Nous avons réfléchi aux tendances les plus importantes de 2023 afin de déterminer ce à quoi les organisations devraient s'attendre en 2024 et au-delà. Nous vous invitons à tenir compte de ces réflexions lorsque vous préparez les principales stratégies et priorités de votre entreprise pendant l'année à venir.
L'IA a été la tendance marquante de l'année dernière, et tout porte à croire qu'elle restera une force dominante en 2024. Elle affectera tous les aspects de votre entreprise, qu'il s'agisse de la manière dont vous améliorez l'efficacité opérationnelle ou des ressources qui seront ciblées, au sein de votre organisation, par les acteurs malveillants. Nous nous attendons également à observer de nouvelles formes de connectivité Internet, une complexité croissante dans le domaine de la conformité et des changements importants dans le domaine de l'informatique et de la sécurité, résultant de budgets toujours plus restreints. Voici les 10 principales prédictions pour l'avenir de la cybersécurité et de l'informatique.
Starlink, qui fournit un accès Internet par satellite dans plus de 60 pays, nécessite actuellement une liaison descendante locale pour fonctionner, ce qui l'expose aux restrictions imposées par les autorités nationales de régulation des télécommunications. En 2024, SpaceX lancera Starship, accélérant le rythme de déploiement des satellites et permettant l'introduction de liaisons optiques entre ces derniers. Ces développements permettront à un client disposant d'un terminal d'utiliser Internet sans liaison descendante locale ; le signal pourra être transmis entre les satellites, et la liaison descendante pourra être déployée ailleurs dans le monde. Par conséquent, certains pays perdront le pouvoir d'imposer des restrictions en matière d'accès à Internet. Nous pensons que la disponibilité de Starlink entraînera le contournement de politiques nationales dans au moins un pays. Les entreprises devront tenir compte à la fois de la politique nationale et des réalités politiques concrètes lorsqu'elles envisageront de déployer leur application dans une zone géographique donnée.
À mesure que la capacité de l'IA à fournir du code pour le développement d'applications et de sites web progresse, les tâches de développement front-end de base deviendront rapides, faciles et uniformisées. Pour rester dans le peloton, les développeurs front-end devront travailler conjointement avec l'IA. Et pour se démarquer réellement, les développeurs front-end devront disposer de compétences résolument uniques : de la créativité, la capacité à résoudre les problèmes, le sens des affaires ou un savoir-faire particulier. Ceux qui utilisent des frameworks plus récents auront une longueur d'avance sur les frameworks plus établis, à partir desquels l'IA a été formée de manière approfondie. Les frameworks que les développeurs front-end choisissent d'utiliser, ainsi que les compétences uniques qu'ils apportent, affecteront le marché de l'emploi et l'évolution des processus de développement.
Les acteurs malveillants ciblent fréquemment les nouvelles technologies qui deviennent une composante cruciale du succès des entreprises, et l'IA ne déroge pas à la règle. Bien que nous ayons déjà connu des problèmes de sécurité majeurs liés à l'IA (tels que les fuites de données), en 2024, les acteurs malveillants s'attaqueront aux modèles d'IA eux-mêmes. Les entreprises doivent être préparées à faire face aux violations de données, aux réplications de modèles et aux vols de modèles ; les menaces incluent même la falsification de modèles, c'est-à-dire des tentatives de manipulation des résultats de l'IA reposant sur la modification des données d'entrée à partir desquelles sont formés les modèles. Les professionnels cherchant à sécuriser les modèles d'IA de leur entreprise devraient consulter les directives des instituts National Cyber Security Centre (NCSC) et Cybersecurity and Infrastructure Security Agency (CISA) relatives au développement de systèmes d'IA sécurisés.
En 2024, les entreprises qui déploient agressivement l'IA générative prendront conscience que celle-ci a un coût. Entre les problèmes liés à la chaîne logistique des puces d'IA, la disponibilité limitée de l'espace de colocation optimisé pour l'IA et l'augmentation des prix de l'énergie, nous estimons que les coûts augmenteront considérablement au cours de l'année à venir, pour une multitude de raisons. Et c'est sans même compter le coût des émissions de carbone pour la société. Les directeurs financiers ne toléreront plus longtemps l'existence de coûts non mesurés s'ils n'offrent pas une visibilité claire du retour sur investissement.
À cette fin, nous nous attendons à ce que les entreprises mettent en place des outils de développement capables de fournir des informations, de mettre en œuvre des garde-fous et d'assurer la surveillance des déploiements d'IA, notamment durant la phase d'expérimentation, afin de garantir la maîtrise des coûts. Les développeurs seront également contraints d'accomplir davantage avec moins de ressources informatiques. Les modèles spécifiques à une tâche, formés à partir de modèles de fondation, seront indispensables pour réduire l'empreinte informatique nécessaire. Les solutions devront pouvoir être mises en œuvre avec des empreintes de calcul plus limitées, à l'image de processeurs graphiques (GPU) uniques sur un serveur, de serveurs équipés de processeurs uniquement, d'ordinateurs portables, de téléphones cellulaires, etc.
