L'état du Human Risk : gouvernance et conformité

J'ai pu constater de visu que le comportement humain continue d'être la clé de voûte des programmes de sécurité réussis et des brèches préjudiciables. Il ne s'agit plus d'une simple case à cocher pour la conformité - c'est le cœur d'une véritable résilience en matière de cybersécurité.

La nécessité de prendre en compte le risque humain au sein des organisations d'aujourd'hui est la priorité absolue des équipes de cybersécurité en 2025. C'est également le thème principal du neuvième rapport annuel de Mimecast sur l'état de l'industrie, qui vient d'être publié et qui s'intitule cette année " The State of Human Risk 2025 ".

Chaque année, Mimecast mène une enquête auprès des RSSI et d'autres professionnels de la cybersécurité afin de mieux comprendre les problèmes auxquels ils sont confrontés et les questions qui constituent leur priorité pour l'année à venir. Pour le rapport 2025, nous avons interrogé 1 100 décideurs en matière de sécurité informatique et d'informatique aux États-Unis, au Royaume-Uni, en France, en Allemagne, en Afrique du Sud et en Australie. Un éventail de secteurs privés et publics a été couvert, notamment les soins de santé, le commerce de détail, la finance, l'industrie manufacturière et les services publics.

Gouvernance et conformité

La gouvernance et la conformité sont des éléments très importants pour assurer le bon fonctionnement d'une organisation et peuvent témoigner de la sécurité et de la stabilité d'une entreprise. Les organisations qui peuvent faire preuve d'une gouvernance et d'une conformité solides jouiront d'une meilleure réputation sur leur marché et fidéliseront davantage leurs clients.

Un cadre solide de gouvernance et de conformité permet d'identifier et de mieux gérer les cyber-risques, en maintenant les opérations légalement solides et en conformité avec les normes du secteur et les politiques internes. En se concentrant sur la continuité des activités, la sécurisation des données sensibles et l'évitement des conséquences juridiques dommageables des violations de données ou des incidents de sécurité, les organisations se dotent d'une défense proactive contre les cyberattaques.

Intelligence artificielle

Les organisations peuvent aller plus loin dans la gouvernance et la conformité en utilisant l'intelligence artificielle (IA). L'IA n'est pas un simple outil, c'est un multiplicateur de force. Il aide les équipes à traiter d'énormes volumes de données, à automatiser les tâches fastidieuses, à détecter les anomalies et à donner la priorité aux menaces réelles avant qu'elles ne prennent de l'ampleur. L'IA garantit le respect des normes et réglementations de sécurité en vigueur, permet une atténuation proactive des menaces et optimise l'efficacité afin de rationaliser les efforts de recherche documentaire.

L'IA va non seulement renforcer les niveaux de conformité et de sécurité d'une organisation, mais aussi stimuler l'efficacité du personnel. L'avenir de la cybersécurité réside dans les outils de sécurité qui exploitent l'IA de manière stratégique, et c'est sans doute le seul moyen d'être plus intelligent et de devancer le monde en constante évolution de la cybercriminalité.

Résultats de l'enquête sur la gouvernance et la conformité

En ce qui concerne les répondants à l'enquête et l'IA, 95% déclarent que leur organisation utilise l'IA pour aider à se défendre contre les attaques de cybersécurité et/ou les menaces internes, 81% sont préoccupés par la possibilité de fuites de données sensibles via des outils GenAI, et 55% admettent ne pas être pleinement préparés avec des stratégies spécifiques pour les menaces induites par l'IA.

En outre, 46% des organisations interrogées ont déclaré utiliser des outils d'IA pour la détection et la surveillance des menaces ainsi que pour l'analyse et la réponse aux attaques de phishing. Et 43% ont déclaré utiliser des outils d'IA pour la protection des terminaux, l'analyse des comportements ou des sentiments, la détection des menaces internes et la réponse automatisée aux incidents.

Et lorsqu'il s'agit d'aborder le potentiel de l'IA pour exploiter le comportement humain et les erreurs en matière de cybersécurité :

• 44% des organisations mettent en œuvre des outils de surveillance et de protection alimentés par l'IA et développent des outils d'IA internes pour se protéger contre les attaques induites par l'IA.
• 42% forment leurs équipes à l'utilisation de l'IA pour éviter l'exploitation.
• 40% élaborent des politiques sur l'utilisation de l'IA.
• 38% mettent à jour ou introduisent un code de conduite pour les risques liés à l'IA.
• 36% collaborent et partagent des informations pertinentes avec leurs partenaires.
• 35% mènent des simulations d'attaques de phishing pilotées par l'IA.

Le bilan

Alors que nous constatons de grandes améliorations en matière de gouvernance et de conformité, en particulier lorsqu'il s'agit d'organisations utilisant avec succès des outils d'IA pour atteindre leurs objectifs de gouvernance et de conformité, les équipes de sécurité d'aujourd'hui doivent rester conscientes des menaces connues actuelles et faire preuve de diligence dans la découverte de nouvelles menaces afin de maintenir leur conformité. Le risque humain est complexe et évolue. Mais avec les bons outils et les bonnes stratégies, les équipes de sécurité peuvent garder une longueur d'avance. Le rapport complet sur l 'état des Human Risk 2025 approfondit les conclusions et propose une voie claire pour l'avenir.