Selon un dernier rapport de l’Institut Ponemon et de DTEX Systems, le coût des menaces de cybersécurité causées par des salariés de l’entreprise a augmenté au cours de l’année 2023.
Les pertes financières potentielles liées aux incidents de sécurité causés par des personnes internes à l’entreprise – intentionnelles ou accidentelles – sont en forte augmentation, car les sociétés continuent à mal appréhender cette menace. Selon un rapport de Ponemon Institute publié par DTEX Systems, fournisseur de technologies de gestion des risques basées sur l’IA, les entreprises sous-financent généralement leurs programmes de lutte contre le risque d’intrusion, dépensant environ 200 dollars par employé pour ce type de sécurité. « Le financement est involontairement mal orienté en partie à cause d’une incompréhension généralisée des risques provenant de l’interne et de la façon dont ils se manifestent sur la base de comportements d’alerte précoce », indique l’étude. « Une approche globale de l’industrie est nécessaire pour éduquer et trouver un terrain d’entente sur la façon dont nous définissons et discutons des risques internes avec les entreprises et les entités gouvernementales ».
Le rapport, qui s’appuie sur une enquête menée auprès de plus de 1 000 décideurs dans le domaine des technologies de l’information et de la sécurité informatique, révèle que 58 % des personnes interrogées estiment que ce montant n’est pas suffisant. Selon le rapport, les conséquences de cette sous-utilisation des budgets pourraient être graves. Le coût total moyen d’un risque provoqué par l’interne est passé de 15,4 M$ en 2022 à 16,2 M$ en 2023, tandis que le nombre moyen de jours nécessaires pour contenir une menace de sécurité provenant d’un salarié est passé de 85 à 86 au cours de la même période.
Des erreurs et négligences qui coûtent chers
Ponemon Institute a classé les menaces internes en trois catégories. Premièrement, les menaces dues à des collaborateurs malveillants qui cherchent à nuire à l’entreprise, comme des employés mécontents. Deuxièmement, les menaces dues à un attaquant extérieur qui a compromis un employé vulnérable, qui s’est fait avoir par une escroquerie par hameçonnage ou autre. Enfin, dans la catégorie la plus coûteuse, le rapport décrit les cas de négligence ou d’erreur de la part de salariés qui ont ignoré les avertissements des systèmes de sécurité ou qui ont mal configuré un système.
Plus de la moitié, soit 55 %, des sommes consacrées à la réponse aux incidents d’initiés ont été affectées à des problèmes causés par des négligences ou des erreurs, contre 20 % pour les nouvelles attaques qui ont simplement déjoué les plans du personnel de l’entreprise ou des services informatiques, et 25 % pour celles causées par des employés activement malveillants. Selon les auteurs du rapport, les équipes de sécurité pourraient donc économiser beaucoup d’argent en se concentrant sur la détection et la prévention, au lieu d’être obligées de consacrer leurs budgets à la remédiation. Dans l’estimation finale, l’étude a révélé que seulement 10 % des budgets de gestion des risques liés aux personnes internes aux entreprises étaient consacrés aux dépenses préalables à l’incident, soit environ 64 000 dollars par incident. Les 565 363 dollars restants par incident ont été consacrés au confinement, à la remédiation, à l’investigation, à la réponse à l’incident et à l’escalade.
L’éditeur de sécurité Check Point étend ses capacités en matière de gestion des accès réseau sécurisés et des architectures zero trust en mettant la main sur Perimeter 81. Ses technologies rejoindront sa gamme de produits Infinity existants.
L’entreprise de cybersécurité Check Point Software acquiert le fournisseur de services d’accès sécurisé (SASE) Perimeter 81 pour 490 millions de dollars. Son but ? Renforcer ses offres de sécurité edge, à une époque où les activités sont de plus en plus menées dans des environnements de travail hybrides et à distance. L’objectif est d’intégrer l’architecture d’accès au réseau zero trust (ZTNA) et la technologie de déploiement rapide de Perimeter 81 dans l’architecture existante des produits Infinity, selon un communiqué publié par Check Point ce jeudi. Cette initiative vise à répondre à la demande croissante de technologie ZTNA, qui est particulièrement importante pour les entreprises qui emploient des travailleurs à distance et en mode hybride. « Avec l’avènement du travail hybride et la montée de la transformation cloud, la demande de services de sécurité qui s’étendent au-delà du périmètre du réseau augmente », a déclaré Gil Shwed, CEO de Check Point.
