L’année 2025 est sur sa dernière ligne droite, c’est donc déjà l’heure des premiers bilans sur les menaces cyber, les incidents d’ampleur illustrés dans les médias et le spectre des futurs dangers de l’année 2026 qui se profilent à l’horizon.
L’année 2025 est sur sa dernière ligne droite, c’est donc déjà l’heure des premiers bilans sur les menaces cyber, les incidents d’ampleur illustrés dans les médias et le spectre des futurs dangers de l’année 2026 qui se profilent à l’horizon.
Essayons de résumer en quelques mots l’année 2025 :
Ce mot est sur toutes les lèvres, même celles des personnes qui ne comprennent rien à l’IA, mais qui, face à une « interface homme-machine » révolutionnaire (le prompt du GenAI), s’auto-proclament « expert/consultant IA ». Il est vrai que le prompt séduit, que les réponses reçues de l’IA générative sont aguichantes (même si parfois elles sont complaisantes ou tout simplement fausses), que les anticipations sont grandes sur les gains de productivité de l’IA.
En matière de CyberSécurité, l’IA affole autant que dans les autres domaines. Celle-ci est à la fois utilisée dans les outils qui protègent, autant que dans de nouveaux outils développés, maintenus et à disposition des hackers. Mais ce n’est pas tout, l’IA est aussi une cible de choix, car, une fois infiltrée, corrompue, détournée de ses fonctions premières, elle devient un danger pernicieux pour les utilisateurs lambda, ceux-ci lui faisant une confiance aveugle. Les premiers cas d’automatisation d’exfiltration de données à travers une injection du prompt sont apparus et vont certainement se multiplier.
Cette tendance a même donné lieu à un « Hype Cycle for AI & Cybersecurity » de la part du Gartner Group. Comme pour les autres anticipations des bénéfices de l’IA, les désillusions vont être très grandes, laissant place en définitive aux usages apportant réellement de la valeur, comme la technologie « ML-Based Anomaly Detection ».
L’Europe, à tort ou à raison, a été très prolifique dans la publication de règlementations impactant de près ou de loin le monde de la CyberSécurité : NIS2, CRA (Cyber Resilience Act), IA Act, …
La Belgique, sous l’égide du CCB (Centre de Cybersécurité Belge) a transcrit, avec une rapidité déconcertante, dans une loi nationale la directive NIS2 (déjà en 2024), mais cela dans un sens très constructif, car elle n’a pas uniquement légiféré, mais le CCB a aussi fourni un « framework », des outils, des conseils, des services… permettant à toutes les entités relevant du NIS2 de prendre à bras le corps la mise en œuvre de cette conformité.
2025 a été l’occasion pour le CCB de revoir son « framework » appelé « CyFun (cyber fundamentals) » pour le mettre à jour et y intégrer certaines améliorations (comme les spécificités de l’ICS/OT dans le monde de l’automation). Au-delà du Cyfun 2025, le CCB permet aussi à l’ensemble des entreprises touchées par la sécurité de la « supply chain » de pouvoir adopter ce framework avec un niveau plus simple (Cyfun Basic), mais néanmoins indispensable à la résilience de leurs activités.
Cependant, impactées légalement par toutes ces règlementations, les entreprises sont parfois démunies en termes de temps, de séquence des opérations de conformité ou tout simplement en manque de ressources humaines ou financières pour les intégrer, le tout dans une économie avec maximum 1 % de croissance du PIB, autant dire en stagnation.
La déferlante des législations abordées ci-dessus doit être mise en parallèle du coût économique des CyberAttaques. L’année 2025 a été exemplative sur les impacts économiques d’une ampleur gigantesque liés à des cyberattaques tout aussi gigantesques. Les deux exemples très illustratifs sont :
– La perturbation de nombreux aéroports à cause d’une cyberattaque sur le logiciel de gestion des enregistrements des passagers de la société « Collins-Aérospace ». L’issue positive n’a pu être trouvée que dans le cadre du déploiement d’une nouvelle version en parallèle du système actuel, perturbant cette activité économique et humaine pendant plusieurs jours.
– La paralysie des usines (et le reste) du constructeur automobile Jaguar Land Rover. Une mise à l’arrêt de plus de 1 mois de toute l’activité économique de l’entreprise qui s’est soldé par la venue en aide du Gouvernement Britannique qui a débloqué 1,5 milliard de Livres pour fournir une « garantie de prêt ».
