Explosion des risques : la sécurisation des communications de contenus sensibles sera indispensable en 2024
Comprendre le risque d’exposition du contenu privé : évoluer dans le contexte à venir
À l’aube de 2024, les responsables des services informatiques, sécurité, gestion des risques et conformité font face à une situation difficile et changeante. La gestion des risques liés à la confidentialité et à la conformité est de plus en plus complexe, à l’instar de de la sophistication des attaques. Cet article explore les enjeux et les projections énoncés dans le rapport de prévision sur les communications de contenu sensible de Kiteworks pour 2024, qui apporte des éléments de réflexion et des stratégies destinés aux décideurs impliqués dans cette lutte vitale.
Vous pensez être en sécurité au sein de votre organisation. Êtes-vous capable de le vérifier ?
Intensification des menaces
Si le numérique a permis un certain niveau de connectivité et de confort, cette interdépendance a aussi ouvert les portes aux cybercriminels. Ces acteurs malveillants perfectionnent leurs méthodes en continu, si bien qu’il est de plus en plus difficile de détecter et de contrecarrer leurs attaques. Le rapport Kiteworks souligne un phénomène inquiétant : le ciblage des supply chains. Une telle approche permet aux pirates de compromettre de nombreuses organisations via un seul point d’entrée, ce qui amplifie l’impact de leurs actions. Rien que l’année dernière, les sous-traitants (y compris les fournisseurs de solutions informatiques) ont été à l’origine de 15 % des violations de données réussies.
L’émergence de l’intelligence artificielle générative et des grands modèles de langage (LLMs de GenAI) a encore complexifié la donne. Ces technologies, bien que révolutionnaires, représentent de nouvelles possibilités d’exploitation et de manipulation des données. C’est pourquoi la protection des contenus sensibles devient de plus en plus ardue.
Réponse réglementaire et défis organisationnels
Le montant toujours plus important des amendes et des condamnations pour non-conformité souligne le sérieux de cette évolution. Pour les organisations, cela signifie un besoin accru de suivi et de contrôle de l’accès au contenu, ainsi que des journaux d’audit complets pour attester du respect de ces exigences réglementaires en constante évolution.
Perspectives 2024 selon Kiteworks
Le rapport prévisionnel de Kiteworks intitulé « Les communications de contenu sensible en 2024 », fournit une analyse approfondie des tendances de l’année écoulée et formule des prévisions pour l’année à venir. L’un des principaux défis identifiés est la gestion de la confidentialité et de la conformité dans les communications de contenu sensible. Ces communications reposent sur un ensemble d’outils de communication tels que la messagerie électronique, le partage de fichiers, le transfert de fichiers géré (MFT), le SFTP et les formulaires web. Nombre de ces outils, développés il y a plus de dix ans, sont isolés en silos et ne disposent pas de fonctions de sécurité suffisamment avancées pour lutter contre les menaces modernes.
Cette lacune dans les dispositifs de sécurité a entraîné d’importantes violations de données. Les professionnels cherchent donc à réétudier leurs outils actuels de communication de données. Le rapport annonce un changement de stratégie pour 2024 : de plus en plus d’entreprises chercheront à centraliser leurs outils de communication au sein d’une seule et même plateforme. Une telle consolidation présente de nombreux avantages ; processus d’audit simplifiés, gestion uniforme des politiques, pour une meilleure défense contre les cybermenaces.
12 prévisions concernant les communications de contenus sensibles en 2024
Voici un aperçu des 12 prédictions du rapport prévisionnel Kiteworks 2024. De l’adoption des avancées technologiques à la promotion d’une culture de la sensibilisation à la cybersécurité, le chemin à parcourir exige une approche multiple.