ZTNA offre un travail à distance plus sûr, avec un moyen plus granulaire de contrôler l’accès aux applications et aux ressources de l’entreprise que celui offert par un VPN traditionnel. Selon Christopher Rodriguez, directeur de recherche chez IDC, c’est la clé du raisonnement qui sous-tend l’achat de Check Point. « La pression a été d’ajouter des passerelles web sécurisées et des courtiers de sécurité d’accès cloud, ce qui n’est pas facile à faire ». Selon lui, il s’agit d’un sujet récurrent du monde de la sécurité des réseaux : le modèle SASE, qui est devenu la nouvelle norme, comporte de nombreuses pièces mobiles et capacités techniques, qui doivent toutes être conçues ou acquises. Les fournisseurs sont ainsi contraints de mettre en œuvre rapidement un grand nombre de technologies différentes pour répondre à la demande d’entreprises de plus en plus exigeante, sachant que ce n’est pas l’offre qui manque sur le marché.
Une technologie potentiellement plus efficace
Plus précisément, Christopher Rodriguez a fait remarquer que l’approche de Perimeter 81 en matière de ZTNA est différente – et potentiellement plus efficace – de celle de Check Point. Les racines de cette dernière société en tant que fournisseur de pare-feu signifient que sa propre technologie ZTNA rappelle un firewall plaçant essentiellement des images virtuelles devant des serveurs pour obtenir une capacité zero trust. Perimeter 81, en revanche, utilise ce que Christopher Rodriguez appelle un ZTNA plus classique, avec des passerelles, des contrôleurs et des agents qui assurent la médiation d’une véritable connexion individuelle entre les utilisateurs et les ressources auxquelles ils ont besoin d’accéder. « Ainsi, au lieu d’obtenir un accès à l’ensemble du réseau comme le fait un VPN, avec ZTNA, vous accédez à une application spécifique dont vous avez besoin pour faire votre travail – c’est ce que fait Perimeter 81 », analyse-t-il.
De nombreuses entreprises européennes dont en France Airbus, Dassault Systèmes, Orange et Renault craignent qu’un excès de réglementation sur l’IA ne fasse échouer les efforts visant à faire de l’Europe l’un des principaux acteurs de son développement. Et que cela leur demande aussi trop d’efforts.
Une proposition de loi dans les tuyaux depuis 2021 pour réglementer l’IA en Europe – et en cours de négociation depuis le 14 juin – est ciblée par de nombreuses critiques. En particulier des grandes entreprises privées européennes qui ont publié une lettre ouverte plaidant pour moins de restrictions et une approche moins bureaucratique. Des dirigeants de Siemens, Dassault, Heineken, Renault, Deutsche Telekom ou encore Airbus, soit au total 163 personnes, ont paraphé le document.
Les signataires ont exhorté l’UE à adopter une approche plus souple en matière de réglementation de l’IA, craignant que le projet de loi ne rende le continent moins compétitif dans ce domaine en plein essor. « Vouloir ancrer la réglementation de l’IA générative dans la loi et procéder à une logique de conformité rigide est une approche aussi bureaucratique qu’inefficace pour atteindre son objectif », peut-on lire dans la missive. « Dans un contexte où nous en savons très peu sur les risques réels, le modèle économique ou les applications de l’IA générative, le droit européen devrait se limiter à énoncer de grands principes dans le cadre d’une approche fondée sur les risques ».
