Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 15 de 17 Dans le présent rapport.
August 21, 2023 / 7 minute(s) de lecture
Renforcer la résilience pour faire face à la montée des cyberrisques
Alors que les cyberrisques demeurent complexes, les organisations établies dans la zone EMOA doivent continuer de mettre l’accent sur la résilience, la réglementation émergente et l’évolution des profils de risque.
Principaux points à retenir
- En réponse à l’augmentation des risques et de la réglementation, la cybermaturité des clients est passée du niveau « de base » au niveau « géré »; toutefois, les organisations ont tout de même affiché un rendement inférieur sur le plan de la résilience opérationnelle.
- Les clients ont signalé une augmentation légère, mais notable, de la maturité des groupes de contrôle clés, y compris la sécurité des points terminaux, le contrôle des accès et le télétravail.
- Le secteur de l’exploitation minière et de carrières et de l’extraction de pétrole et de gaz, qui était le moins performant en 2020, est devenu l’un des plus performants en 2022.
Il est impossible d’empêcher tous les cyberincidents, mais il est possible de les gérer. La gouvernance, les tensions géopolitiques et la hausse des cyberincidents en Europe, au Moyen-Orient et en Afrique (EMOA) ont entraîné une légère hausse de la maturité en matière de cybersécurité en 2022. Selon les données du cyberquotient1 (CyQu) d’Aon, les clients ont signalé, en moyenne, une transition du niveau de maturité « de base » (indice de 2,17 sur 4,0) vers une sécurité de niveau « géré » (2,45 sur 4,0) entre 2020 et 2022. Bien que légère, cette progression est encourageante et démontre que les mentalités s’écartent de la croyance selon laquelle « cela n’arrive qu’aux autres ».
En 2022, les clients ont concentré leurs efforts sur l’amélioration de la sécurité des données et la protection des données organisationnelles, en partie en raison du conflit entre l’Ukraine et la Russie. De nombreuses entreprises européennes et multinationales de premier plan sont fortement touchées par cette situation et s’inquiètent beaucoup de l’incidence que pourraient avoir les attaques provenant de la région sur leurs activités. Les organisations se sont efforcées d’atteindre un niveau de visibilité adéquat à l’égard des centres d’opérations de sécurité et d’étayer leurs contrôles des accès, en tentant tout particulièrement d’empêcher les pirates de s’introduire et de se déplacer latéralement dans le réseau. Les données CyQu d’Aon ont confirmé cette approche, car les clients ont signalé une augmentation légère, mais notable, de la maturité des groupes de contrôle clés, y compris la sécurité des points terminaux, le contrôle des accès et le télétravail.
En revanche, les clients, en moyenne, n’ont pas signalé d’amélioration importante de la sécurité des applications (indice de 1,8 à 2,1) ou de la résilience opérationnelle (indice de 1,9 à 2,2), et se situent toujours à un niveau de maturité « de base », loin du niveau « géré ». Il est important de souligner que, même si les entreprises des États-Unis ont surpassé leurs homologues de la zone EMOA pour ce qui est de la sécurité des points terminaux et des réseaux, les deux régions ont de la difficulté à assurer leur résilience opérationnelle, particulièrement en ce qui concerne la gestion des risques causés par des tiers. Les organisations doivent s’attarder davantage à corriger cette lacune, en particulier parce que le risque systémique est passé au premier rang des priorités pour le secteur de l’assurance2 et que la sécurité des tiers est au cœur de ce risque.
