Au cours des deux dernières années, les entreprises brésiliennes ont intensifié leur processus de transformation numérique, en adoptant des solutions telles que le cloud computing, l'intelligence artificielle (IA) et l'automatisation pour gagner en efficacité et en agilité. Le problème est qu'en incorporant ces nouvelles technologies, les entreprises doivent également faire face à de nouvelles vulnérabilités. Au cours des derniers trimestres, le Brésil a connu une augmentation significative des incidents cybernétiques. Un rapport publié par Check Point Research a montré qu'au troisième trimestre de 2024, les entreprises brésiliennes ont subi en moyenne 2 766 attaques par semaine chacune – une hausse de 95 % par rapport à la même période de 2023.
Cette montée des attaques révèle le décalage entre innovation et sécurité. De nombreuses entreprises ont accéléré leurs projets numériques dans le cloud pendant la pandémie et après, mais toutes n'ont pas renforcé leurs défenses au même rythme. En conséquence, 83 % des grandes entreprises ont subi au moins une attaque informatique grave en 2023, entraînant des arrêts non planifiés, des pertes financières et des fuites de données.
Au-delà du renforcement des défenses corporatives, nous sommes encore loin d'avoir des processus de gouvernance matures. Les données indiquent que le nombre d'organisations au Brésil sans gouvernance des données pourrait atteindre 80 %.
Innovation versus sécurité : élargissons-nous notre vulnérabilité ?
Même si les investissements en cybersécurité et en structuration de la gouvernance restent timides, la course à l'innovation a entraîné une augmentation des budgets IT au cours de la dernière année : de 2023 à 2024, le marché brésilien des TI a connu une croissance de 13,9 %, dépassant la moyenne mondiale et atteignant 58,6 milliards de dollars américains. Les priorités d'investissement ont inclus la modernisation de l'infrastructure cloud, la numérisation des processus métier et l'adoption de l'IA générative.
Les secteurs traditionnels, tels que le bancaire, mènent les investissements en innovation – les banques et les fintechs investissent massivement dans le cloud et l'IA pour offrir la banque mobile et les paiements numériques. En général, les entreprises brésiliennes ont consacré environ 9,4 % de leur chiffre d'affaires en 2023 et 2024 à la Technologie de l'Information et de la Communication (TIC). La Fundação Getúlio Vargas (FGV) estime que ce pourcentage augmentera à 11 % dans les deux ou trois prochaines années, si les organisations continuent d'investir dans l'innovation et la modernisation.
D'autre part, le pays est devenu le deuxième pays le plus attaqué au monde en matière de cybercriminalité, avec plus de 700 millions d'attaques en 12 mois (1 379 attaques par minute !). En 2024 seulement, il y a eu 356 milliards de tentatives d'attaques cybernétiques sur le territoire brésilien, un scénario alarmant, et qui se répète dans le monde entier.
Globalement, il y a eu un record d'attaques – une augmentation de plus de 75 % en 2024, un phénomène en partie attribué à l'utilisation de l'IA par les cybercriminels pour automatiser et rendre les attaques plus sophistiquées. Phishing personnalisé en masse, malwares adaptatifs et DDoS plus puissants sont des exemples de menaces amplifiées par une intelligence artificielle malveillante.
Les vulnérabilités croissent également sous de nouvelles formes : une étude indique que 57 % des entreprises brésiliennes utilisent déjà l'IA pour générer du code logiciel, ce qui représente le troisième taux le plus élevé au monde. Paradoxalement, 44 % de ces organisations considèrent le code généré par l'IA comme leur principale préoccupation en matière de sécurité, craignant des défaillances inattendues ou des vulnérabilités introduites par la génération autonome de logiciels. Les API – essentielles pour intégrer systèmes et applications – constituent un autre point aveugle : plus de la moitié (52 %) des entreprises au Brésil perçoivent des risques élevés liés aux API exposées. En résumé, tout en amplifiant l'innovation, des initiatives telles que DevOps agile, la migration massive vers le cloud, l'utilisation extensive d'appareils connectés et le développement orienté par l'IA augmentent les vecteurs d'attaque et la complexité de la protection des environnements.