Des coûts et de risques disproportionnés pointés du doigt
La lettre souligne l’importance de l’IA générative, la comparant à l’invention de la puce électronique ou de l’internet, et indique que la nécessité de se conformer à la loi pourrait entraîner la délocalisation hors d’Europe de grands innovateurs dans le domaine de l’IA. « Selon le projet de loi récemment adopté par le Parlement européen, les modèles de fondation, quels que soient leurs cas d’utilisation, seraient fortement réglementés, et les entreprises qui développent et mettent en œuvre de tels systèmes seraient confrontées à des coûts disproportionnés et à des risques de responsabilité disproportionnés », peut-on lire dans cet écrit.
La loi sur l’IA approuvée par le Parlement européen aura force de loi si elle est ratifiée par chaque pays de l’UE. Les dispositions comprennent une interdiction générale de l’utilisation de l’IA dans l’identification biométrique, une obligation d’étiquetage des contenus générés par l’IA et des mesures de protection contre l’IA et les contenus illégaux. La réglementation a été modifiée en avril afin de mieux encadrer l’IA générative, ce qui a suscité un débat sur les changements de dernière minute. En fin de compte, les législateurs sont parvenus à un consensus sur le fait que les grands modèles de langage tels que GPT doivent être réglementés afin de préserver les droits et les valeurs fondamentales de l’Union européenne, comme la liberté d’expression. Une disposition exigeant que tous les créateurs d’IA générative divulguent le matériel protégé par des droits d’auteur a également été incluse.
De nombreuses entreprises européennes dont en France Airbus, Dassault Systèmes, Orange et Renault craignent qu’un excès de réglementation sur l’IA ne fasse échouer les efforts visant à faire de l’Europe l’un des principaux acteurs de son développement. Et que cela leur demande aussi trop d’efforts.
Une proposition de loi dans les tuyaux depuis 2021 pour réglementer l’IA en Europe – et en cours de négociation depuis le 14 juin – est ciblée par de nombreuses critiques. En particulier des grandes entreprises privées européennes qui ont publié une lettre ouverte plaidant pour moins de restrictions et une approche moins bureaucratique. Des dirigeants de Siemens, Dassault, Heineken, Renault, Deutsche Telekom ou encore Airbus, soit au total 163 personnes, ont paraphé le document.
Les signataires ont exhorté l’UE à adopter une approche plus souple en matière de réglementation de l’IA, craignant que le projet de loi ne rende le continent moins compétitif dans ce domaine en plein essor. « Vouloir ancrer la réglementation de l’IA générative dans la loi et procéder à une logique de conformité rigide est une approche aussi bureaucratique qu’inefficace pour atteindre son objectif », peut-on lire dans la missive. « Dans un contexte où nous en savons très peu sur les risques réels, le modèle économique ou les applications de l’IA générative, le droit européen devrait se limiter à énoncer de grands principes dans le cadre d’une approche fondée sur les risques ».
Des coûts et de risques disproportionnés pointés du doigt
La lettre souligne l’importance de l’IA générative, la comparant à l’invention de la puce électronique ou de l’internet, et indique que la nécessité de se conformer à la loi pourrait entraîner la délocalisation hors d’Europe de grands innovateurs dans le domaine de l’IA. « Selon le projet de loi récemment adopté par le Parlement européen, les modèles de fondation, quels que soient leurs cas d’utilisation, seraient fortement réglementés, et les entreprises qui développent et mettent en œuvre de tels systèmes seraient confrontées à des coûts disproportionnés et à des risques de responsabilité disproportionnés », peut-on lire dans cet écrit.
La loi sur l’IA approuvée par le Parlement européen aura force de loi si elle est ratifiée par chaque pays de l’UE. Les dispositions comprennent une interdiction générale de l’utilisation de l’IA dans l’identification biométrique, une obligation d’étiquetage des contenus générés par l’IA et des mesures de protection contre l’IA et les contenus illégaux. La réglementation a été modifiée en avril afin de mieux encadrer l’IA générative, ce qui a suscité un débat sur les changements de dernière minute. En fin de compte, les législateurs sont parvenus à un consensus sur le fait que les grands modèles de langage tels que GPT doivent être réglementés afin de préserver les droits et les valeurs fondamentales de l’Union européenne, comme la liberté d’expression. Une disposition exigeant que tous les créateurs d’IA générative divulguent le matériel protégé par des droits d’auteur a également été incluse.