En 2023, un cadre supérieur sera licencié pour l’utilisation par son entreprise de la surveillance des employés. C’est l’une des prédictions sur la sécurité, la confidentialité et les risques diffusées par Forrester lundi.
Au cours de l’année à venir, les législateurs prêteront une attention accrue à la surveillance des lieux de travail, et les dénonciateurs pourraient également exiger des informations de surveillance pour étayer des plaintes concernant des violations du droit du travail, selon les prédictions réunies par 10 analystes de Forrester.
Les analystes ont conseillé aux entreprises de donner la priorité au droit à la vie privée et à l’expérience des employés lors de la mise en œuvre de toute technologie de surveillance, que ce soit pour la productivité, les stratégies de retour au travail ou la gestion du risque d’initié.
“Les membres de la direction doivent être conscients de ce qu’ils surveillent et de la protection de la vie privée des personnes, et idéalement, ils auront un audit tiers pour s’assurer qu’ils sont conformes aux réglementations applicables”, a observé Joey Stanford, responsable de la sécurité et de la protection de la vie privée pour Platform.sh, un fournisseur mondial de plate-forme en tant que service.
“Nous avons une nouvelle génération d’employés qui se soucient du droit à la vie privée”, a-t-il déclaré à TechNewsWorld.
Timothy Toohey, avocat spécialisé dans la protection de la vie privée chez Greenberg Glusker à Los Angeles, est d’accord pour dire que les violations de la vie privée des employés ou des clients pourraient faire tomber un dirigeant à l’avenir.
“À la lumière de la décision de la FTC concernant Drizly, les cadres sont dans la ligne de mire”, a-t-il déclaré à TechNewsWorld. “S’il y a un cas où la sécurité est inadéquate, où il n’y a pas de plan de sécurité, ou une violation antérieure qui a été ignorée, je peux voir quelqu’un de la C-suite être mis sur le billot.”
Dans l’affaire Drizly, la Federal Trade Commission a annoncé en octobre qu’elle allait imposer des sanctions individuelles au PDG de cette société de livraison d’alcool pour des abus de confidentialité des données, qui auraient entraîné l’exposition des informations personnelles d’environ 2,5 millions de clients.
Des équipes de sécurité épuisées
Forrester a également prédit qu’une entreprise du Global 500 sera exposée en 2023 pour avoir épuisé ses employés de cybersécurité.
Les équipes de sécurité sont déjà en sous-effectif, ont noté les analystes. Ils citent une étude réalisée en 2022 selon laquelle 66 % des membres des équipes de sécurité subissent un stress important au travail, et 64 % ont vu leur santé mentale affectée par ce stress.
Ils ajoutent que l’on attend du personnel qu’il soit disponible 24 heures sur 24 et 7 jours sur 7 lors d’incidents majeurs, qu’il reste à l’affût de tous les risques, qu’il obtienne des résultats dans des délais limités et qu’il doive faire face à des refus lorsqu’il présente des demandes budgétaires.
“Aujourd’hui, toutes les équipes de sécurité, y compris la mienne, sont épuisées”, a déclaré Stanford. “La raison pour laquelle nous sommes épuisés est que nous n’avons pas assez de fonds. Pourquoi n’avons-nous pas assez de fonds ? Parce que la sécurité est traitée comme un centre de coûts.”
L’augmentation des attaques de la chaîne d’approvisionnement et la nécessité de surveiller davantage de risques de tiers contribuent également à l’épuisement, a ajouté Brad Hibbert, COO et CSO de Prevalent Networks, une société de conseil en risques de tiers.
“Les entreprises essaient d’avoir plus de visibilité sur un plus grand nombre de tiers”, a-t-il déclaré à TechNewsWorld. “Cela signifie qu’elles doivent évaluer davantage de tiers. Pour ce faire, les équipes de sécurité doivent faire plus de travail. Nous constatons que les équipes se heurtent à un mur. Elles ne peuvent pas faire évoluer leurs programmes de manière efficace et efficiente sans épuiser les équipes de sécurité.”
Réinitialiser les attentes
L’épuisement des employés de la cybersécurité est une chose réelle, a observé Roger Grimes, un évangéliste de la défense chez KnowBe4, un fournisseur de formation à la sensibilisation à la sécurité à Clearwater, Fla.
“Je suis dans le monde de la cybersécurité depuis plus de 34 ans maintenant, et pendant cette période, j’ai dû conseiller et encadrer de nombreuses personnes qui étaient complètement épuisées dans ce domaine, principalement parce que ce qu’elles faisaient pour arrêter la cybercriminalité ne fonctionnait pas et ne fonctionnerait probablement jamais “, a-t-il déclaré à TechNewsWorld.