Le problème est que l'innovation ne va pas nécessairement de pair avec l'augmentation de la sécurité numérique. Même si de nombreuses entreprises sont plus innovantes en cybersécurité et augmentent leur arsenal de solutions de défense, le stade en est encore à ses débuts. L'année dernière, le Markets, Innovation & Technology Institute (MiTi) et le Security Design Lab (SDL) ont publié une étude sectorielle sur la cybersécurité, qui a évalué la maturité de 181 entreprises brésiliennes. L'étude a montré que, malgré des améliorations, le niveau moyen de maturité en cybersécurité était de 53 %, toujours moyen – bien qu'il s'agisse d'une avancée par rapport à 49 % l'année précédente.
Ce chiffre indique qu'une grande partie des entreprises est encore en dessous des meilleures pratiques recommandées. Par exemple, 53 % des entreprises authentifient leurs systèmes critiques uniquement par identifiant et mot de passe, une méthode dépassée, tandis que 24 % n'ont pas de budget dédié à la cybersécurité et 27 % ne réalisent pas régulièrement de tests de pénétration. Ces chiffres montrent que, bien que les investissements soient en croissance, il reste encore des lacunes importantes à combler en termes de politique, de culture et de gouvernance.
Gouvernance : associée à l'innovation, elle peut renforcer la résilience cybernétique
Il existe une corrélation claire entre la maturité de la gouvernance et de la conformité et la capacité de l'entreprise à résister aux incidents cybernétiques ou à mener à bien des innovations avec succès. Les données suggèrent que les organisations avec de bonnes pratiques de GRC (Gouvernance, Risques et Conformité) subissent moins d'impacts et obtiennent de meilleurs résultats dans leurs projets de transformation numérique.
Par exemple, la même étude menée par MiTi et SDL a également révélé que 38 % des entreprises n'ont pas de plan de réponse aux incidents et 46 % n'ont pas de plan de reprise après sinistre. Ces chiffres sont préoccupants, car l'absence de plans de contingence efficaces tend à prolonger et aggraver les dégâts lorsqu'une attaque se produit.
En revanche, les entreprises qui anticipent les risques et investissent dans la sécurité en récoltent des bénéfices tangibles. Une étude mondiale de PwC souligne que seulement 5 % des entreprises placent réellement la sécurité au cœur de leur innovation, en intégrant le travail du CISO dès le début des projets. Et ce sont justement ces entreprises qui ont enregistré moins de violations de données et, même lorsqu'elles sont attaquées, subissent des incidents de moindre coût.
Autrement dit, intégrer la gouvernance et la sécurité dès la conception de nouvelles initiatives IT augmente la probabilité que de nouveaux projets soient mis en service sans augmenter la surface d'attaque numérique et sans rendre les entreprises encore plus vulnérables. Sans gouvernance, les initiatives de big data, d'intelligence artificielle ou de transformation numérique risquent d'échouer ou de générer des conséquences indésirables (comme une utilisation abusive des informations ou des systèmes fragiles).
Les entreprises avec une gouvernance plus mature ont plus de facilité à respecter les exigences des clients et des régulateurs, ce qui permet de participer à de nouveaux marchés et de nouer des partenariats d'innovation. D'autre part, le manque de conformité peut bloquer des projets – imaginez développer une solution innovante qui traite des données personnelles sans respecter la LGPD : le projet rencontrera des obstacles juridiques et réputationnels. Par conséquent, des structures solides de conformité et de sécurité renforcent la confiance des parties prenantes et permettent à l'innovation de prospérer de manière responsable et résiliente.
En résumé, la gouvernance et la sécurité ne sont pas antagonistes à l'innovation – au contraire, elles servent de fondement à une innovation durable. Les entreprises qui structurent des comités, des politiques et des plans de réponse subissent moins d'incidents cybernétiques imprévus et parviennent à se concentrer sur la croissance de leur activité. Celles qui négligent ces éléments stratégiques sont davantage exposées aux interruptions, aux pertes financières et à la nécessité de remédiations d'urgence, ce qui retarde ou redirige invariablement des investissements qui pourraient aller vers l'innovation. Les chiffres le confirment : la maturité en gouvernance, conformité et sécurité va de pair avec une résilience accrue et un succès dans les projets technologiques. Les entreprises qui parviendront à aligner ces fronts devront non seulement mieux se protéger contre les incidents, mais aussi conquérir un avantage concurrentiel en innovant avec confiance et durabilité sur le marché brésilien de plus en plus numérique.
