Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 3 de 17 Dans le présent rapport.
August 01, 2023 / 3 minute(s) de lecture
Les cyberattaques contre les chaînes d’approvisionnement ont des répercussions considérables
L’un des plus grands défis liés à la gestion des cyberattaques dans la chaîne d’approvisionnement d’aujourd’hui est de comprendre le profil de menace et les contrôles de base de l’entreprise étendue.
Principaux points à retenir
- Dans l’ensemble, les clients n’ont signalé qu’une légère amélioration de la gestion des risques liés aux tiers.
- Aucun secteur n’est encore parvenu à une approche mature et systématique en matière de gestion des risques liés aux tiers.
- Seulement 46 % des clients ont mis en place un système d’authentification à facteurs multiples (AFM) pour l’accès à distance aux technologies opérationnelles par des tiers.
Après la pandémie, la transformation numérique s’est traduite par un processus de numérisation des chaînes d’approvisionnement en amont et en aval dans l’ensemble des organisations. Les problèmes liés à la chaîne d’approvisionnement des micropuces et l’émergence de nombreux logiciels malveillants semblent avoir créé une tempête parfaite.1
Les chaînes d’approvisionnement mondiales, tous secteurs confondus, font face à un environnement dynamique et imprévisible. Les incertitudes géopolitiques persistantes, associées aux nouvelles réglementations et sanctions internationales, augmentent le risque de pénalités et de perturbations des chaînes d’approvisionnement.2 Les cyberrisques, et plus particulièrement les risques liés aux tiers et aux sous-traitants, ajoutent considérablement à cette complexité. Si la visibilité et la fiabilité des chaînes d’approvisionnement sont grandement favorisées par la connectivité numérique, les acteurs malveillants sont eux aussi renforcés par la surface d’attaque élargie qui en résulte. L’un des plus grands défis liés à la gestion des cyberattaques dans la chaîne d’approvisionnement d’aujourd’hui est de comprendre le profil de menace et les contrôles de base de l’entreprise étendue.
Les répercussions d’une attaque sur la chaîne d’approvisionnement peuvent être considérables. Comme ils sont susceptibles de toucher des milliers de fournisseurs, les incidents liés à la chaîne d’approvisionnement peuvent avoir des conséquences diverses au-delà de l’interruption des activités. Les risques liés à la sécurité des personnes sont une préoccupation majeure. À titre d’exemple, un fabricant d’équipement d’origine (OEM) qui s’appuie sur d’autres dispositifs d’OEM pourrait produire des voitures connectées à risque. Viennent ensuite les risques politiques introduits par les fournisseurs établis dans des régions géopolitiquement instables, ou les nouveaux risques liés aux fournisseurs qui exercent leurs activités dans un cadre réglementaire complexe. La complexité et les répercussions potentielles de ces attaques sur la chaîne d’approvisionnement soulignent la nécessité d’une gestion des risques efficace, ce qui rend une chose indéniablement claire : une surveillance et une compréhension complètes des risques liés aux tiers sont essentielles.
Les données de l’évaluation du cyberquotient (CyQu) d’Aon apportent un éclairage essentiel sur cette question. Voici ce que les clients d’Aon ont rapporté.
Données CyQu : rapport sur les clients d’Aon
Les clients de tous les secteurs d’activité n’ont signalé qu’une légère amélioration de la gestion des risques liés aux tiers, l’indice moyen mondial se situant à 2,2 en 2022. Pour mettre les choses en perspective, un résultat de 2,2 représente un faible niveau de maturité dans la gestion des risques liés aux tiers, ce qui laisse entendre que la plupart des organisations n’en sont encore qu’aux premiers stades de la mise en place de pratiques solides de gestion des risques. Cela est souligné par le fait que le domaine « Tiers » a reçu le résultat CyQu le plus bas des neuf domaines évalués. Notons qu’aucun secteur n’a encore adopté une approche mature et systématique de la gestion des risques liés aux tiers. Ces résultats mettent en évidence les défis importants auxquels les entreprises font face dans la gestion des risques liés à la chaîne d’approvisionnement et le besoin urgent de stratégies de gestion des risques plus complètes et plus efficaces. Cela n’a rien de surprenant. Il est très difficile de comprendre les risques que présentent tous les fournisseurs, et les liens de plus en plus étroits entre les différentes technologies d’une entreprise font augmenter de manière exponentielle les risques liés aux tiers.
D’un point de vue sectoriel, les secteurs de la construction et de la production manufacturière ont amélioré leur profil de risque global vis-à-vis des tiers, passant de l’état « initial » à l’état « de base ». Toutefois, le secteur de la construction n’a fait état que d’une maturité « initiale » en ce qui concerne la diligence à l’égard des tiers, d’une maturité « de base » en ce qui a trait à la gestion des contrats, et d’une maturité « gérée » pour ce qui est de la gestion des stocks des tiers.
Indices de risque CyQu du domaine des tiers
| Secteur d’activité | 2020 | 2022 | Modifier |
|---|---|---|---|
| Production manufacturière | 1.8 | 2.0 | +0.2 |
| Autres secteurs* | 1.9 | 2.1 | +0.2 |
| Autres services** | 2.0 | 2.2 | +0.2 |
| Information, logiciel et technologie | 2.3 | 2.5 | +0.2 |
| Finance et assurance | 2.3 | 2.5 | +0.2 |
| Soins de santé et aide sociale | 2.1 | 2.3 | +0.2 |
| Services professionnels, scientifiques et techniques | 2.1 | 2.5 | +0.4 |
| Commerce de détail | 2.0 | 2.2 | +0.2 |
| Transport et entreposage | 1.8 | 1.9 | +0.1 |
| Construction | 1.7 | 2.0 | +0.3 |
| Services éducatifs | 2.1 | 2.1 | +0.0 |
| Immobilier et location | 2.1 | 2.3 | +0.2 |
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
*La catégorie « Autres secteurs » correspond aux réponses de clients qui appartiennent aux secteurs d’activité suivants : l’hébergement et les services alimentaires, l’agriculture, les arts, le divertissement et les loisirs, la gestion de sociétés et d’entreprises, l’administration publique, les services publics, les services de gestion des déchets, les services d’atténuation, l’administration et le soutien et le commerce de gros.
**La catégorie « Autres services » est choisie par le client.
Les sociétés de services professionnels ont constaté une amélioration de leur profil de risque dans ces mêmes catégories. Le résultat de 2,5 qu’a obtenu le secteur des services professionnels lui a permis de rejoindre les secteurs financier, de l’assurance, des logiciels et des technologies de l’information. Ces secteurs ont toujours été les plus performants en ce qui touche la gestion des risques liés aux tiers, en partie en raison du cadre réglementaire qui oriente leurs décisions en matière de sécurité.
Selon les données de l’évaluation complémentaire liée aux technologies opérationnelles, 54 % des clients ne disposaient pas d’un système d’authentification à facteurs multiples pour l’accès à distance aux technologies opérationnelles par des tiers, ce qui augmente le risque d’atteinte aux réseaux.
Ouvrages de référence
1 Conditions are Right for a Cyber Attack Like We Have Never Seen Before. Aon. Article. Octobre 2022. Conditions are Right for a Cyber Attack Like We Have Never Seen Before | Aon
2 Three International Regulations that Will Impact US Supply Chains in 2023. Lamba, John. Article. Forbes. 9 mars 2023. Extrait du site https://www.forbes.com
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
Gestion de la cybersécurité en six thèmes de risque.
Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.
