Priorités en matière de technologie pour les DSI des États en 2025
La cybersécurité et la gestion du risque sont arrivées en tête des priorités des DSI des États américains ces 12 dernières années. C'est une fois encore le cas en 2025, selon la National Association of State Chief Information Officers (NASCIO, l'association nationale des DSI des États américains). Est-ce surprenant ? Pas vraiment.
La cybersécurité constitue un sujet complexe et vaste. De même, chaque nouvelle technologie émergente élargit le panorama des menaces. Pour les agences nationales et les autres grandes entreprises/organisations, la cybersécurité se présente comme un parcours de transformation des processus et des outils au sein d'un environnement en constante évolution.
La migration vers le cloud a radicalement modifié la pile de cybersécurité préalablement déployée. Le processus moderne de développement d'applications a ensuite ajouté d'autres éléments au paysage des menaces avec les microservices et les API. Et la liste continue. Aujourd'hui, c'est l'intelligence artificielle (IA) qui vient s'ajouter à l'équation. Les défis que les DSI et les RSSI doivent relever au sein de l'univers cyber sont immenses. L'adoption de nouveaux cadres de sécurité, l'intégration des anciennes technologies aux nouvelles, la modification des processus et la poursuite de relations avec les humains (le tout en préservant la conformité et en améliorant la gouvernance) se présentent comme un long parcours.
La cybersécurité et la gestion du risque sont-elles vouées à rester à tout jamais en tête de la liste des priorités d'un DSI ? Il faudrait un arrêt total de l'innovation ou l'apparition d'une capacité de défense révolutionnaire.
Faute de tels événements, nous pensons que les États doivent adopter une stratégie Zero Trust, à l'instar de la stratégie mise en œuvre par le gouvernement fédéral. Le moment est opportun. Ce cadre bénéficie d'un appui solide de la part de la communauté des professionnels de la cybersécurité. De même, grâce au travail du département de la sécurité intérieure (Department of Homeland Security) et de l'agence de cybersécurité et de sécurité des infrastructures (Cyber Security and Infrastructure Security Agency), les agences disposent d'un ensemble complet d'outils proposant des définitions, des méthodes et un modèle de maturité à suivre.
D'aucuns seraient tentés de dire que le Zero Trust n'est qu'un autre cadre de sécurité, mais il représente bien plus que cela. Le Zero Trust se présente comme une approche de la cybermodernisation centrée sur les données qui va au-delà des modèles traditionnels axés sur le réseau, dans lesquels les pare-feu et les capteurs étaient censés arrêter les menaces. Le modèle Zero Trust part du principe que des violations se produiront inévitablement. Il implique la mise en place d'un processus d'authentification et de surveillance en continu, ainsi que d'un système d'atténuation automatisée des risques, afin de protéger les environnements et les systèmes d'un monde moderne au sein duquel les données jouent un rôle prépondérant. Il est intéressant de noter que l'IA pourrait aider les équipes à réaliser davantage de leurs objectifs de cybersécurité et à terme, détrôner la cybersécurité de sa première place dans la liste des priorités des DSI.
L'IA parle haut et fort
L'IA s'est généralisée. De nos jours, aucun sujet technologique ne fait l'objet d'autant d'écrits que l'IA. Il n'est donc guère surprenant que l'IA se soit hissée à la deuxième place des priorités des DSI. Pour autant, il subsiste encore beaucoup d'incompréhension sur ce qu'est réellement l'IA et sur la manière dont elle sera utilisée, prise en charge et sécurisée.
L'IA est une technologie fondatrice qui influencera de nombreux marchés, produits et processus. L'examen du Top 10 de la NASCIO révèle que l'IA fait partie intégrante de la plupart des neuf autres priorités, notamment la cybersécurité, les services numériques, les ressources humaines, la modernisation des services existants, les services cloud et même l'accessibilité. Après avoir mentionné des scénarios d'utilisation spécifiques de l'IA, comme la prestation de services publics et les assistants numériques, la NASCIO a appelé dans un deuxième temps et de manière distincte à l'établissement de politiques visant à guider une utilisation responsable de l'IA.
Comparée à l'IA traditionnelle, l'IA générative n'en est qu'à ses débuts dans son processus de développement. Les dirigeants expriment à juste titre des inquiétudes concernant l'éthique des utilisations, la propriété de la propriété intellectuelle et la confidentialité de l'IA générative. Ainsi, la mise en place de garde-fous et de politiques d'utilisation encadrant l'IA générative sera la priorité de chaque DSI et chaque RSSI d'État en 2025.
En parallèle, de nombreux dirigeants explorent la manière dont l'IA sera intégrée à la cybersécurité. Les produits de cybersécurité intègrent depuis des années des modèles traditionnels d'IA et de ML (Machine Learning, apprentissage automatique) dont les systèmes de détection des anomalies et des outils d'analyse comportementale tirent parti. Nous pensons que la synergie entre la cybersécurité et l'IA continuera à s'accentuer et que l'utilisation du traitement du langage naturel (NLP, Natural Language Processing) et des grands modèles linguistiques (LLM, Large Language Models) renforcera et facilitera l'utilisation des cyberoutils.
L'utilisation d'outils d'IA modernes contribuera également à uniformiser les règles du jeu avec des adversaires qui disposent eux-mêmes d'outils puissants et assistés par IA. Les acteurs malveillants utilisent l'IA pour rendre les attaques de phishing plus réalistes, accélérer la vitesse de création et de diffusion des logiciels malveillants, mais aussi rendre d'innombrables autres tactiques plus efficaces. Les DSI et les RSSI devront faire face aux menaces liées à l'IA avec des mécanismes de défense mis en œuvre par l'IA.
