Prévisions WatchGuard 2025

1. L’utilisation malveillante de l’IA multimodale entraînera de nombreuses séries d’attaques

D’ici 2025, l’utilisation malveillante de l’IA multimodale contribuera à l’élaboration de nombreuses séries d’attaques. Les systèmes multimodaux basés sur l’IA étant de plus en plus aptes à intégrer du texte, des images, de la voix et un codage sophistiqué, les acteurs de la menace s’en serviront pour rationaliser et automatiser l’ensemble du processus d’une cyberattaque. Ces méthodes englobent le profilage des cibles sur les réseaux sociaux, l’élaboration et la diffusion de contenus de phishing réalistes, notamment le phishing vocal, parfois la découverte d’exploits « zero-day », la création de logiciels malveillants capables de contourner la détection des endpoints et le déploiement de leur infrastructure connexe, l’automatisation des mouvements latéraux au sein des réseaux compromis, et l’exfiltration des données volées. Cette approche sans intervention et entièrement transparente favorisera la démocratisation des cybermenaces de manière encore plus radicale que ne l’ont fait les offres de logiciels malveillants en tant que service au cours des dernières années. Elle permettra à des acteurs moins qualifiés de lancer des attaques avancées tout en limitant au maximum l’intervention humaine. Par conséquent, les organisations et les équipes de sécurité, quelle que soit leur taille, seront confrontées à une recrudescence de cybermenaces hautement personnalisées ; difficiles à détecter et à maîtriser.

2. Les acteurs de la menace recourront à des escroqueries de longue durée tandis que les attaques utilisant des logiciels légitimes compromis deviendront la norme

En 2025, les attaquants intensifieront leurs tentatives de cibler des bibliothèques de codes ou de données et dépendances de logiciels libres tiers méconnus, mais très répandus, afin d’éviter la détection et d’exécuter des attaques malveillantes. Ils se concentreront également sur une approche de longue durée, qui consiste pour les attaquants à cibler la chaîne d’approvisionnement de logiciels sur une longue période, en se forgeant une fausse réputation d’acteur bien intentionné plutôt qu’en lançant une attaque directe. Elle pourrait également consister à usurper l’identité de techniciens de maintenance reconnus ou à les compromettre afin d’entrer dans la chaîne d’approvisionnement de logiciels. En infiltrant discrètement ces sources de confiance utilisées par de nombreuses applications, les attaquants peuvent propager des logiciels malveillants, ce qui rend la détection et la défense de la menace beaucoup plus complexes pour les organisations et les écosystèmes de logiciels libres.

3. Alors que le public perdra espoir dans l’IA générative, les acteurs malveillants auront l’occasion d’en tirer profit

Dans le paysage professionnel, l’IA générative n’a pas encore fait ses preuves pour apporter des changements révolutionnaires au sein des organisations ou pour produire les retours sur investissement promis jusqu’à présent. Si son impact global ne s’est pas concrétisé, la technologie a connu des améliorations spectaculaires dans les domaines de la génération audio et vidéo exploitée pour les deepfakes, non sans avoir fait l’objet de canulars largement médiatisés. À mesure que l’engouement autour de l’IA générative atteint son apogée et tend vers l’abîme de la désillusion quant à son utilité et à son potentiel, le sentiment du public selon lequel l’IA générative n’est pas encore impressionnante minimise le tableau complet des préjudices potentiels. Peu importe que l’IA générative continue de faire la une des journaux grand public ou non, la technologie elle-même continuera de s’améliorer de manière exponentielle en toile de fond. Dans la mesure où le public ne garde en tête que les mauvais deepfakes et autres problèmes, il pourrait croire que l’IA générative n’est qu’une promesse lointaine et qu’elle ne peut pas le tromper. Ce phénomène ouvrira de nouveaux vecteurs d’attaque pour les acteurs malveillants qui pourront en tirer profit en combinant l’IA générative avec d’autres tactiques sophistiquées pour gagner la confiance des organisations afin d’effectuer ce qu’ils croient être une transaction commerciale légitime.