1. Risques liés à la confidentialité des données et à la conformité des LLMs
Malgré les interdictions et les restrictions, le nombre d’employés et de tiers utilisant les LLM de GenAI va probablement doubler par rapport à 2023, les atouts concurrentiels se révélant bien trop précieux pour être ignorés. 15 % des employés, par exemple, publient régulièrement des données d’entreprise dans les LLM de GenAI, et un quart de ces données sont considérées comme sensibles. Cela va augmenter le risque d’exposition de la propriété intellectuelle, des données personnelles identifiables, des rapports financiers et des communications sensibles. Ainsi, les risques de violations de données vont s’accroître en 2024, avec les conséquences que cela implique en termes d’atteinte à l’image de marque, d’amendes et de sanctions réglementaires, de frais de justice et de perte de confiance de la part des clients.
Les organisations se tournent vers des modèles zéro trust, où les accès et la collaboration sont restreints en fonction de la sensibilité des données. Cette approche garantit un accès basé sur le principe du moindre privilège, une surveillance complète et un enregistrement de tous les accès et transferts de contenu. L’utilisation de la gestion des droits numériques (DRM) pour les contenus à haut risque se développera considérablement pour permettre la collaboration tout en empêchant le vol de données. En outre, il y aura plus de budget formation pour sensibiliser le personnel à la sécurité des données et à une utilisation responsable des GenAI LLM. Les entreprises qui entreprennent dès maintenant de sécuriser les données non structurées, d’instaurer une gouvernance stricte, un suivi et des contrôles de sécurité limiteront les risques liés à la sécurité et à la conformité.
2. Confidentialité des données et réglementations et normes relatives aux LLMs
L’émergence des LLM GenAI pose des problèmes importants de confidentialité des données et de conformité aux organisations, et les organismes réglementaires s’empressent d’instaurer des mesures en conséquence. Au premier rang de ces initiatives réglementaires figure le décret de la Maison Blanche du 30 octobre (EO), qui vise à surveiller et à réglementer les risques liés à l’IA tout en exploitant son potentiel. Le décret appelle le Congrès à agir et demande spécifiquement aux agences fédérales de prendre des mesures au cours de l’année à venir. Il fixe de nouvelles normes en matière de sûreté et de sécurité de l’IA, protège la confidentialité des données des citoyens américains et promeut un écosystème et un marché équitables, ouverts et compétitifs pour l’IA. Le texte s’appuie sur les recommandations du National Institute of Standards and Technology (NIST) et impose au gouvernement fédéral américain des obligations concernant l’utilisation et l’acquisition de logiciels d’IA. Il exige également des développeurs d’IA qu’ils fassent l’objet d’évaluations fédérales de la sécurité.
Aux États-Unis, les lois se renforcent, avec des États qui envisagent out ont déjà adopté de nouvelles lois sur l’IA. En dehors des États-Unis, l’Union européenne travaille à l’élaboration d’une loi qui entrera en vigueur progressivement d’ici à 2026, qui encadre l’utilisation de l’IA et vise à limiter les risques tout en réduisant les charges administratives et financières pour les entreprises, en particulier les PME.
Le NIST AI RMF Playbook met l’accent sur l’établissement de politiques visant à gérer les risques tiers, à tester la sécurité, la gouvernance des données et la transparence. En 2024, les organisations utilisant le NIST AI RMF devront poursuivre leurs efforts concernant la gestion des risques liés aux contenus sensibles par des contrôles robustes combinés à des pratiques d’IA responsables.
À mesure que les exigences et les normes de sécurité émergent, le suivi de la gouvernance et des journaux d’audit détaillés seront indispensables pour justifier qu’une organisation est conforme aux normes réglementaires. Les experts estiment que les normes d’IA seront mises en œuvre et rendues obligatoires dans les 6 derniers mois de l’année 2024, car il faudra du temps pour les créer et les rendre opérationnelles.
3. Besoin d’une approche MFT moderne
Les solutions de transfert de fichiers gérés (MFT) sont basées sur des technologies obsolètes et présentent des lacunes en matière de sécurité. Les déploiements sur site souffrent d’un manque de fonctionnalités et d’une approche en silos qui accentue leur vulnérabilité. Il faudrait mettre en œuvre une stratégie de protection telle que des pare-feux, la détection d’intrusion et des technologies antivirus. Ces solutions héritées sont souvent dépourvues de technologies de sécurité avancées telles que la prévention des pertes de données (DLP), la prévention des menaces avancées (ATP) et le désarmement et la reconstruction du contenu (CDR).
