Barracuda full logo

Récapitulatif des dernières tendances d’Infosecurity Europe 2023

Thèmes:
23 juin 2023
|
Phil Muncaster

Les salons professionnels ont tendance à diviser. De nombreux professionnels de la cybersécurité lèveront les yeux au ciel à l’idée de devoir parcourir des centaines de stands de vendeurs dans un bâtiment de la taille d’un hangar d’aviation situé à des kilomètres de leur bureau. En revanche, les programmes de conférences jouissent d’une toute autre faveur. C’est là qu’Infosecurity Europe prend toute sa valeur. Depuis près d’un quart de siècle, les leaders d’opinion et les professionnels du secteur profitent du salon pour échanger des idées.

Bien que le choix des intervenants ne se fasse pas de manière démocratique, le programme de la conférence peut néanmoins vous donner un aperçu utile des sujets qui suscitent le plus d’intérêt sur le marché. Il est intéressant de noter que malgré tout le battage médiatique, l’IA a été délaissée au profit de sujets plus familiers : culture, conformité, compétences et stratégie.

Voici les cinq choses que j’ai retenues de ces trois jours au salon :

1. Les entreprises doivent être créatives pour surmonter les défis liés aux compétences

Nous savons tous que le secteur de la sécurité souffre d’une pénurie de professionnels de la cybersécurité. Le Royaume-Uni manque de près de 57 000 professionnels de la cybersécurité, et ce chiffre s’élève à plus de 3,4 millions au niveau mondial, selon l’ ISC2. Les entreprises n’arrangent pas la situation. Les descriptions de poste peuvent accorder une importance excessive aux certifications, comme l’ont révélé les experts du site, ce qui réduit inutilement le nombre de candidats potentiels. Les équipes de sécurité devraient chercher à recruter des personnes non spécialisées au sein de l’entreprise, dans la mesure du possible. Lorsqu’il s’agit d’un entretien externe, elles peuvent avoir intérêt à assouplir le processus pour le candidat, le but étant de découvrir son véritable potentiel. Sans cela, seules les personnes capables de réussir les entretiens obtiendront les postes les plus convoités, alors que ce ne sont peut-être pas les meilleurs candidats.

2. Les entreprises doivent faire plus en matière d'intégration des personnes atteintes de troubles neurologiques

Le troisième jour du salon, Dan Harris, PDG de Neurodiversity in Business, a lancé un appel passionné aux professionnels de la sécurité pour qu’ils fassent pression sur leurs conseils d’administration afin d’améliorer l’intégration des personnes atteintes de troubles neurologiques. Même si un employé sur cinq peut être neurodivergent, les entreprises n’exploitent pas leurs capacités au mieux, a-t-il affirmé. Dans certains cas, des candidats adéquats sont injustement écartés en raison d’une importance excessive accordée à des certifications spécifiques. M. Harris a appelé les professionnels du secteur à utiliser leur pouvoir au sein de l’entreprise à bon escient en plaidant pour des programmes de neurodiversité sur leur lieu de travail. Certains employeurs recherchent activement des candidats neurodivergents aujourd’hui. Il a prévenu que « si vous ne le faites pas, vos concurrents le feront ».

3. Nous devons passer à DevSecUserOps

Après deux ans de transformation numérique sur fond de pandémie, on pourrait penser que de nombreuses leçons ont été tirées quant à l’importance d’intégrer la sécurité dans les projets dès la conception. Eh bien, ce n’est pas le cas, d’après les experts présents le deuxième jour du salon. Selon eux, les entreprises continuent d’innover et d’évoluer rapidement, mais ne tirent pas nécessairement de leçons de l’expérience accumulée. Le manque de formation du personnel a été mis en évidence comme une défaillance majeure à cet égard, qui pourrait potentiellement créer un risque informatique. En réalité, le coût d’un incident lié à une menace interne s’élève aujourd’hui à près de 7 millions de dollars.

Dave Cartwright de Santander International soutient que même si DevSecOps est loin d’être universel, les entreprises devraient penser à ajouter un autre élément : l’utilisateur. DevSecUserOps consisterait à faire participer les utilisateurs finaux dès le début du processus de développement, de telle manière que le produit final corresponde à ce qu’ils veulent et qu’ils puissent l’utiliser. Cela pourrait permettre d’économiser ultérieurement beaucoup de temps et d’argent sur la formation, a-t-il soutenu.

4. La conformité n'est pas synonyme de sécurité

Cela semble évident, mais c’est un point qui mérite d’être souligné. Cela s’explique par le nombre d’entreprises qui continuent de voir la conformité comme un élément « à cocher ». Alors que le paysage réglementaire devient de plus en plus complexe, il est utile de prendre du recul et de se rappeler que, même si une bonne sécurité soutient les programmes de conformité, la conformité ne garantit pas une sécurité efficace. Les experts ont convenu que l’écart entre la conformité sur le papier et la réalité sur le terrain peut être important. Lorsqu’elles examinent un cadre ou un texte législatif particulier, les équipes de sécurité feraient mieux de se concentrer sur l’esprit plutôt que sur la lettre, après quoi elles pourraient réfléchir à la manière dont elles peuvent appliquer cette idée dans le contexte de leur propre entreprise.

5. L'IoT et les API constituent une menace croissante

Les principaux intervenants du salon ont tendance à s’en tenir à des sujets stratégiques de haut niveau plutôt qu’à des discussions sur la technologie. Mais deux menaces émergentes sont ressorties des discussions. L’Internet des objets (IoT) est loin d’être nouveau, mais selon des experts de Forrester et de Transport for London, sa popularité croissante auprès des utilisateurs attire l’attention des cybercriminels. L’analyste Madelein Van Der Hout a révélé que la part des entreprises victimes d’attaques visant à accéder à leurs réseaux par l’intermédiaire d’appareils connectés est passée de 41 % à 54 % au cours des premiers mois de 2023. La popularité du travail à domicile ne fera qu’accélérer cette tendance. Les API ont également été pointées du doigt comme une menace naissante, d’autant plus que les solutions de sécurité spécialisées ne sont pas encore largement adoptées. Les entreprises ne sont peut-être pas encore conscientes de l’ampleur de la cybermenace liée aux API, mais la sécurité par l’ignorance ne fonctionne pas lorsque les malfaiteurs savent comment compromettre vos principaux actifs.

Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.