences potentielles d’un verrouillage des fournisseurs), car les opérations de sécurité ne peuvent tout simplement pas être efficaces en l’absence d’une plus grande intégration, en particulier compte tenu de l’augmentation de l’activité des auteurs de menaces et de l’ampleur des points d’accès initiaux. Une couverture complète par une plateforme unique signifie plus d’entrées de données, ce qui en retour se traduit par un contexte amélioré permettant une détection et une analyse plus précises, ainsi que la capacité de répondre plus rapidement aux vrais signaux positifs.  

Dans l’étude sur les résultats en matière de sécurité, nous avons analysé les résultats des entreprises qui ont surpassé leurs homologues; les données ont montré que la migration vers une stratégie axée sur la plateforme a une incidence positive importante. L’intégration des capacités de sécurité permet une plus grande visibilité et des temps de réaction plus rapides en cas d’incident. Les entreprises semblent adopter des plateformes intégrées, initialement pour les charges de travail en nuage, mais l’utilisation s’étend rapidement à de multiples surfaces d’attaque et cas d’utilisation. 
  

L’IA générative se joint à l’équipe Sécurité dans des rôles clés 

L’IA générative devrait améliorer les capacités des équipes de sécurité de plusieurs façons. Il s’agit notamment d’ajouter du contexte aux renseignements sur les menaces, d’analyser les schémas d’attaque, d’aider à la rédaction de rapports ainsi que d’une forme légère d’intégration en élaborant des scripts et en effectuant des requêtes entre les solutions. En 2024, on s’attend à une amélioration considérable de l’IA générative, dans le sillage des tendances de 2022 et 2023. La plateforme GPT-5 d’OpenAI (et les LLM équivalents d’Anthropic, Google, Meta et d’autres) promet un certain nombre d’améliorations importantes, notamment le raisonnement en plusieurs étapes, les capacités mathématiques et une bien meilleure précision.  

Appliquée à la sécurité : envisagez que la formation et les simulations des employés en matière de sécurité soient beaucoup plus personnalisées, à l’instar d’un formateur proactif qui s’appuie sur les niveaux de compétence. Envisagez également une orchestration contextuelle capable de séquencer et de hiérarchiser les actions en fonction d’une analyse plus approfondie.  

Je m’en voudrais de ne pas mentionner un inconvénient évident : l’IA générative crée une lourde charge de travail pour les professionnels de la sécurité et de la protection de la vie privée qui doivent s’assurer que les données introduites par les employés dans les modèles et les résultats qu’ils reçoivent en retour sont sécurisés et conformes aux politiques de l’entreprise en matière de données, d’applications, de droit et d’éthique. 

Notre étude sur la sécurité en 2023 a montré une utilisation et un intérêt significatifs à l’égard de l’IA et de son sous-domaine, l’IA générative. En fait, 12 % des entreprises au Canada utilisent déjà l’IA générative dans leurs opérations de sécurité, tandis que 77 % d’entre elles l’expérimentent ou envisagent de l’utiliser. De plus, les entreprises renforcent leurs compétences en IA : les responsables de la sécurité ont indiqué que les capacités en IA étaient le troisième ensemble de compétences le plus recherché. Cette situation ne signifie pas nécessairement que les nouveaux membres de l’équipe doivent savoir distinguer les « réseaux neuronaux » des « forêts aléatoires », mais ils doivent tout de même savoir où et comment l’IA change les choses, et où se situent ses limites.  
 

L’accent continue d’être mis sur les obligations de conformité 

Il semble que chaque mois apporte son lot de nouvelles lois canadiennes, américaines, européennes ou internationales, de stratégies nationales, de décrets, de décisions et de réglementations sectorielles, qui ont toutes des répercussions sur la sécurité, la protection de la vie privée, la gouvernance et l’incidence de l’IA dans ces domaines.  

Si cette tendance se poursuit en 2024, il faudra se préparer à d’importantes mises à jour. Je n’en citerai que quelques-unes ici : la norme PCI DSS 4.0 entrera en vigueur le 31 mars 2024 et le compte à rebours commencera pour une conformité obligatoire dans un an précisément. La loi 25 du Québec (projet de loi 64) est déjà en vigueur, avant la législation fédérale sur la protection de la vie privée à partir de l’automne 2023. Continuez à suivre l’évolution du projet de loi canadien C-27 jusqu’en 2024; il étend la protection de la vie privée des consommateurs, la protection des données et, désormais, les exigences en matière d’IA. Les exigences de cette loi en matière d’IA cibleront probablement les fournisseurs de modèles fondamentaux et d’autres intervenants majeurs de l’écosystème de l’IA, par opposition à l’entreprise canadienne moyenne. Cela dit, il existe d’autres restrictions juridictionnelles concernant l’utilisation de l’IA pour profiler indûment les consommateurs. Le projet de loi canadien C-26 concernant la cybersécurité des infrastructures essentielles dans les secteurs des télécommunications, des transports, de l’énergie et de la finance continuera d’évoluer et pourrait être adopté en 2024.  

Notre étude BSOS souligne l’importance que revêt une bonne gouvernance afin d’obtenir les meilleurs résultats en matière de sécurité, ce qui l’emporte de loin sur n’importe quelle technologie. Lorsqu’il s’agit de résultats en matière de sécurité, les entreprises qui parviennent à traduire les exigences de conformité et les objectifs commerciaux dépassent de loin leurs homologues. Elles commencent par la gouvernance, intègrent les résultats dans la politique, puis appliquent la politique par le truchement des couches technologiques. De nombreuses entreprises avec lesquelles je m’entretiens commencent par des discussions axées sur la technologie, alors que ce devrait être l’inverse. 
 

Quelques réflexions en guise de conclusion 

Un certain nombre de prédictions en matière de sécurité n’ont pas été retenues, comme la gestion des risques liés aux tiers, l’évolution des perspectives en matière de sensibilisation des employés à la sécurité, la sécurité opérationnelle et les mises à jour sur la menace quantique. De plus, certains éléments imprévus en 2024 pourraient limiter ou même accélérer ces prédictions, notamment des tendances inattendues dans les conditions macroéconomiques, des événements géopolitiques, l’élection présidentielle américaine et d’autres surprises. Enfin, avec des milliards de dollars de nouveaux investissements dans l’IA à tous les niveaux de la pile technologique, le principal changement de 2023 pourrait s’avérer également l’événement le plus important de 2024.  

Je suis à votre disposition pour vous donner de plus amples détails sur ces prédictions et vous présenter les perspectives de l’étude sur la sécurité au Canada à laquelle je fais référence dans ce rapport. Connectez-vous avec moi sur LinkedIn et partagez vos idées.