4. La fonction de RSSI deviendra la moins convoitée du secteur

Le RSSI est une fonction à caractère humain. Les principaux problèmes rencontrés par les RSSI ne sont pas d’ordre technique, mais plutôt d’ordre humain et de gouvernance. Face à l’augmentation des exigences réglementaires et politiques, notamment l’obligation pour le RSSI de certifier personnellement l’intégrité de son entreprise en matière de cybersécurité, il devra faire face à une plus grande responsabilité personnelle et à un risque juridique accru à compter de 2025. Les RSSI seront confrontés à un épuisement professionnel croissant, sans parler de la difficulté croissante d’obtenir le soutien de l’ensemble des services et de gérer les menaces de sécurité réelles. Cette pression accrue pour garantir la sécurité interne risque d’augmenter la rotation du personnel, de réduire le nombre de candidats qualifiés prêts à assumer la fonction et d’aggraver le déficit de compétences en matière de cybersécurité. À terme, la difficulté à pourvoir les postes essentiels de RSSI pourrait conduire à retarder les réponses aux risques de sécurité, au point qu’il soit trop tard et qu’une violation ou un problème de conformité entraîne des investissements réactifs. Un point positif toutefois : la chaîne d’approvisionnement en cybersécurité est de plus en plus à l’écoute des difficultés des RSSI actuels. Les fournisseurs et partenaires technologiques sont en train de mettre en œuvre une approche axée sur les plateformes afin d’alléger cette charge et d’établir une confiance et une responsabilité plus fortes dans l’ensemble de l’écosystème. Les petites entreprises pourront confier certaines de leurs responsabilités de RSSI à des fournisseurs de services managés et de services de sécurité dédiés (MSP/MSSP) qui proposent des services de RSSI.

5. La neutralisation des acteurs de la menace par les agences de renseignement et les forces de l’ordre commencera à avoir un impact significatif

Les agences de renseignement et les forces de l’ordre utilisent des tactiques de plus en plus sophistiquées pour déjouer et neutraliser les acteurs malveillants. L’accent mis sur la neutralisation des activités des cybercriminels, l’élargissement des partenariats internationaux et une multitude de nouvelles interprétations des lois et des politiques visant à soutenir ces efforts se traduisent par un plus grand nombre et une plus grande fréquence des démantèlements de grande envergure. En adoptant des tactiques de neutralisation significatives, que ce soit en désactivant les réseaux de zombies, en bloquant les sources de profit ou en annonçant plus ouvertement leur succès (en récupérant notamment les pages clandestines des acteurs), les cybercriminels ont plus de mal et moins de raisons de se faire remarquer. Ainsi, les partenariats internationaux et avec des organisations privées dans le cadre d’une approche « mondiale » rendent plus difficile et plus coûteuse la poursuite des attaques par les acteurs de la menace. Les conséquences en aval seront importantes, car l’augmentation des coûts est le principal obstacle et facteur de dissuasion pour les acteurs malveillants potentiels qui souhaitent se lancer dans le piratage informatique.

6. Pour sécuriser la technologie opérationnelle, les organisations s’appuieront sur la détection d’anomalies pilotée par l’IA

Deux acteurs sont capables d’exploiter la puissance de l’IA dans le domaine de la sécurité. Alors que les acteurs de la menace chercheront progressivement à tirer parti de l’IA pour trouver et créer des vulnérabilités, les professionnels de la cybersécurité tireront également parti des capacités de l’IA pour découvrir et contrecarrer leurs tentatives. De plus, à mesure que les technologies opérationnelles (OT) convergent avec les technologies de l’information (IT), les défenseurs sont en passe de bénéficier de contrôles considérablement améliorés, tels que la détection d’anomalies pilotée par l’IA, afin de détecter de manière proactive les nouvelles menaces et d’y répondre indépendamment de la technologie. Les équipes de cybersécurité réduiront leur recours aux capacités défensives spécifiques aux protocoles ou aux applications, qui sont complexes à mettre en place et à gérer. Elles déploieront en lieu et place des contrôles de détection d’anomalies davantage pilotés par l’IA, qui établissent une base de référence « normale », quelle qu’elle soit, et signalent ensuite les déviations.