En 2024, les entreprises chercheront une appliance virtuelle moderne permettant d’appliquer une mise à jour centralisée en un seul clic, fournie par le fournisseur de solution MFT. Mais aussi des solutions MFT qui intègrent des fonctions de sécurité avancées pour faire face au nombre croissant de cybermenaces. Les outils MFT sont essentiels pour garantir un transfert de données sécurisé et automatisé et pour assurer la conformité des logiciels supply chain, de plus en plus ciblés par les cyberattaques. Dans son rapport annuel, IBM a révélé que 12 % des violations de données impliquaient les logiciels supply chain, dont 15% étaient imputables à des tiers.
De récents exploits de type « zero-day » dans les principaux outils de MFT montrent que ces vulnérabilités continueront à faire l’objet d’attaques en 2024, avec de graves conséquences sur la supply chain, des amendes réglementaires, des frais de justice et des atteintes à la réputation des entreprises.
4. Nécessité d’une passerelle de protection des e-mails moderne
L’e-mail reste le premier vecteur d’attaque, avec des attaques de logiciels malveillants et d’hameçonnage ayant augmenté de 29 % et des attaques par compromission de messagerie professionnelle (BEC) de 66 %. Le montant moyen dérobé par attaque BEC atteint 50 000 dollars. La sécurité traditionnelle de la messagerie électronique a du mal à faire face à ces attaques sophistiquées d’ingénierie sociale, qui ciblent souvent l’erreur humaine. Plus de 80 % des violations de données exploitent les vulnérabilités humaines, en contournant les mesures de sécurité des systèmes de messagerie.
Si le chiffrement des courriels a progressé (90 % des responsables informatiques en font une priorité pour les communications externes) les pratiques internes sont à la traîne, avec 79 % des entreprises qui partagent des données sensibles non chiffrées par e-mail. En outre, seules 35 % des entreprises ont mis en place des mesures de chiffrement avancées. La complexité et les difficultés rencontrées avec les méthodes de chiffrement et les échanges de clés publiques s’ajoutent à ces lacunes.
Les lacunes dans la sécurité de la messagerie persistent, telles que l’absence de GDN, de DLP, de détection avancée des menaces, un stockage cloud non sécurisé et une mauvaise gestion des identités. Tant que les entreprises n’auront pas adopté une politique de sécurité zéro trust pour envoyer, recevoir et stocker les e-mails, la sécurité des e-mails restera un facteur de risque important pour la confidentialité des données et la conformité en 2024.
5. Multiplication des réglementations et des normes en matière de confidentialité des données
L’année 2023 a été marquée par la multiplication des réglementations et des normes en matière de protection de la vie privée. Gartner prévoit que les données personnelles des trois quarts de la population mondiale soient couvertes par des réglementations d’ici fin 2024, et que le budget annuel moyen alloué à la protection de la vie privée en entreprise dépasse les 2,5 millions de dollars. Aux États-Unis, cinq États américains ont promulgué des lois sur la confidentialité des données en 2023, et dix autres ont adopté à ce jour des lois en la matière et les promulgueront en 2024 et 2025.
À l’échelle mondiale, les mesures de protection des données sont de plus en plus nombreuses, l’UE faisant avancer plusieurs législations, dont le RGPD, la loi sur les marchés numériques, la loi sur les services numériques et le règlement sur l’IA. Le nouveau cadre de protection des données de l’UE, qui facilite les transferts de données transatlantiques, exige des entreprises américaines qu’elles autocertifient leur conformité auprès du ministère du commerce.
Le Cadre de protection de la vie privée du NIST, initialement publié en 2020, sera probablement élargi en 2024 afin de mieux prendre en compte la gestion des risques d’entreprise, pour s’aligner sur les projets de lois fédérales. Les mises à jour prévues du NIST CSF concernent l’évaluation continue des risques et la gestion des risques de la supply chain. Les organisations ont du mal à démontrer leur conformité en raison d’approches cloisonnées de la communication de contenus sensibles. On s’attend toutefois à ce qu’elles optent pour une gouvernance centralisée et des journaux d’audit afin d’améliorer le suivi et le reporting.