Résultats régionaux de risques CyQu
| Régions | 2022 |
|---|---|
| Amérique du Nord | 2.7 |
| Royaume-Uni et zone EMOA | 2.4 |
| Amérique latine | 2.5 |
| Asie-Pacifique | 2.7 |
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Les assureurs et les organismes de réglementation ont également favorisé la maturité en matière de sécurité dans toute la région, et on s’attend à ce que les changements réglementaires continuent de favoriser le changement. Les dispositions de la a directive de l’Union européenne sur la sécurité des réseaux et de l’information (NIS2) entrent en vigueur en octobre 2024, et plusieurs nouvelles entreprises relèveront de son champ d’application3. Les effets de la directive NIS2 et, surtout, de son élargissement des exigences en matière d’infrastructure essentielle4 se manifestent déjà dans les indices CyQu du secteur. Le secteur de l’exploitation minière et de carrières et de l’extraction de pétrole et de gaz, qui était le moins performant en 2020 (avec un indice de maturité de 1,8), est devenu l’un des plus performants en 2022, les clients signalant un indice de maturité de 2,8 s’approchant du niveau « géré ». Cet indice vient mettre le secteur de l’énergie sur un pied d’égalité avec les secteurs des assurances, des finances et des services publics, qui sont déjà fortement réglementés et dont les rendements ont toujours été plus élevés. Au-delà des exigences accrues imposées aux secteurs, la directive NIS2 étend la gestion des cyberrisques de façon à inclure la sécurité de la chaîne d’approvisionnement. Ainsi, la gestion des tiers deviendra de plus en plus importante pour la schématisation des opérations et la sécurité en général.
Les organismes de réglementation pourraient examiner de plus près la dépendance croissante à l’égard des technologies numériques et l’adoption élargie de l’intelligence artificielle (IA). La façon dont les entreprises exploitent, traitent et utilisent les données peut changer rapidement au cours des 12 prochains mois, et les dirigeants sont encouragés à adopter une approche axée sur le risque. Au fur et à mesure que de nouveaux modèles d’affaires voient le jour, il est essentiel que les données soient protégées et que les organisations continuent de mettre l’accent sur la gestion des risques à l’échelle de l’organisation.
Enfin, il faut tenir compte des répercussions des attaques par rançongiciel. Les rançongiciels sont toujours à l’ordre du jour et constituent une préoccupation importante, particulièrement pour les acheteurs d’assurance. Nous avons constaté une augmentation importante de 63 % des incidents liés aux rançongiciels partout dans le monde au premier trimestre de 2023. Ce pourcentage a atteint un sommet au deuxième trimestre5. Les pirates informatiques continueront d’exploiter le maillon le plus faible : les gens. Les organisations sont encouragées à examiner de près leur maturité en matière de résilience opérationnelle.
Perspectives par secteur
Comme nous l’avons mentionné précédemment, les données de secteur CyQu les plus frappantes concernaient la progression du secteur de l’énergie. Un deuxième changement, tout aussi digne de mention, consistait en l’amélioration globale de la maturité moyenne rapportée pour le secteur de la construction (indice de 1,9 à 2,4). Cet indice coïncide avec le passage actuel d’un environnement très physique à un environnement de plus en plus numérique. Compte tenu de la complexité des événements de perte d’exploitation dans le secteur de la construction, nous pouvons nous attendre à ce que les assureurs prennent également note de ce changement. Le secteur continuera de renforcer la gestion des tiers et d’intégrer les fournisseurs de niveau 1 et 2 au plan de gestion des risques de l’organisation.
Dans son rapport 2023 sur la cyberrésilience6, Aon a examiné plus en profondeur trois secteurs : la production manufacturière, les finances et l’assurance ainsi que les soins de santé. Dans l’ensemble de la zone EMOA, les entreprises des trois secteurs se sont approchées d’un état de sécurité globale « gérée » ou d’un indice de 3,0, sans toutefois l’atteindre. Le secteur des finances et de l’assurance a fait état de la plus grande maturité (2,8), suivi du secteur de la production manufacturière (2,5) et de celui des soins de santé et des services sociaux (2,4). L’incidence de la Digital Operational Resilience Act (DORA)7 sur le secteur des finances et de l’assurance favorisera la maturité à l’approche de sa date d’effet (le 17 janvier 2025).
