Rapport 2023 sur la cyberrésilience

Cela fait partie de l’article 13 de 17 Dans le présent rapport.

August 16, 2023

Les entreprises du Royaume-Uni en quête de cyberrésilience

Les entreprises du Royaume-Uni en quête de cyberrésilience

Dans l’ensemble, la maturité des organisations du Royaume-Uni en matière de cyberrisques a légèrement diminué entre 2020 et 2022, certains domaines de sécurité s’en étant très bien tirés, tandis que d’autres ont reculé.

Principaux points à retenir

  1. Face à l’augmentation des risques, la cybermaturité globale des clients a diminué.
  2. Malgré le déclin de la maturité globale, les indices dans certains domaines de sécurité ont augmenté, ce qui laisse supposer une augmentation des investissements dans certains domaines aux dépens d’autres.
  3. Les tendances mondiales indiquent que les attaques par rançongiciel sont en hausse*, et les assureurs réagissent en demandant que l’on porte une attention accrue aux contrôles qui font partie intégrante du processus de souscription.

* “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Report. Aon. May 2023.

Cette année, l’événement CYBERUK a pour thème d’aider les clients à assurer un avenir numérique ouvert et résilient2. Cela vient souligner une période de croissance sans précédent dans le développement numérique et les nouvelles technologies, jumelée à la commercialisation d’un cyberoutil, alors que les entreprises font face à de plus en plus de cyberrisques. Le Brexit a causé des problèmes de cybersécurité à plusieurs égards, d’abord en raison de la pénurie de travailleurs qualifiés alors que les ressortissants étrangers rentrent au pays3. Deuxièmement, le Brexit a introduit de l’incertitude dans la prise de décisions de haut niveau en matière de cybersécurité lorsque le Royaume-Uni a perdu son siège au conseil d’administration d’Europol, qu’il dirigeait autrefois, et donc sa capacité de façonner les priorités des services de police à l’échelle paneuropéenne et à diriger les opérations de cybercriminalité d’Europol4.

Les cyberrisques constituent une préoccupation centrale pour les entreprises du Royaume-Uni. Selon le Sondage mondial sur la gestion des risques d’Aon5, les cyberrisques et les risques de perte d’exploitation occupent respectivement la première et la deuxième place au Royaume-Uni, tandis que les atteintes à la réputation ou à la marque arrivent en troisième position, et les défaillances de la chaîne d’approvisionnement ou de distribution arrivent en septième position. La cybersécurité englobe tous ces thèmes de risque.

Toutefois, la conscience du risque ne signifie pas que les organisations du Royaume-Uni sont prêtes à y faire face. Selon les données de référence tirées de l’évaluation CyQu, la maturité globale des clients en matière de cyberrisques au Royaume-Uni a légèrement diminué. Cela vient cependant masquer une analyse sous-jacente qui montre des améliorations importantes dans certains domaines de sécurité et un affaiblissement ou une dégradation dans d’autres.

Les améliorations les plus notables de l’indice CyQu entre 2020 et 2022 comprenaient le déploiement de l’authentification multifacteur, la vulnérabilité et la surveillance des appareils et la formation de sensibilisation à la cybersécurité à l’intention des employés. Ce changement pourrait être directement attribuable à l’émergence du télétravail pendant la pandémie, le risque d’attaque s’intensifiant et les entreprises ayant un urgent besoin de remédier aux vulnérabilités au sein de ces points de contrôle.

On a également noté une baisse des indices CyQu dans d’autres domaines de contrôle critiques, ce qui met en lumière les défis constants auxquels font face les clients relativement aux tactiques et aux techniques dynamiques et en constante évolution des cybercriminels. La dégradation la plus évidente de la maturité en matière de risque est apparue dans la continuité des activités et la reprise après sinistre, les tests d’intrusion dans les réseaux et la classification des données. Cela pourrait s’expliquer notamment par le fait que ces diminutions résultaient de changements budgétaires visant à apporter des améliorations dans d’autres domaines.

Alors que la dégradation de la maturité en matière de risque a fait baisser les indices globaux dans la plupart des secteurs, on a observé des augmentations notables des indices de résilience et de maturité à l’égard du risque dans les secteurs de la production manufacturière et du transport et de l’entreposage, avec des augmentations de plus de 10 % des indices CyQu. Les données relatives aux contrôles des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels ont montré une amélioration non négligeable des contrôles des technologies opérationnelles (TO), bien que les organisations aient tout de même signalé d’importantes défaillances liées aux contrôles. Par exemple, les entreprises du secteur manufacturier ont qualifié de défaillances 45 % des contrôles des technologies opérationnelles.