Surprise : l'accessibilité entre dans le classement
Le département de la Justice a récemment mis à jour la règle du Titre II de la loi américaine en faveur des personnes handicapées (Americans with Disabilities Act), qui comprend désormais des exigences spécifiques à l'intention des administrations locales et nationales afin de rendre les applications web et mobiles accessibles aux personnes titulaires d'un handicap. Nous pensons que c'est la raison pour laquelle, pour la première fois, l'accessibilité figure parmi les 10 principales priorités des DSI et nous sommes reconnaissants pour l'attention renouvelée : le gouvernement est aux services de tous, y compris des personnes porteuses de handicap, et l'accessibilité doit donc faire partie intégrante de chaque initiative numérique de l'administration.
Il existe un excellent moyen d'améliorer l'accessibilité, il suffit pour cela de tirer parti de la liste de contrôle des exigences essentielles du Service numérique des États-Unis. L'accessibilité est au cœur de nos préoccupations.
Les DSI des États font bien les choses
Nous saluons les réalisations accomplies chaque année par les équipes informatiques de nos agences nationales, ainsi que les directeurs des systèmes d'information des États qui définissent les bonnes priorités avec un budget toujours complexe. Nous reconnaissons également que le classement NASCIO Top 10 ne constitue qu'une liste réunissant les priorités des DSI des 50 États pour 2025. Il ne rend pas nécessairement compte des véritables complexités ou du travail incroyable qui se trame en coulisses pour tenir compte de ces priorités. Nous saluons également les équipes informatiques qui s'efforcent d'intégrer diverses solutions et de se former, elles et d'autres, aux nouvelles technologies et aux nouveaux processus, tout en orientant la gestion du changement nécessaire à la réussite.
Nous vivons une période d'innovation passionnante dans le domaine de l'informatique. Cela implique souvent une dose de stress à court terme. Toutefois, les répercussions des initiatives technologiques sont plus importantes que jamais, tant pour les agences gouvernementales que pour les administrés.
Se préparer au déploiement du Zero Trust, de l'IA et de l'accessibilité
Les agences gouvernementales doivent déployer le modèle Zero Trust. Le Zero Trust correspond à une architecture de cybersécurité moderne qui préparera les administrations à notre monde hyperconnecté, orienté données et assisté par IA. Il doit être plus qu'un simple cadre de sécurité. L'adoption et le perfectionnement d'une architecture Zero Trust et des processus qui y sont associés contribueront à sécuriser les données des agences et des citoyens et ainsi à renforcer la confiance dans les instances gouvernementales.
L'IA est une discipline transformatrice qui engendrera des répercussions sur de nombreuses autres disciplines et processus. Les directeurs des systèmes d'information doivent continuer à se former eux-mêmes et leurs équipes à l'IA. Ils doivent chercher à renforcer la sécurité grâce à l'IA et, dans le même temps, veiller à sécuriser les données de leurs agences et des administrés contre les risques liés à l'IA. Enfin, ils doivent préparer leurs effectifs à cette transformation. Les professionnels de l'informatique et les employés non informatiques doivent être formés et sensibilisés aux principes fondamentaux de l'IA. L'éducation permettra d'optimiser l'utilisation de l'IA et de la protéger contre son utilisation abusive.
Le fait que l'accessibilité figure parmi les 10 premières priorités des DSI marque une évolution importante. Les agences ne doivent pas voir l'accessibilité comme une obligation de mise en conformité. Elles doivent se donner pour mission de soutenir l'ensemble de leurs administrés et intégrer l'accessibilité comme une priorité pour les services numériques.
Cloudflare peut aider les agences locales et nationales à déployer des initiatives qui répondent à ces priorités, ainsi qu'aux autres priorités majeures des DSI. Ainsi, grâce à son expertise approfondie et à son ensemble complet de fonctionnalités Zero Trust, Cloudflare permet aux agences d'accélérer l'adoption du Zero Trust, par exemple. Les solutions IA proposées par Cloudflare peuvent également permettre aux agences de faire le premier pas nécessaire vers cette nouvelle technologie et amorcer leur transformation.
De même, si l'on part du principe fondamental qu'Internet doit être accessible à tous, les efforts déployés par Cloudflare en matière d'accessibilité s'alignent totalement sur la priorité des DSI qui consiste à améliorer cette dernière. La plateforme de développement Cloudflare peut contribuer à rationaliser le travail des développeurs des agences afin de permettre à ces derniers de consacrer davantage de temps à s'assurer de l'accessibilité de leurs applications et de leurs services. Parallèlement, Cloudflare s'est efforcée d'intégrer des fonctionnalités d'accessibilité au sein de ses produits essentiels, comme sa solution d'isolement de navigateur et son tableau de bord.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur la manière dont le Zero Trust peut réduire les risques pour les agences gouvernementales et les autres entreprises dans notre document intitulé Guide de déploiement de l'architecture Zero Trust.
Auteur
Dan Kent — @danielkent1
Directeur technique sur site pour le secteur public, Cloudflare
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Pourquoi l'accessibilité est devenue une priorité absolue
La manière dont l'IA affecte le paysage de la cybersécurité
Qu'est-ce qui fait du Zero Trust la bonne stratégie pour renforcer la cybersécurité des agences gouvernementales ?