Dans le secteur de la santé, le règlement européen relatif aux dispositifs médicaux8 est entré en vigueur en 2021. Depuis sa mise en œuvre, nous avons constaté une croissance de la cybermaturité, en particulier dans le secteur des technologies médicales. La protection de l’environnement est également une préoccupation majeure dans le sous-segment des sciences de la vie, en particulier pour les sociétés pharmaceutiques. Alors que celles-ci investissent des milliards de dollars dans la recherche et le développement de nouveaux médicaments, les fuites liées à la propriété intellectuelle peuvent entraîner des coûts dévastateurs, et les entreprises craignent d’être forcées de mettre de côté les cycles de développement de produits, perdant ainsi des sommes substantielles investies.
Pour ce qui est de la production manufacturière, les assureurs imposent depuis longtemps à ce secteur des exigences en matière de cybersécurité (particulièrement dans les technologies opérationnelles); il n’est donc pas surprenant que les clients aient signalé une croissance continue de la maturité globale. Alors que les chaînes d’approvisionnement continuent de croître en taille et en complexité, les fabricants devront se concentrer sur le renforcement de la gestion des tiers et de la résilience opérationnelle, deux des points de contrôle les plus difficiles à gérer.
Prochaines étapes : mesures suggérées aux dirigeants de la zone EMOA
Même si les niveaux de maturité globaux en matière de cybersécurité ont augmenté à l’échelle de la zone EMOA, nous nous attendons à ce que les augmentations futures soient plus prononcées. Alors que les secteurs continuent d’investir dans l’innovation et les nouvelles technologies, la complexité accrue des risques entraînera probablement un environnement de cybermenace plus dynamique et difficile. Dans cette optique, nous recommandons aux organisations de continuer à examiner et à remettre en question leur approche en suivant ces trois mesures :
- Continuer de mettre l’accent sur la cyberrésilience.
Les attaques à l’endroit des infrastructures et des technologies sont inévitables, et il sera de plus en plus important pour les organisations d’être en mesure de gérer adéquatement les événements de façon à déterminer dans quelle mesure elles sont équipées pour gérer les incidents et les événements importants. Une stratégie claire de gestion des risques organisationnels combinée avec une stratégie de cybersécurité et une stratégie d’assurance contribueront en partie à atteindre cet objectif. - Intégrer de nouvelles exigences réglementaires aux processus d’activités courantes.
De nouveaux règlements, comme la directive NIS29 et la loi DORA10, visent à créer une résilience et une protection systémiques. L’intégration des nouvelles règles à vos activités courantes vous aidera à créer un environnement plus sécuritaire pour les entreprises et, possiblement, un avantage concurrentiel. - Effectuer une analyse du profil en évolution qui est basée sur le risque.
Il est important que nous suivions le rythme de l’environnement des cybermenaces. Compte tenu de l’évolution et de la numérisation des activités, notamment de l’incidence de l’intelligence artificielle, les organisations doivent continuer de se demander si leurs pratiques de gestion des risques et de sécurité demeurent adéquates. Au moins une fois par année, les entreprises doivent s’assurer qu’elles ont mis en place des contrôles appropriés et proportionnels pour gérer un profil de risques et d’occasions en constante évolution.
Ouvrages de référence
1 Cyberquotient (CyQu) d’Aon. Technologie en instance de brevet.
2 Steps to Minimize Cyber’s Impact on Systemic Risk (aon.com)
3 Get Your Organisation Cyber Ready for NIS2.
4 “Essential Entity: Energy Sector.” NIS2 Directive. 2022.
5 Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon
6 2023 Cyber Resilience Report (aon.com)
7 The Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2054. Avis. Cyber Risk GMBH.
8 « The European Medical Device Regulation. Regulation EU 2017/745 (EU MDR) ». Fiche de renseignements.
9 “Get Your Organization Cyber Ready for NIS2.” Aon. Article. Mars 2023.
10 « The Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2054 ». Avis. Cyber Risk GMBH.
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
La cybermaturité par région
La cybermaturité des entreprises peut différer selon les régions. Apprenez-en davantage sur les manques ou absences, les défis et les opportunités, y compris les suggestions de mesures que les dirigeants peuvent prendre pour renforcer la cyberrésilience.
