Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 11 de 17 Dans le présent rapport.
August 18, 2023 / 7 minute(s) de lecture
APAC : Les régulateurs et les entreprises réagissent à l’intensification des risques liés aux ransomwares et à la réputation
Les entreprises améliorent leur cybermaturité globale alors que les cyberrisques sont en hausse dans toute l’Asie-Pacifique. Cet article se penche sur la maturité de la région en matière de cyberrisques ainsi que les principaux facteurs de risque, examine de plus près les secteurs de la production manufacturière, des finances et des soins de santé et recommande des mesures pour aider les dirigeants à aller de l’avant.
Principaux points à retenir
- En réponse à la hausse des risques, la cybermaturité globale des clients est passée du niveau « de base » au niveau « géré ».
- Les organismes de réglementation réagissent aux récentes atteintes très médiatisées, incitant les chefs de file en matière de gouvernance d’entreprise et de risque à renforcer leur surveillance des risques.
- Les tendances mondiales indiquent que les attaques par rançongiciel sont en hausse* et les assureurs réagissent en demandant que l’on porte une attention accrue aux contrôles faisant partie intégrante du processus de souscription.
* “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Report. Aon. May 2023.
Pour la première fois, les cyberrisques se sont imposés comme l’un des cinq principaux risques pour les chefs d’entreprise de la région de l’Asie-Pacifique, comme en témoignent les résultats du sondage mondial d’Aon de 2021 sur la gestion des risques (le sondage d’Aon)2. Ils ont également été classés dans le sondage d’Aon comme le futur sujet de risque le plus important pour les cinq prochaines années. Ces résultats permettent de représenter la transformation des menaces dans la région et la perception des cadres supérieurs selon laquelle la cybersécurité constitue un risque important pour les activités commerciales. Les résultats de l’évaluation du cyberquotient (CyQu) d’Aon3 servent également à souligner l’importance stratégique de la gestion des cyberrisques pour la haute direction, les clients ayant fait état d’une amélioration de leur cybermaturité globale, celle-ci passant du niveau « de base » au niveau « géré » (selon la méthode de calcul CyQu des indices 2,01 à 2,68)4 pour la période de 2020 à 2022.
Il semble y avoir trois principaux facteurs de risque dans la région. Les tensions géopolitiques ont accentué l’importance de gérer les risques liés à la chaîne d’approvisionnement, y compris les cyberattaques contre les dépendances critiques dans les réseaux d’approvisionnement, les vulnérabilités informatiques dans les chaînes d’approvisionnement numériques et l’exfiltration de la propriété intellectuelle par des fournisseurs stratégiques. Les risques liés à la chaîne d’approvisionnement sont particulièrement préoccupants pour les secteurs d’importance stratégique situés dans des points chauds de la région5. En réponse à ces risques, les données CyQu ont montré que les contrôles de la chaîne d’approvisionnement se sont améliorés, passant, entre 2020 et 2022, du plus bas niveau de maturité CyQu, soit l’état « initial », à un niveau « géré »6.
Les facteurs de risques réglementaires7,8,9 et d’atteinte à la réputation10,11 se sont également intensifiés dans toute la région. La prévalence des crises de réputation à la suite de cyberincidents a intensifié les exigences pour une meilleure gouvernance d’entreprise et pour que les chefs de file en matière de risque jouent un rôle plus actif dans la gestion des cyberrisques. Les récentes atteintes à la protection des données médiatisées en Australie et en Asie12,13,14 ont eu des répercussions sur le rendement financier, ont suscité un contrôle défavorable de la part des organismes de réglementation, ont miné la valeur pour les actionnaires et ont exposé les dirigeants d’entreprise15. Pour y répondre, divers organismes de réglementation du secteur, de la protection de la vie privée et de la protection des consommateurs de Singapour, de la Thaïlande, de la Chine, du Vietnam, de l’Australie et de l’Indonésie ont indiqué qu’ils intensifieraient leurs examens et mises en application des lois en matière de protection des données16. Les contrôles en matière de gouvernance des cyberrisques et de protection des données semblent en retour s’être améliorés dans la région, les clients indiquant être passés du niveau « de base » au niveau « géré » entre 2020 et 2022. Ce changement témoigne de l’importance accrue accordée à l’amélioration de la surveillance des risques et à la protection des renseignements personnels pour les dirigeants d’entreprise.
