Cyber Sécurité

Tendances clés et défis à venir

Christophe

Sécurité des entreprises

Les lois entrantes, combinées à des développements plus larges sur le paysage des menaces, créeront une complexité et une urgence supplémentaires pour les équipes de sécurité et de conformité

23 janvier 2025

,
5 min. lire

En tant qu’approche de la Semaine de la confidentialité des données (27-31 janvier) et de l’approche du Jour de la protection des données (28 janvier), c’est le moment idéal pour mettre en lumière le rôle essentiel que joue la protection des données dans le succès des organisations modernes.

En fait, la confidentialité et la protection des données vont de pair avec la cybersécurité. Des lois importantes comme le RGPD soulignent non seulement la nécessité de maintenir les droits à la confidentialité de vos clients, mais aussi de protéger leurs informations personnelles les plus sensibles (PII) par le biais de technologies de pointe comme le cryptage. Des campagnes comme la Semaine de confidentialité des données sont plus que des événements annuels – ils doivent être considérés comme des appels à l’action pour hiérarchiser la sécurité et la confidentialité des données dans un paysage numérique en constante évolution.

Les 12 derniers mois ont été un moment important pour la vie privée mondiale, grâce à de nouvelles lois, aux décisions juridiques importantes et aux technologies émergentes et aux tendances des menaces. Il est temps de se préparer pour plus de la même chose en 2025.

Que s’est-il passé en 2024?

Au cours de la dernière année, nous avons été témoins:

Quelques amendes et colonies alléchantes

Ceux-ci incluent:

Déclusion des tribunaux majeurs

Des décisions importantes de la Cour de justice de l’Union européenne (CJUE) auront des implications majeures pour les organisations opérant dans le bloc. Ceux-ci comprenaient:

  • L’affaire Lindenpotheke, où le CJUE a jugé que les entreprises peuvent poursuivre ses concurrents pour les violations du RGPD en vertu des lois sur la concurrence déloyale. La même décision a élargi la définition des données de santé.
  • C-621/22, dans lequel le CJUE a clarifié les «intérêts légitimes» comme base légale pour le traitement des données personnelles, tant que les organisations suivent des mesures de confidentialité strictes.

Plus de lois liées à la cybersécurité

Parmi les personnes passées ou avancées en 2024, il y avait:

  • NIS2, qui amène plus d’organisations dans la portée et exige qu’ils mettent en œuvre des contrôles de cybersécurité stricts,
  • La Cyber ​​Resilience Act (CRA), qui impose un ensemble rigoureux d’exigences de sécurité pour le matériel et les logiciels vendus dans la région,
  • La Cyber ​​Solidarity Act (CSA), qui est conçue pour aider les États membres à mieux détecter, se préparer et répondre aux menaces de cybersécurité à grande échelle.
A LIRE AUSSI :  Google corrige les vulnérabilités Android activement exploitées (CVE-2025-48543, CVE-2025-38352)

Efforts mondiaux de gouvernance de l’IA

Ceux-ci comprenaient:

Que pouvez-vous attendre pour 2025?

L’impact de bon nombre de ces événements se fera sentir tout au long de 2025 et au-delà, tandis que les lois entrantes et les tendances du paysage des menaces à plus long terme créeront une complexité et une urgence supplémentaires pour les équipes de sécurité et de conformité. Soyez prêt à:

Plus de lois sur la protection des données

Il s’agit notamment du projet de loi canadien C-27, du projet de loi sur les données du Royaume-Uni (utilisation et accès) et pas moins de huit lois sur la confidentialité au niveau de l’État, dans le Delaware, l’Iowa, le Nebraska, le New Hampshire, le New Jersey, le Tennessee, le Minnesota et le Maryland. Ceux-ci aideront cumulativement à sensibiliser et à consacrer la loi sur la vie privée, ainsi qu’à ouvrir la porte à l’application de la réglementation. Le résultat final sera très probablement d’augmenter la pression sur les équipes de conformité et les chefs d’entreprise pour améliorer les mesures de protection des données.