6. Importance croissante de la souveraineté des données
En 2024, localiser les données est un défi majeur de la souveraineté des données pour les organisations, avec 70 % des pays qui réglementent déjà la manière dont les entreprises collectent, stockent et utilisent les données de leurs citoyens.
Ce contexte réglementaire oblige les entreprises, en particulier les multinationales, à gérer les juridictions dans lesquelles résident les données, en équilibrant cela avec la tendance à la démocratisation des données, qui les rend largement accessibles en interne. La souveraineté des données (qui englobe tous les types de données, telles que les informations personnelles identifiables) est désormais indispensable pour rester conforme et minimiser les risques juridiques, ce qui favorise la confiance et protège la réputation des entreprises.
Le déploiement des applications est de plus en plus soumis à des lois de souveraineté, avec des pays comme l’Allemagne et la Chine qui appliquent des contrôles stricts, et la loi américaine CLOUD Act qui complique encore le traitement des données internationales. Les entreprises préféreront souvent les fournisseurs proposant un hébergement au niveau national afin de se conformer à ces lois. Cependant, des lois telles que le CLOUD Act peuvent influencer le choix de l’hébergement, ce qui conduit à préférer les solutions d’hébergement à locataire unique qui simplifient le respect de la souveraineté des données, malgré les difficultés potentielles liées à l’audit. Les entreprises pourraient choisir d’adopter des fonctions de souveraineté des données dans leurs applications ou d’opter pour des solutions d’hébergement à locataire unique pour gérer plus efficacement les déploiements dans plusieurs pays.
7. Augmentation des amendes pour violations de la confidentialité des données
Les amendes et les pénalités associées aux violations de la confidentialité des données ont augmenté au cours des deux dernières années, atteignant des records pour les violations du RGPD. Cela devrait se poursuivre en 2024. Parmi les amendes les plus importantes infligées en 2023, 1,3 milliard de dollars infligés à Meta (Facebook) par la Commission irlandaise de protection des données, 391,5 millions de dollars infligés à Google dans le cadre d’un accord avec 40 États américains, 61,7 millions de dollars infligés à Amazon par la FTC, et 2,1 millions de dollars infligés à Uber, également par la FTC.
Les autorités de régulation se concentrent sur l’application des lois relatives à la protection de la vie privée et sur l’imposition d’amendes en cas d’infraction. Ces sanctions sont le résultat d’un système de gouvernance et de sécurité laxiste. Par exemple, les récentes amendes infligées à Marriott et British Airways dans le cadre du RGPD. Ce précédent indique que les régulateurs vont sévir contre les entreprises qui exposent des données personnelles par négligence. Au fur et à mesure que de nouvelles lois sur la confidentialité des données seront adoptées, tant par les États américains que dans le monde entier, les répercussions financières continueront de croître.
L’application des réglementations sur la protection des données ne diminuera pas en 2024, la majeure partie de la population mondiale étant désormais couverte par des réglementations en la matière. Les organisations vont probablement attribuer des ressources spécifiques pour la protection de la confidentialité des données. Pour les organisations opérant dans plusieurs pays, une nouvelle approche de la conception et de l’acquisition du cloud à travers les modèles de service sera utile pour s’adapter aux différentes stratégies de localisation en 2024.
8. Adoption de solutions de communication de contenu sensible autorisées par FedRAMP
La loi James M. Inhofe sur l’autorisation de la défense nationale (NDAA) pour l’exercice fiscal 2023, signée par le président Joe Biden, codifie le programme FedRAMP au sein de l’Administration des services généraux. Elle met en œuvre des modifications importantes conçues pour simplifier davantage les processus d’adoption et d’utilisation des services cloud par le gouvernement. Parallèlement, l’OMB a proposé des mises à jour pour moderniser FedRAMP, dans le but d’étendre le programme, d’améliorer les contrôles de sécurité et d’accélérer l’adoption d’un cloud sécurisé par le gouvernement fédéral.
