Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 4 de 17 Dans le présent rapport.
August 01, 2023 / 3 minute(s) de lecture
Les cybermenaces internes constituent un risque croissant pour les entreprises
D’ici 2025, la moitié de tous les cyberincidents devraient résulter d’erreurs humaines ou d’actes malveillants.
Principaux points à retenir
- Les clients sont passés d’un profil de risque interne général « de base » à un profil de risque interne « géré » en 2022.
- Deux entreprises sur cinq ont signalé un manque de contrôles du centre des opérations de sécurité.
- Près de la moitié des entreprises n’ont pas séparé leurs logiciels en fin de vie des systèmes d’application.
Les risques internes sont une préoccupation constante pour les entreprises. En effet, de par leur nature même, les humains peuvent commettre des erreurs et les auteurs de menaces profitent souvent de cette vulnérabilité. D’ici 2025, la moitié de tous les cyberincidents devraient résulter d’erreurs humaines ou d’actes malveillants. Il s’agit d’une réalité à laquelle les entreprises doivent se préparer.1 Les nouveaux modèles d’affaires numériques soulèvent des défis supplémentaires. Entre autres, les travailleurs occasionnels peuvent introduire des vulnérabilités et l’accessibilité accrue aux réseaux par des tiers peut compromettre la sécurité.
L’hameçonnage reste le vecteur le plus courant de l’accès initial à un réseau, plaçant l’initié – ou l’employé – en première ligne. Les progrès réalisés en matière de sophistication sociale, de fatigue des utilisateurs et d’hameçonnage ciblé et fondé sur le contexte contribuent à la centralité de ce risque.2 Les cybercriminels continuent de modifier leurs méthodes en tirant parti de l’actualité. Aujourd’hui, les courriels d’hameçonnage qui exploitent le conflit entre l’Ukraine et la Russie pour solliciter une réponse émotionnelle à la guerre incitent les gens à cliquer sur les liens avant de réfléchir. Une nouvelle tendance émerge, soit l’hameçonnage novateur ou l’hameçonnage guidé par le consentement, dans le cadre duquel des pirates tentent d’amener les utilisateurs à accorder des autorisations à des applications infonuagiques malveillantes. Ces applications malveillantes peuvent accéder à des services infonuagiques légitimes et aux données des utilisateurs. La formation et les simulations d’exercices d’hameçonnage demeurent les domaines dans lesquels on investit le moins dans l’atténuation des cyberrisques, bien qu’ils constituent les mesures les plus efficaces pour ralentir les attaques de rançongiciels.3 Même si certains actes de cybercriminalité ont diminué en 2022, les courtiers en accès aux données n’ont jamais cessé d’obtenir un accès non autorisé aux réseaux et à l’infrastructure de leurs clients. Une tendance à surveiller est celle des courtiers en données et des acteurs du rançongiciel qui cherchent à acheter de manière opportuniste des données et des accès aux employés d’une entreprise, l’exploitation des vulnérabilités étant l’une des principales méthodes utilisées.4 Cette tendance est à l’origine d’un nouveau risque de menace interne où les cybercriminels recherchent ouvertement des employés prêts à vendre les données d’une entreprise à des fins personnelles. Ce risque en évolution peut comprendre le vol de données, de renseignements exclusifs, de propriété intellectuelle et de secrets commerciaux.
À mesure que l’intégration des systèmes et la dépendance organisationnelle envers les tiers continuent d’augmenter, la nécessité d’une surveillance accrue des risques internes se fera également sentir. Les organisations mettront davantage l’accent sur la nécessité de détection et de gestion des incidents aux points terminaux, d’un centre des opérations de sécurité et de la sécurité des réseaux. De même, l’accent mis sur les pratiques de travail sûres et la protection contre la perte de données sera maintenu si le lieu de travail hybride reste en place.
Résultats des données relatives aux contrôles des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels : Rapport sur les clients d’Aon
Un sondage d’Aon effectué auprès des principaux fournisseurs d’assurance indique que la sécurité des données figure parmi les cinq principaux risques dans le domaine.4 Toutefois, une tendance préoccupante émerge lorsqu’on observe les secteurs d’activité dans leur ensemble : une majorité d’entre eux signalent des lacunes substantielles dans leurs contrôles de sécurité des données et soulignent la nécessité d’améliorer les mesures de cybersécurité. Selon les données CyQu, les indices de gouvernance et de protection des données ont été légèrement plus élevés lorsque les clients sont passés d’un profil de risque « de base » à un profil de risque « géré » en 2022. Il est intéressant de noter que la sensibilisation et la formation des utilisateurs ont connu la plus grande amélioration dans toutes les catégories de sécurité des données. Cette tendance laisse entendre que les investissements continus dans la formation sur les cyberrisques ne sont pas seulement bénéfiques, mais qu’ils sont également cruciaux pour les entreprises qui cherchent à atténuer la menace croissante posée par les risques internes.
Indices CyQu de la sécurité des données
| Sécurité des données | 2021 | 2022 | Modifier |
|---|---|---|---|
| Classification des données | 2.0 | 2.2 | +.2 |
| Sensibilisation et formation des utilisateurs | 2.6 | 3.1 | +.5 |
| Protection des données | 2.3 | 2.6 | +.3 |
| Gouvernance | 2.3 | 2.6 | +.3 |
| Gestion des risques | 2.0 | 2.4 | +.4 |
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Près de la moitié de toutes les entreprises (49 %) n’ont pas séparé leurs logiciels en fin de vie de leurs systèmes d’application, ce qui pourrait accroître leur vulnérabilité aux cybermenaces. En outre, 40 % des entreprises ne disposent pas des contrôles nécessaires d’un centre des opérations de sécurité, ce qui accroît leur exposition au risque interne. Ces données soulignent l’importance de mesures de cybersécurité solides pour atténuer les menaces internes. En ce qui concerne les contrôles de détection et de gestion des incidents aux points terminaux, les données CyQu ont brossé un tableau plus robuste, puisque 70 % des clients ont déclaré que ces contrôles couvraient tous les postes de travail de leur organisation.
47%
Ont déclaré que leurs logiciels en fin de vie ne sont pas séparés de leurs systèmes d’applications
40%
Ont déclaré l’absence d’un centre d’opérations de sécurité
70%
Ont déclaré que les contrôles de détection et de gestion des incidents aux points terminaux couvraient tous les postes de travail de leur organisation
Ouvrages de référence
1 Predicts 2023: Cybersecurity Industry Focuses on the Human Deal. Gartner. Report. 25 janvier 2023. https://www.gartner.com
2 Rapport de l’ENISA sur le paysage des menaces 2022. Report. Union européenne. Novembre 2022. Rapport de l’ENISA sur le paysage des menaces 2022 — ENISA (europa.eu)
3 Global Ransomware Damage Costs Predicted to Reach $20 Billion (USD) by 2021. Article. Cybersecurity Ventures. Extrait du site https://www.cybersecurityventures.com. Cyber Awareness Training: Success Starts with Meaningful Engagement of People | Aon
4 Trends to Watch: Cyber Q4 2022 Global Markets Insight. Aon. Report. Janvier 2023. Cover – Q4 2022 Global Market Insights (aon.com)
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
Gestion de la cybersécurité en six thèmes de risque.
Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.