Internet est désormais une infrastructure essentielle, et il ne fait guère de doute que l'année prochaine, il sera plus ciblé que jamais. À mesure que les menaces zero-day, les failles dans les logiciels populaires, les problèmes affectant la chaîne logistique et les tactiques des acteurs malveillants augmentent en nombre, évoluent et se concrétisent, les entreprises doivent se montrer extrêmement vigilantes quant aux dispositions qu'elles peuvent prendre pour préserver leur résilience. En 2024, les responsables de la sécurité commenceront à faire évoluer les mentalités dans le but de faire de la gestion des incidents, de l'application de correctifs et de l'évolution des protections de sécurité des processus permanents. La divulgation responsable sera un pilier essentiel de la préservation de la résilience, quels que soient les priorités ou le style des RSSI. La gestion des incidents tels que les menaces zero-day est complexe, et exige bien plus que la simple exécution d'un correctif. Les mesures d'atténuation telles que la mise en œuvre de correctifs pour chaque variante d'une vulnérabilité peuvent réduire le risque, mais elles ne l'éliminent jamais complètement.
La mise en œuvre de la sécurité Zero Trust a été un exercice frustrant pour les entreprises qui tentaient de sécuriser un réseau non sécurisé. L'élimination des privilèges d'accès excessifs au sein du réseau et la gestion des permutations d'emplacements parmi les données, les applications et les utilisateurs sont des tâches complexes. Nous anticipons un point d'inflexion en 2024, lorsque les déploiements de sécurité Zero Trust s'éloigneront de l'insertion de produits sur le chemin du réseau et évolueront vers l'application de contrôles de sécurité et de politiques contextuelles par le biais d'une solution SASE (Secure Access Service Edge). Concrètement, cette approche créera un plan de contrôle de la sécurité Zero Trust qui se situe au-dessus de la connectivité réseau entre les utilisateurs et les données, plutôt qu'à l'intérieur de celle-ci.
En 2023, l'adoption d'IPv6 se situait entre 45 et 50 %. En 2024, l'adoption dépassera 50 %. Pourtant, aujourd'hui, de nombreux fournisseurs de réseaux et de solutions de sécurité n'offrent pas encore une prise en charge complète d'IPv6. Pire encore, en l'absence d'une prise en charge explicite et exclusive d'IPv6, les connecteurs logiciels pour les appareils des utilisateurs finaux, les serveurs d'applications et les réseaux locaux que les fournisseurs de sécurité proposent à leurs clients pour acheminer le trafic vers leurs points de mise en œuvre dans le cloud seront toujours plus souvent contournés. Au moment où un nombre croissant de fournisseurs d'accès Internet déploient l'accès à IPv6 pour leurs abonnés en raison des difficultés actuelles liées à l'épuisement d'IPv4 et aux limites grandissantes de la technologie NAT (Network Address Translation), l'heure est venue de commencer à demander à vos fournisseurs quand, où et comment ils assureront la prise en charge d'IPv6.
Des entreprises de tous les secteurs investissent agressivement dans les modèles d'IA dont elles dépendent pour exécuter leurs fonctions opérationnelles essentielles. Par ailleurs, les entreprises encouragent l'adoption de l'IA dans le but de conserver un avantage concurrentiel, tandis que Wall Street valorise les actions des entreprises qui parlent de l'IA et sanctionne celles qui semblent se laisser distancer par l'évolution technologique. Pour garder une longueur d'avance sur les effets rapides de l'IA, les entreprises nommeront un Chief AI Officer, dont le rôle sera de piloter la stratégie en matière d'IA et de consolider les responsabilités. L'influence toujours plus essentielle de l'IA sur les activités opérationnelles, le développement de produits et l'expérience utilisateur nécessite un leadership dédié à la supervision de son utilisation et de son éthique, ainsi qu'à la gestion des risques associés.
L'IA générative facilite la création de textes personnalisés. Entre les mains d'un acteur malveillant, elle renforce la capacité de ce dernier à élaborer des attaques par phishing personnalisées, de grande ampleur. En 2024, l'IA deviendra une composante standard de la suite d'outils des acteurs malveillants. Nous observons déjà la réalisation de cette tendance, avec l'utilisation de messages générés par IA dans des attaques par compromission du courrier électronique professionnel (Business Email Compromise, BEC) ciblant les cadres et les collaborateurs d'entreprises dans le but de leur soutirer des paiements frauduleux. On s'attend également à ce que l'utilisation de deep fakes vocaux augmente, à mesure que les outils permettant leur création se répandent et que la quantité d'enregistrements d'une personne donnée augmente, facilitant l'apprentissage des modèles.