D’ici 2024, l’autorisation FedRAMP, aujourd’hui obtenue sous couvert d’un processus annuel d’audit rigoureux, sera probablement une exigence de base pour tout fournisseur de services cloud souhaitant travailler avec le gouvernement fédéral américain. Pour les prestataires de la base industrielle de la défense (DIB), la CMMC 2.0 inclut les exigences FedRAMP, et le fait d’avoir des communications de données de fichiers et d’e-mails autorisées par FedRAMP leur facilite grandement la tâche. Comme les prestataires du DIB chercheront à obtenir la certification CMMC Niveau 2 en 2024, ils se tourneront vers des technologies adaptées, y compris pour les communications de fichiers et d’e-mails.
9. Émergence de la gestion des droits numériques pour protéger les contenus sensibles
L’adoption de la gestion des droits numériques (GDN) s’accélérera pour que les organisations puissent protéger le contenu sensible et être conformes aux futures réglementations.[] Les études de marché prévoient une forte croissance de la GDN, pouvant potentiellement dépasser les 5 milliards de dollars d’ici 2024. Gartner indique que l’intégration de la GDN aux futures technologies sera impactante et certainement un point important pour les organisations en 2024. Pour la gestion des politiques basées sur le contenu, les organisations se tourneront vers les normes de sécurité comme le Cadre de Cybersecurity du NIST (CSF) et le NIST 800-53.
Les motivations sont l’augmentation des cyberattaques, les lois sur la confidentialité des données, et la demande pour le contrôle du partage de contenu interne et externe. La GDN nouvelle génération est cruciale pour la confidentialité des données, car elle offre une protection efficace des données sensibles lorsqu’elles quittent le périmètre de l’organisation. Pour réussir avec la GDN, les organisations ont besoin d’un suivi unifié, d’un contrôle, et d’une visibilité à travers leurs écosystèmes numériques. Et donc le respect des bonnes pratiques en matière de gouvernance, de flux de travail et de contrôles d’accès.
En 2024, la classification des données et la gestion des politiques de GDN seront essentielles, avec différents niveaux de protection en fonction des niveaux de risque. Les secteurs très réglementés, comme la santé avec un volume colossal de données personnelles à gérer, la finance, l’industrie, la justice, l’administration et l’enseignement, sont prêts à adopter des solutions GDN avancées pour gérer les risques liés à la confidentialité des données et à la conformité.
10. Outils de sécurité avancée dans les communications de contenu sensible
En 2024, les organisations sont prêtes à adopter largement des technologies de cybersécurité avancées telles que la prévention des pertes de données (DLP), la prévention avancée des menaces (ATP) et le content disarm and reconstruction (CDR) pour gérer les flux de contenus sensibles. Ces outils contribueront à sécuriser les données en transit et au repos. La DLP permettra d’analyser les communications sortantes afin d’empêcher toute divulgation involontaire, tandis que la CDR supprimera activement les éléments potentiellement nuisibles des documents entrants. Les plateformes MFT devraient intégrer ces fonctionnalités de manière native, afin de renforcer la sécurité et d’empêcher les violations de politiques.
La priorité sera d’assurer une surveillance complète des échanges de contenu, un contrôle rigoureux et des pistes d’audit détaillées. Les plateformes centralisées, en particulier les plateformes MFT, simplifieront l’application des politiques de sécurité à travers les différents outils de communication (messagerie électronique, partage de fichiers, formulaires web). L’intégration de l’ATP garantira que tous les contenus transférés sont minutieusement analysés et les risques limités. Le marché de la (DLP) devrait bien se développer, en raison d’une focalisation sur la découverte de données, l’application des politiques, la classification des données et la réponse aux incidents, avec un taux de croissance annuel composé de 22,3% jusqu’en 2030.
11. Centralisation des Communications de Contenu Sensible et le réseau de contenu privé (PCN)
Le concept de réseau de contenu privé (PCN) repose sur une nouvelle vision du modèle de sécurité traditionnel zéro trust, en mettant l’accent sur la sensibilité du contenu plutôt que sur la défense du périmètre du réseau. Les PCN fonctionnent selon des principes de confiance définis par le contenu, en attribuant des étiquettes de sensibilité aux données et en appliquant des mesures de sécurité telles que le chiffrement et le contrôle d’accès en fonction du niveau de sensibilité classifié du contenu. Cette approche garantit que la sécurité est adaptée à l’importance des données, et pas seulement à leur emplacement sur le réseau.