Pourcentage d'absence de contrôles opérationnels pour les secteurs donnés au Royaume-Uni

Par ailleurs, les réseaux d’extorsion par rançongiciel et leurs attaques réussies faisant appel à des stratagèmes d’hameçonnage continuent de présenter un risque important de pertes d’exploitation. Alors que les atteintes à la protection des données liées aux rançongiciels ont diminué de 16 % entre le troisième et le quatrième trimestre de 20226, les données du marché de l’assurance cyberrisques et responsabilité professionnelle montrent au premier trimestre de 2023 une légère hausse des attaques par rançongiciel, la fréquence des événements ayant augmenté de 49 %7. Alors que les attaques contre les organisations des États-Unis ont chuté de 51 % en 2022 par rapport au sommet atteint en 2021, elles ont augmenté au Royaume-Uni (20 %), dans la zone EMOA (38 %) et en Asie-Pacifique (56 %), ce qui démontre que les pirates ciblent maintenant d’autres régions.

Près de 40 % des clients du Royaume-Uni qui ont effectué l’évaluation complémentaire liée aux rançongiciels d’Aon à des fins de souscription ont signalé l’échec des contrôles dans 33 secteurs critiques. Les secteurs de la construction, de l’hébergement, de la restauration et de la production manufacturière ont affiché le plus faible niveau de conformité. Plus précisément, les entreprises de construction ont affiché le niveau de maturité le plus faible en ce qui concerne la sécurité des sauvegardes, la résilience opérationnelle et la sécurité des points terminaux. La gestion des logiciels, l’authentification multifacteur et la sécurité des réseaux et des données ont représenté le plus grand défi pour les entreprises du secteur de l’hébergement et de la restauration. Les clients du secteur de la production manufacturière ont également signalé des difficultés à établir l’efficacité des contrôles des technologies opérationnelles, 45 % de ces contrôles étant considérés comme des échecs.

En examinant les résultats pour l’ensemble des tranches de revenus, on constate que les organisations mondiales de plus grande taille s’en sont un peu mieux tirées que celles plus petites, faisant état de défaillances dans seulement 31 % des contrôles, les faiblesses les plus importantes touchant les contrôles de sécurité des sauvegardes, de sécurité des points terminaux et de gestion des logiciels. Les petites et moyennes entreprises ont signalé des défaillances dans 42 % des contrôles essentiels, comme en témoignent la sécurité des réseaux et des données, la résilience opérationnelle et la sécurité des sauvegardes.

Pourcentage d’absence de contrôles informatiques d'un segment donné des entreprises aux Royaume-Uni (« drapeaux rouges »)

Global: >$5B
Enterprise: $5B-$2B
Mid-Market: $100M-$2B
Small Medium Entity: <$100M

Maturité selon le domaine de sécurité : Royaume-Uni

En y regardant de plus près, les données CyQu révèlent des variations importantes entre les secteurs et des niveaux significatifs d’amélioration et de diminution de la résilience. Les secteurs des services professionnels, scientifiques et techniques ont obtenu les meilleurs résultats en matière de contrôle des accès, tandis que le commerce de gros a enregistré les résultats les plus faibles. Le secteur du transport et de l’entreposage a affiché la plus forte amélioration sectorielle (23 %).

En ce qui concerne la sécurité des applications, les clients ont fait état d’une amélioration globale de 3 % de leur maturité. Toutefois, il s’agit toujours de l’un des neuf domaines de sécurité les moins bien cotés dans l’évaluation CyQu, se situant à 15 % sous la moyenne de tous les indices de domaine de sécurité. Les soins de santé ont affiché l’amélioration la plus importante (hausse de 16 %), tandis que les services professionnels (baisse de 14 %) ont connu un haut niveau de recul par rapport à l’indice de référence de 2020.

Dans l’ensemble, il y a eu une baisse de 2 % des indices moyens des clients pour la résilience opérationnelle, mais cela ne reflète pas des changements très importants par secteur. Le secteur des finances et de l’assurance a reculé de 18 %. Les résultats ont été beaucoup plus positifs dans les secteurs du transport et de l’entreposage (hausse de 23 %) et de la production manufacturière (hausse de 14 %).

Les indices moyens de sécurité des données sont demeurés constants dans l’ensemble par rapport aux indices de référence de 2020, de solides améliorations ayant été signalées dans le secteur du transport et de l’entreposage (hausse de 29 %) et dans celui des arts, du divertissement et des loisirs (hausse de 18 %). Toutefois, une baisse importante des indices dans les secteurs des services publics, des finances et de l’assurance a fait baisser la moyenne de maturité globale pour ce domaine.

En ce qui concerne la sécurité des points terminaux et des systèmes, le secteur du transport et de l’entreposage a enregistré l’amélioration la plus remarquable par rapport aux indices de 2020 (hausse de 23 %); le secteur de la production manufacturière a également enregistré une augmentation de 16 %. Le secteur des finances et de l’assurance et celui du commerce de gros ont enregistré les baisses les plus importantes.

Bien que la sécurité des réseaux ait connu une baisse globale de 2 % des indices moyens, elle est demeurée le domaine affichant les résultats moyens les plus élevés sur l’indice de maturité en matière de risque CyQu. Les secteurs du transport et de l’entreposage et des services publics ont enregistré des améliorations notables, tandis que les secteurs des finances et de l’assurance ainsi que des soins de santé ont enregistré des baisses de plus de 10 %.