Les attaques par phishing et par ingénierie sociale ne sont pas nouvelles. La véritable évolution réside dans l'augmentation du volume et l'amélioration de la qualité. Les fonctionnalités avancées de sécurité du courrier électronique, telles que l'analyse des messages basée sur l'apprentissage automatique et l'isolement adaptatif des liens, ainsi que les clés physiques résistantes au phishing utilisées pour l'authentification multifactorielle (MFA), sont devenues essentielles dans la lutte contre le phishing. Les attaques par ingénierie sociale reposant sur l'IA affecteront de manière disproportionnée les petites entreprises qui disposent d'une quantité limitée de processus, de ressources et d'outils.
La conformité aux législations et aux exigences en matière de confidentialité des données et de sécurité de l'information n'a jamais été aisée et, en 2024, les nouvelles réglementations, ainsi que la surveillance renforcée, ne feront qu'accroître ce défi. Des évolutions réglementaires majeures sont en cours dans le monde entier, avec l'entrée en vigueur des nouvelles règles en matière de cybersécurité de la SEC aux États-Unis en décembre 2023, la mise en œuvre de la directive élargie sur la sécurité des réseaux et des systèmes d'information (NIS2) au sein de l'UE et l'élaboration d'un cadre européen innovant destiné à encadrer l'IA en 2024. Les équipes responsables de la conformité devront optimiser les technologies et les processus de confidentialité et de sécurité existants afin de répondre à ces obligations croissantes en matière de conformité réglementaire, tout en usant de stratégie lorsqu'elles investissent dans des outils de niche tels que les logiciels d'IA spécifiques à la conformité.
En ce qui concerne les certifications de sécurité, les entreprises devront optimiser les contrôles de sécurité afin de se conformer aux certifications de sécurité toujours plus répandues (et souvent incontournables), ainsi qu'aux mises à jour imposées par les normes existantes. Nous prévoyons que les normes de sécurité évolueront vers une approche davantage fondée sur les risques, plutôt qu'une approche prescriptive, afin de répondre aux exigences. Nous observons déjà cette approche déjà dans plusieurs certifications de sécurité, notamment l'évolution de la norme Payment Card Industry Data Security Standard (PCI-DSS) vers la version PCI 4.0. En dépit de quelques progrès accomplis au regard des initiatives de certification régionales, telles que le schéma européen de certification de la cybersécurité pour les services de cloud (EUCS), nous anticipons que l'espace de conformité gouvernementale se développera néanmoins avec une augmentation des certifications spécifiques à chaque pays.
En 2024, les équipes informatiques et de sécurité devront faire face à des technologies, des menaces et des réglementations nouvelles, ainsi qu'à l'augmentation des coûts. L'IA, en particulier, est trop importante pour être ignorée par les entreprises. Celles qui ne sont pas capables de se transformer radicalement et rapidement auront le plus grand mal à suivre leurs concurrents. Cependant, il est plus facile de parler d'innover rapidement que de le faire : 39 % des décideurs informatiques et de sécurité estiment que leur entreprise a perdu le contrôle de son environnement numérique.
Comment reprendre le contrôle en vous assurant que votre entreprise dispose de l'agilité et de l'efficacité indispensables pour innover, sans compromettre sa sécurité ? L'adoption du cloud de connectivité, une plateforme unifiée permettant la consolidation des outils et la connexion de tous vos domaines, permet de reprendre le contrôle et de réduire les coûts et les risques liés à la sécurisation d'un environnement réseau étendu.
Cloudflare est le leader dans le domaine du cloud de connectivité. Nous permettons aux entreprises et autres organisations de rendre leurs collaborateurs, leurs applications et leurs réseaux plus rapides et plus sûrs, partout dans le monde, tout en réduisant la complexité et les coûts. Le cloud de connectivité Cloudflare propose la plateforme unifiée la plus complète en matière de produits et d'outils de développement cloud-native, permettant à toutes les entreprises de bénéficier des mesures de contrôle dont elles ont besoin pour travailler, développer et dynamiser leur activité.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Grant Bourzikas – @grantbourzikas
Chief Security Officer, Cloudflare
John Engates – @jengates Field CTO, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Pourquoi l'adoption de l'IA va se heurter à d'importants défis
Les aspects de l'informatique et de la sécurité dans lesquels les entreprises doivent envisager d'investir
Comment les nouvelles menaces et obligations de conformité affecteront votre entreprise
Comment j'ai appris à ne plus m'en faire et à aimer la conformité
Des acronymes aux actions : démystifier la sécurité Zero Trust