Comme c’est le cas dans d’autres régions, les organisations et le marché de l’assurance de l’Asie-Pacifique considéraient les attaques par rançongiciel comme la principale cybermenace17. Les entreprises de tous les secteurs et de toutes les tranches de revenus ont signalé une nette amélioration dans les domaines de contrôle de base responsables de la gestion des perturbations opérationnelles provoquées par des cyberattaques, comme la gestion des accès, la résilience opérationnelle et les systèmes d’extrémité, passant du niveau « de base » au niveau « géré ». Cette progression va de pair avec le déclin de 40 % des événements liés à des rançongiciels en Asie-Pacifique en 2022 (par rapport à l’année précédente)18.
Perspectives par secteur
Cette année, nous avons examiné de façon plus approfondie trois secteurs : la production manufacturière, les finances et l’assurance ainsi que les soins de santé. En 2022, les entreprises de ces trois secteurs ont fait état d’une situation globale « gérée » en matière de cyberrisques. Le secteur des finances et de l’assurance a connu le gain le plus important depuis 2020, passant de l’indice le plus faible, soit l’état de préparation « initial » (<1 sur l’échelle CyQu), au niveau « géré ».
La résilience opérationnelle est demeurée à un niveau « de base » pour les entreprises de production manufacturière. Toutefois, les clients ont indiqué une amélioration de la gestion de la continuité des activités. Les organisations doivent encore gérer suffisamment les risques opérationnels, alors que le télétravail et la gestion des risques liés aux tiers demeurent des vulnérabilités particulièrement graves en raison des défis inhérents à la dispersion de la protection des réseaux de technologie opérationnelle, des services de fabrication et de la main-d’œuvre19.
Les sociétés financières et d’assurance ont quant à elle fait état d’une maturité de niveau « avancé » en matière de gestion des risques liés aux tiers, ce qui reflète l’orientation réglementaire prudente de la région à cet égard. La gestion des risques s’est améliorée en passant au niveau « géré », ce qui démontre une harmonisation croissante entre les équipes de sécurité et les cadres traditionnels des risques opérationnels et des risques assurables du secteur bancaire et financier20.
Les entreprises de soins de santé ont fait état d’une sécurité physique « avancée ». La sécurité des applications demeure cependant à son état « initial » et présente une importante vulnérabilité compte tenu de la croissance des appareils médicaux connectés et de l’utilisation plus avancée de l’Internet des objets dans le secteur des soins de santé21.
Et maintenant? Mesures suggérées pour les dirigeants de l’Asie-Pacifique
- Mettre à jour et renforcer les cadres de gouvernance et les stratégies de gestion des risques concernant les cyberrisques. La réglementation en matière de protection de la vie privée dans la région s’adapte aux nouvelles menaces posées par les atteintes à la protection des données et les nouvelles technologies, comme l’intelligence artificielle22. Par conséquent, il est primordial que les cadres supérieurs démontrent adéquatement leur adoption d’une bonne gouvernance et d’une bonne gestion des risques liés aux cybermenaces, conformément aux pratiques exemplaires et aux exigences réglementaires. Cette mesure permettra non seulement d’améliorer le profil de risque des entreprises, mais aussi d’atténuer les éventuelles mesures réglementaires et actions des actionnaires en cas de violation.
- Rester vigilant face aux menaces par rançongiciel. Bien que les entreprises de la région aient obtenu de bons résultats dans la lutte contre les menaces posées par les rançongiciels, les tendances mondiales indiquent une augmentation de ce type d’attaques (hausse de 38 % au premier trimestre de 2023 par rapport au quatrième trimestre de 2022)23. Continuer de mettre l’accent sur les contrôles de sécurité qui atténuent les conséquences des attaques par rançongiciel, en particulier ceux qui font partie intégrante du processus de souscription d’assurance.