En 2024, les organisations adopteront de plus en plus les PCN, pour une gestion dynamique des politiques en fonction de la sensibilité des données. Ce système applique des politiques de risque modulées en fonction des rôles utilisateurs, de la classification des données et des actions envisagées, y compris des vérifications supplémentaires pour les informations très sensibles. En outre, les PCN améliorent la visibilité et la conformité grâce à l’enregistrement détaillé de toutes les interventions sur le contenu, conformément au principe du « ne jamais faire confiance, toujours vérifier », et ouvrant la voie à une gestion unifiée des communications sur le contenu sensible.
12. Multiplication des échanges de fichiers très volumineux contenant du contenu sensible
Avec l’augmentation significative de la taille des fichiers, les organisations sont confrontées à des défis croissants en matière de gestion de contenus sensibles volumineux. L’industrie de la biotechnologie, par exemple, génère des fichiers de données de séquençage de l’ADN en masse, en raison des progrès de la recherche génétique et de la médecine individualisée. Dans le domaine de la conception et de l’ingénierie, la complexité des fichiers de CAO augmente. La dépendance des forces de l’ordre vis-à-vis des preuves vidéo, l’utilisation par le marketing de supports haute définition et l’explosion des fichiers analytiques dans les domaines de l’économie et de la recherche scientifique requièrent tous des solutions de stockage et de transfert sécurisées et robustes.
Le secteur en plein essor des grands modèles de langage (LLM) est un autre sujet de préoccupation, avec des ensembles de données de formation dont la taille et la confidentialité augmentent rapidement. La gestion de ces grands ensembles de données sensibles devient une question opérationnelle cruciale.
La nécessité pour le service client de gérer de vastes fichiers journaux et HAR contenant des données sensibles, comme l’a montré la violation d’Okta, met en évidence les vulnérabilités en matière de sécurité. La tendance des salariés à utiliser des méthodes de transfert non approuvées ne fait qu’exacerber ces risques. Bien que les solutions de stockage cloud telles que Microsoft 365 et Box aient augmenté leurs limites, elles ne répondent toujours pas aux exigences des entreprises à forte densité de données, qui nécessite des avancées en matière de transfert et de stockage de fichiers volumineux et sécurisés.
Aborder 2024 avec un PCN
La progression des cybermenaces telles que les attaques contre les supply chains et les risques liés aux LLM de GenAI augmenteront les risques cybernétiques en 2024. Pour compliquer les choses, les réglementations mondiales en matière de confidentialité des données évoluent et se multiplient, augmentant considérablement les amendes et les sanctions. En réaction, nous allons assister à un développement de la GDN et des PCN sur la sécurité centrée sur les données. Les organisations vont se tourner vers des plateformes centralisées pour centraliser la messagerie électronique, le transfert de fichiers et la collaboration, le MFT et les formulaires Web sur la base de politiques cohérentes qui respectent les principes du zéro trust.
Kiteworks propose un PCN qui répond à ces nombreuses préoccupations : protection avancée contre les menaces, contrôles d’accès robustes, journaux d’audit détaillés et transferts sécurisés de fichiers volumineux pour aider à gérer les risques liés aux contenus sensibles. Pour en savoir plus sur le réseau de contenu privé de Kiteworks, réservez dès maintenant votre démonstration personnalisée.
Ressources supplémentaires
- Brief Comment exploiter l’évolution de l’IA et lutter contre les fuites de données avec Kiteworks
- Brief Moyens de naviguer dans le cadre de la protection des données UE-États-Unis
- Brief Lorsque vous avez absolument besoin du MFT le plus sécurisé
- eBook Top 10 des tendances en matière de chiffrement des données
- eBook 15 cas d’utilisation soutenant la conformité HIPAA avec Kiteworks