1. Le SIM swapping : un nouveau type de ransomware
Les appareils mobiles sont devenus indispensables dans le cadre du travail, notamment à distance, et la mise en œuvre de l’authentification multifactorielle (MFA). Mais une nouvelle menace émerge : le SIM swapping. Cette technique permet à un attaquant de rediriger un numéro de téléphone vers une autre carte SIM qu’il contrôle, pour voler les codes MFA de l’utilisateur. Une menace qui compromet non seulement les identités numériques et données personnelles des utilisateurs, mais aussi les réseaux d’entreprise, ouvrant la porte à des accès non autorisés. En 2025, le SIM swapping pourrait connaître une véritable explosion, s’imposant comme l’équivalent mobile du phishing.

2. Les défis de conformité à la directive NIS 2
La directive NIS 2 impose aux entreprises françaises de renforcer leur cybersécurité et de garantir la résilience de leurs systèmes critiques. Pour s’y conformer, elles devront investir dans des technologies avancées, former leurs équipes et mettre en place des cadres de gouvernance plus stricts. Les dirigeants seront directement impliqués, avec une responsabilité accrue en matière de cybersécurité. Par ailleurs, la directive élargit son champ d’application à des secteurs essentiels comme l’énergie, la santé et les services stratégiques, rendant la conformité incontournable pour les acteurs de la chaîne d’approvisionnement.

3. Face à la pénurie de talents, une protection accrue des responsables IT
La pénurie de talents en cybersécurité reste un défi majeur. En 2025, les entreprises s’attaqueront au problème en protégeant davantage leurs responsables de la cybersécurité. Ces derniers, soumis à une pression croissante en cas de violation de données, sont de plus en plus souvent tenus personnellement responsables. Pour se prémunir, les CISOs devront se tourner vers des assurances personnelles, sur le modèle des protections accordées aux juristes d’entreprise. Cette évolution témoigne d’une reconnaissance de leur rôle critique.

4. L’IA au service de la cybersécurité
Alors que les cybercriminels exploitent l’IA depuis des années, 2025 marquera un tournant : les défenseurs tireront pleinement parti de l’intelligence artificielle générationnelle (GenAI). Celle-ci permettra d’analyser des volumes massifs de données pour identifier des vulnérabilités et anticiper les menaces. Les entreprises moderniseront leurs outils, privilégiant des solutions capables de s’autodiagnostiquer et de se protéger proactivement. En déployant l’IA de manière stratégique, elles pourront améliorer leur posture de cybersécurité tout en réduisant les charges opérationnelles.

5. Gestion de l’exposition : une approche globale et contextuelle
Les organisations aborderont la cybersécurité comme un enjeu stratégique, aligné sur les objectifs de performance de l’entreprise. La notion de “surface d’attaque” s’élargira pour inclure des actifs tangibles et intangibles. Grâce à l’apprentissage automatique, l’évaluation des risques passera d’analyses subjectives à des mesures objectives et basées sur les données. Enfin, les dirigeants du C-Suite intégreront une expertise en gestion des risques, favorisant des décisions cohérentes et transparentes.

6. Une collaboration renforcée entre CIO et CISO
La collaboration entre le CIO et le CISO deviendra essentielle pour protéger les entreprises modernes. En mutualisant ressources, données et technologies, ils renforceront leur posture de sécurité. Les CIO joueront un rôle clé en exploitant les informations issues de l’IA pour aligner les résultats techniques sur les objectifs stratégiques de l’entreprise. Toutefois, pour réaliser pleinement ce potentiel, il sera crucial de briser les silos de données entre départements. L’IA pourra ainsi offrir une vision centralisée des risques, alléger la charge des équipes IT et optimiser les décisions stratégiques.