Si le coût économique réel des cyberattaques était évalué systématiquement (en tenant compte de tous les impacts), peut-être se rendrait-on finalement compte que le mot « investir » en CyberSécurité est plus pertinent que « dépenses ou budget » en CyberSécurité.
Les quelques rapports relatifs aux coûts sont pourtant très édifiants et ne font que confirmer un proverbe bien connu : il vaut mieux prévenir que guérir !
Les règlementations de tout type allant dans un objectif de résilience cyber prennent donc tout leur sens si on y intègre le fait qu’à la fin, c’est quand même les citoyens et les entreprises qui payeront la note à travers les impôts directs et indirects.
Le Cyfun du CCB intègre dans ses mesures l’importance pour une organisation de gérer le risque cyber de ses fournisseurs de « produits » et de « services ». Ce sont donc bien les PMEs qui découvrent que finalement le NIS2 les impacte de manière indirecte. L’histoire nous a montré que les fournisseurs sont parfois à l’origine de cyber-incidents importants et impactant. Pensons au malware Stuxnet introduit par un fournisseur en charge d’une partie de la maintenance de la chaîne de production ou à SolarWinds (logiciel de monitoring d’infrastructure et d’applications) qui a propagé un malware à tous ses clients, car les hackers avaient introduit du code malveillant dans un de leur « patch ».
Cependant, plus récemment, nous avons traversé quelque chose de plus pernicieux : le hacking de la société de CyberSécurité F5.
En effet, des hackers s’étant introduits dans les systèmes de F5 depuis des années, ils ont été capables d’identifier des vulnérabilités de type « 0 day » après avoir téléchargé une partie du code source d’une de leur solution de sécurité. Ceci leur aurait permis d’infiltrer les infrastructures des clients de F5 (grands groupes, agences gouvernementales,…).
Si nous prenons un peu de hauteur face à cet évènement d’ampleur, il apparaît que le mot qui fâche est « confiance ». Si la confiance qu’on accorde à des sociétés spécialisées en CyberSécurité est mise à mal, alors à qui doit-on l’accorder ?
La source de ce hacking semble avoir été attribuée à un « état-nation », du moins d’après les communiqués publiés.
Je crois que la terminologie « Zero Trust », parfois très commerciale du secteur, devrait être appliquée avec beaucoup de rigueur par tous les clients.
Dans tous les cas, « supply chain attack » prend ici tout son sens aussi.
Tout le monde a déjà entendu parler d’informatique Quantique. Évitons d’essayer de vulgariser quelque chose de plus complexe encore que l’IA. Retenons juste une de ses conséquences dans le domaine de la CyberSécurité : les algorithmes cryptographiques actuels ne seront plus d’aucune utilité dès que cette technologie se répandra. On parle donc de plus en plus d’algorithmes « post-quantiques ».
Ceci semble être une découverte pour certains, alors que toute personne en charge de la cyber-sécurité devrait savoir que la durée de vie d’un algorithme cryptographique a toujours été limitée dans le temps.
A priori, rien de nouveau sous le soleil, mais restons prudent sur un aspect non négligeable : est-ce que la puissance des puces électroniques présentes dans nos devices sera-t-elle suffisante pour ces nouveaux algorithmes ?
L’expérience du passé nous a enseigné que, dans beaucoup de cas, le déploiement de solutions de sécurité plus robustes est passé par une phase de remplacement purement et simplement des équipements existants.
On pourrait dire encore bien des choses sur l’année 2025, mais reconnaissons tout de même qu’il semble que, comme l’année 2015 d’ailleurs, 2025 est une année de rupture.
Mais finalement, n’est-ce pas une des qualités demandées aux personnes en charge de cette thématique qu’est la CyberSécurité : s’adapter ?
Oui, il faut s’adapter :
– À la menace qui évolue
– Aux risques qui s’agrandissent
– À la surface d’attaque qui ne cesse de se complexifier et de s’agrandir
– Aux législations qui s’appliquent à notre environnement Cyber
– Aux solutions, approches et outils toujours plus nombreux et complexes
Bref, la rupture demande une agilité extrême dans un contexte où tout va plus vite !
MCG organise une veille technologique en cyber nous permettant de conseiller et de guider nos clients pour les aider à améliorer leur résilience tout en leur permettant de progresser dans le cadre de leur métier.