- Toujours tenir compte de l’avenir dans l’étalonnage des stratégies en matière de cyberrisques. Une multitude de facteurs permettront de mieux façonner les perspectives en matière de cyberrisques dans la région Asie-Pacifique, y compris les tensions géopolitiques actuelles et croissantes, les défis associés à la reconfiguration des chaînes d’approvisionnement et l’adoption de technologies émergentes (IA, biométrie, technologie physique numérique intelligente dans le secteur manufacturier et l’environnement bâti). Tester fréquemment la résistance des stratégies en matière de cyberrisques dans un vaste ensemble de scénarios complexes pour s’assurer de suivre le rythme des demandes liées à ces mégatendances. Inclure la mise à l’essai fréquente de scénarios d’intervention en cas d’incident, de gestion de la continuité des activités et de stratégies de gestion de crise. Élargir cette portée en testant les montants de garantie et les couvertures des polices dans le cadre de cyberincidents tout aussi complexes afin d’aider à repérer les cyberrisques et les occasions de risque silencieux et d’ainsi mieux protéger le bilan et la valeur pour les actionnaires.
Ouvrages de référence
1 « Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon » Rapport. Aon. Mai 2023.
2 « Cover – 2021 Global Risk Management Survey (aon.com) ». Aon. 2021.
3 Cyberquotient (CyQu) d’Aon. Technologie en instance de brevet.
4 Behind the Data: Research Methodology (aon.com)
5 « Top conflict hot spots and crises in the world to worry about in 2023 ». Tharoor, Ishaan. The Washington Post. Article. 11 janvier 2023.
6 Cyber Attacks on Supply Chains Are Causing a Widespread Impact (aon.com)
7 https://www.mofo.com/resources/insights/230130-new-wave-of-privacy-laws-in-the-apac-region
11 https://news.bloomberglaw.com/privacy-and-data-security/apra-intensifies-supervision-of-medibank-after-cyber-attack https://www.cnbc.com/2023/05/08/singapores-mas-imposes-additional-capital-requirement-on-dbs-bank.html
12 « Two Australian regulators open investigations into Optus after data breach ». Kay, Byron. Reuters. Article. 11 octobre 2022.
13 « APRA intensifies supervision of Medibank after cyberattack ». Libatique, Roxanne. Insurance Business Magazine. Article. 29 novembre 2022.
14 « APRAS tightening up on supply chain accountability ». Cela, Jessa et Harry, Dan. State of Flux. Blogue.
15 « APRA expects boards to strengthen ability to oversee cyber resilience ». Article. Moody’s Analytics. 23 novembre 2021.
16 « Key changes in data privacy and cyber security laws across Southeast Asia ». Herbert Smith Freehills. Article. 22 novembre 2022.
18 « Risk Based Security Data and Analysis ». Aon. Mise à jour : 4 janvier 2023.
19 How Smart Manufacturing is Intensifying Business Risk (aon.com)
20 Actions to Improve Cyber Resilience in Finance and Insurance Sector (aon.com)
21 Healthcare Cyber Profile Improved, but Resilience Work Remains (aon.com)
22 Règlements (en vigueur et à venir) : Australie : révision de la Privacy Act (à venir en 2023) et de la Privacy Legislation Amendment (Enforcement and Other Measures) Act (promulguée 2022); China, Personal Information Protection Law (promulguée en 2021); Indonésie : Personal Data Protection Act (promulguée en 2022); Inde : Personal Information Protection Law (proposée en 2022); Japon : Personal Information Protection Act (modifications de 2022); Corée : Personal Information Protection Act (modifications de 2023); Malaisie : Personal Data Protection Act 2010 (proposée en 2022); Nouvelle-Zélande : Privacy Act 2020 (révision prévue en 2023); Philippines : Guidelines on Administrative Fines (2022), publiée pour la Data Privacy Act of 2012 (« PDPA »); Singapour : Personal Data Protection Act (augmentation des pénalités financières en 2022); Sri Lanka : Personal Data Protection Act No. 9 (promulgué en 2022); Thaïlande : Mesures et normes de mise en œuvre de la Personal Data Protection Act B.E, 2562 (2022); Vietnam : Decree on Protection of Personal Data (à venir).
23 « Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon » Rapport. Aon. Mai 2023.
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
La cybermaturité par région
La cybermaturité des entreprises peut différer selon les régions. Apprenez-en davantage sur les manques ou absences, les défis et les opportunités, y compris les suggestions de mesures que les dirigeants peuvent prendre pour renforcer la cyberrésilience.