Plus d’application

Nous pouvons également nous attendre à voir des régulateurs commencer à fléchir leurs muscles, les lois adoptées en 2024, commencent à frapper la maison et que diverses exigences entrent en vigueur. Par exemple, la loi sur l’UE AI verra:

  • Une interdiction des systèmes d’IA posant des risques inacceptables (y compris la notation sociale et le grattage des données faciales non ciblées) du 2 février,
  • Les exigences pour les modèles d’IA à usage général entrent en vigueur le 2 août. Celles-ci comprendront un mandat pour les développeurs génératifs de l’IA (Genai) pour évaluer et atténuer les risques systémiques et documenter les mesures de cybersécurité.

Plus de menaces et plus de risques de confidentialité

L’année dernière a vu des violations de données publiques publiquement aux États-Unis. En tant qu’outils d’IA, des références volées et des offres basées sur les services continuent de proliférer sur la cybercriminalité souterraine, s’attendez à un déluge de cyberattaques relativement sophistiquées qui peuvent rattraper des équipes de sécurité non préparées. Genai en particulier améliorera la qualité des campagnes d’ingénierie sociale et la reconnaissance des actifs informatiques vulnérables et exposés.

Les organisations qui n’améliorent pas leur posture de sécurité conformément aux meilleures pratiques risquent d’inviter à l’examen des régulateurs mondiaux de la vie privée.

A LIRE AUSSI :  Progress Software Patches Flaws de chargement de chargement de haute sévérité affectant plusieurs versions

Les acteurs de la menace ont armé de nouvelles lois

Tout comme ils l’ont fait après l’introduction du RGPD, les cybercriminels pourraient utiliser la menace d’une action réglementaire pour forcer les victimes à payer dans des attaques d’extorsion. Les amendes NIS2 pourraient atteindre 10 millions d’euros ou 2% des revenus annuels mondiaux, par exemple. Il est également possible que si la nouvelle loi aide à stimuler les améliorations entre les organisations réglementées, les acteurs de la menace passeront leur attention vers les organisations non soumises à la directive, telles que les petites entreprises.

L’IA créant des défis de conformité à la confidentialité

Les systèmes d’IA doivent être formés sur d’énormes volumes de données. Parfois, ces données sont grattées du Web, et parfois elle provient des comptes clients existants. Cela crée des défis potentiels de confidentialité si le consentement n’a pas été clairement obtenu (comme LinkedIn l’a découvert au Royaume-Uni). Les systèmes d’IA opaques peuvent également rendre plus difficile pour les organisations de supprimer ou de corriger les informations personnelles lorsqu’on leur demande les utilisateurs. Plusieurs États américains prévoient déjà des lois sur l’IA, après l’exemple du Colorado.

Que faire ensuite

Dans ce contexte, 2025 pourrait être une année critique pour les équipes de sécurité et de conformité. Assurez-vous de rester en avance sur le jeu par:

  • Se tenir au courant des changements réglementaires et législatifs pertinents et comprendre les exigences de conformité qui s’appliquent à votre organisation
  • Améliorer la sécurité des données conformément aux meilleures pratiques de l’industrie
  • S’assurer que les propriétaires de données d’entreprise sont clairement identifiés et créent un système de rapports robuste qui identifie les rôles et les responsabilités de toutes les personnes impliquées
  • Effectuer des évaluations d’impact sur la protection des données (DPIAS) avant d’introduire un nouveau produit ou service (par exemple, un nouvel outil d’IA), ainsi que de mettre en place des garanties appropriées basées sur le DPIA
  • Surveiller les performances, examiner les protocoles de sécurité et les zones d’adresse qui nécessitent une attention

La protection des données peut souvent sembler un fardeau. Mais en fait, il devrait être conçu comme une opportunité. Il offre à votre organisation la possibilité d’améliorer la fidélité et la confiance des clients, sans parler d’atténuer le risque de violations financièrement et de réputation. Voir 2025 à travers cet objectif, et les 12 prochains mois pourraient ouvrir la porte aux nouvelles possibilités commerciales.

Partager cet Article
Article Précédent Les directeurs Xbox sont bien plus que des jeux – ils parlent du côté humain du développement de jeux
Article Suivant Meta veut que tout le monde le sache aussi investit beaucoup dans l’IA

Vous pourriez aussi aimer

Quitter la version mobile