La sécurité physique est demeurée l’un des domaines ayant obtenu les meilleurs résultats, malgré une réduction de 3 % des résultats moyens. Les organisations du secteur des technologies de l’information et des logiciels ont obtenu les meilleurs résultats, la baisse la plus importante ayant été enregistrée dans le commerce de détail (17 %).

Les indices relatifs au télétravail, un nouveau domaine ajouté en 2020 en réponse à la transition rapide vers le travail à distance, sont demeurés près de leur niveau de référence. Toutefois, les entreprises du secteur des services publics ont enregistré une baisse de 20 % de leur niveau de maturité. La gestion des tiers est le domaine ayant l’indice le plus faible, et en 2022, la moyenne globale a diminué d’encore 3 %. Il s’agit d’un domaine de risque et de vulnérabilité qui exige une attention critique.

Et maintenant? Mesures suggérées pour les dirigeants du Royaume-Uni

Différentes entreprises seront touchées différemment par les cyberincidents, et il est également vrai que les organisations de différents secteurs et segments auront différents profils de risque, entraînant différents niveaux de maturité dans les domaines de sécurité. Toutefois, le fait que le niveau moyen de maturité ait diminué tandis que la fréquence des attaques par rançongiciel a augmenté laisse entendre que les organisations du Royaume-Uni ne comprennent pas bien le risque et ne savent pas comment y faire face. Il est important pour les organisations d’adopter une approche réfléchie et éclairée lorsqu’elles prennent des décisions au sujet de leur gestion des cyberrisques.

  1. Comprendre et évaluer les répercussions opérationnelles et financières que les cyberincidents pourraient avoir sur l’entreprise.
  2. À partir de l’analyse des scénarios et des trajectoires d’attaque, déterminer les domaines de sécurité et les contrôles de base qui ont la plus grande incidence sur l’atténuation des dommages d’un cyberincident.
  3. Coordonner les investissements et la stratégie d’atténuation et de transfert des risques afin de maximiser la cyberrésilience.

Ouvrages de référence

1 « Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon ». Rapport. Aon. Mai 2023.

2 « Sondage mondial sur la gestion des risques 2021 d’Aon ». Aon. Rapport. 2021. 2021 Global Risk Management Survey – United Kingdom (aon.com)

3 « Sondage mondial sur la gestion des risques 2021 d’Aon ». Aon. Rapport. 2021. 2021 Global Risk Management Survey – United Kingdom (aon.com)

4 « Brexit and Beyond: Cyber Security ». Stevens, Dr. Tim. King’s College London. Article. 5 février 2021.

5 « Sondage mondial sur la gestion des risques 2021 d’Aon ». Aon. Rapport. 2021. 2021 Global Risk Management Survey – United Kingdom (aon.com)

6 « Buyer-Friendly Cyber and E&O Market: How to Take Advantage ». Aon. Article. Mai 2023. Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

7 « Buyer-Friendly Cyber and E&O Market: How to Take Advantage ». Aon. Article. Mai 2023. Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.

La cybermaturité par région

La cybermaturité des entreprises peut différer selon les régions. Apprenez-en davantage sur les manques ou absences, les défis et les opportunités, y compris les suggestions de mesures que les dirigeants peuvent prendre pour renforcer la cyberrésilience.

Amérique du Nord : La cyberrésilience progresse, mais
il y a encore des progrès à réaliser

Partout en Amérique du Nord, les organisations ont enregistré de nettes améliorations dans des domaines critiques de la cyberrésilience. Toutefois, il est possible de faire encore mieux dans des domaines clés comme la stratégie de sauvegarde et l’AFM, en particulier pour les petites et moyennes entreprises.

Pour en savoir plus
Amérique latine : trois points de contrôle critiques qui sont à risque

La cybermaturité globale des entreprises d’Amérique latine se rapproche de celle des entreprises de la zone EMOA et du Royaume-Uni, mais trois importantes lacunes ont été mises en évidence : la gestion des tiers, la résilience opérationnelle et la sécurité des applications.

Pour en savoir plus
Asie-Pacifique : des menaces changeantes

Pour la première fois, les cyberrisques se sont taillé une place sur la liste des cinq principaux risques opérationnels de l’Asie-Pacifique. Les entreprises signalent une amélioration de leur niveau de cybermaturité, en particulier relativement à la gouvernance, à la protection des données et aux contrôles de la chaîne d’approvisionnement.

Pour en savoir plus
Europe, Moyen-Orient et Afrique : le progrès démontre l’évolution des mentalités

En 2022, les entreprises de la zone EMOA ont concentré leurs efforts sur l’amélioration de la sécurité des données et la protection des données organisationnelles, en partie en raison du conflit entre l’Ukraine et la Russie.

Pour en savoir plus