J’ai eu des mentorés et des amis qui ont quitté le domaine de la cybersécurité pour devenir des artistes, des auteurs, et même travailler dans ce qui pourrait être considéré comme un “travail subalterne” parce qu’ils avaient au moins le sentiment que leur nouvel emploi faisait une différence dans la vie des gens”, a-t-il ajouté.
“Je comprends. Qui veut être sur une roue de hamster à grande vitesse et ne jamais avancer, ne jamais résoudre le problème pour lequel il a été embauché ?” a demandé Grimes.
“Je conseille aux professionnels de la cybersécurité qui souffrent d’épuisement professionnel d’avoir une mentalité de policier pour leur travail”, a-t-il poursuivi. “Ne pensez pas que vous allez un jour résoudre complètement le problème. Soyez comme un policier qui sait que sa ville est pleine de crimes, qu’il ne peut pas en arrêter la plupart, et que cela se passe tout autour de lui. Mais tous les flics font profil bas, font le meilleur travail possible, et s’ils s’investissent dans la lutte contre la criminalité, c’est qu’ils n’ont pas le choix.de l’infraction qui leur est présentée, ils ont fait un excellent travail.”
“Si vous ne voulez pas vous épuiser, réinitialisez vos attentes, faites le meilleur travail possible dans les limites de ce que vous pouvez contrôler, et évaluez votre succès sur ce que vous pouvez influencer”, a-t-il conseillé.
Une prédiction ambitieuse
Une autre prédiction de Forrester : plus de 50 % des directeurs des risques rendront compte directement au PDG de leur organisation.
En 2022, le risque est devenu le thème dominant des conférences sur la sécurité comme Black Hat, notent les analystes. Il a dépassé la conformité comme principal moteur d’investissement dans les technologies de gouvernance, de risque et de conformité, car le niveau de risque des entreprises a augmenté.
Ils ont également noté que les priorités des entreprises en matière de risque évoluent de la conformité vers la résilience. Les dirigeants et les conseils d’administration se tournent vers les chargés de clientèle pour les aider à identifier de nouvelles opportunités commerciales.
L’étude 2022 The State of Risk Oversight de l’ERM Initiative et de l’AICPA montre que 44% des entreprises ont un CRO, dont 47% rapportent au CEO, ont-ils ajouté. Afin de s’assurer que la GRE bénéficie du niveau nécessaire de visibilité et de soutien de la part des dirigeants, davantage de responsables de la gestion des risques rendront compte aux PDG en 2023, ont-ils noté.
Jason Hicks, CISO sur le terrain et conseiller exécutif chez Coalfire, un fournisseur de services de conseil en cybersécurité à Westminster, Colo, a trouvé la prédiction de 50% de Forrester un peu ambitieuse.
“Les responsables de la sécurité et des risques font pression pour ce changement depuis des années maintenant, avec des résultats peu brillants”, a-t-il déclaré à TechNewsWorld. “La politique interne de l’entreprise est un obstacle assez important sur ce point”.
“Je m’attendrais à ce que davantage de responsables de la sécurité rendent compte au PDG, mais pas 50 % l’année prochaine”, a-t-il ajouté. “J’élargirais également les titres pour inclure le CISO et le CSO, car le titre de CRO est plus répandu dans les services financiers et peut ne pas exister dans d’autres verticaux en tant que rôle autonome.”
Se lancer dans l’activité MDR
Forrester a également prédit qu’au moins trois souscripteurs de cyberassurance acquerront un fournisseur de détection et de réponse gérées (MDR) en 2023.
Bien que les fournisseurs d’assurance aient introduit des processus de souscription plus rigoureux en 2022, l’augmentation des primes et la réduction des couvertures constituent toujours des angles morts, expliquent les analystes.
Ils s’attendent à ce que les assureurs se lancent de manière agressive dans la cybersécurité en acquérant des sociétés MDR, dont beaucoup chercheront à sortir d’un marché devenu très concurrentiel.
Hicks est d’accord avec les pronostiqueurs de Forrester. “C’est un bon moyen d’ajouter de la valeur ajoutée. [Absolute Risk Reduction] dans leur combinaison de revenus “, a-t-il déclaré.
“Nous avons déjà vu Aon et d’autres acheter des entreprises de réponse aux incidents, il s’agit donc d’un autre investissement synergique pour les assureurs”, a-t-il poursuivi. “Cela pourrait également être un bon moyen de gérer les défis en matière de personnel, car de nombreuses sociétés de MDR ont également du personnel de réponse aux incidents.”
