Rapport 2023 sur la cyberrésilience

Cela fait partie de l’article 6 de 17 Dans le présent rapport.

August 01, 2023 / 5 minute(s) de lecture

Prenez ces mesures pour atténuer les risques opérationnels

Prenez ces mesures pour atténuer les risques opérationnels

Les contrôles essentiels perçus comme réduisant la probabilité ou la gravité d’un rançongiciel susceptible de perturber les opérations sont au centre des préoccupations des assureurs.

Principaux points à retenir

  1. Les clients ont signalé une amélioration globale de la mise en œuvre des contrôles essentiels en 2022 par rapport à 2021 dans l’ensemble des contrôles priorisés par les assureurs.
  2. Les atteintes à la sécurité des données par rançongiciel ont diminué de 16 % entre le troisième et le quatrième trimestre de 2022, mais les données du marché de la cyberassurance et de l’assurance responsabilité civile professionnelle montrent une recrudescence des rançongiciels au premier trimestre de 2023.
  3. Dans l’ensemble des régions, le niveau de gestion de la continuité des activités des clients est demeuré stable entre 2020 et 2022 et il se situe à un niveau de base.

Le risque opérationnel, qui est défini comme étant le risque de pertes causées par la perturbation des activités d’une organisation ou la défaillance du personnel, des processus ou de la technologie d’une entreprise, est une préoccupation majeure pour les équipes mondiales de sécurité et les assureurs. Les rançongiciels et les stratagèmes d’hameçonnage continuent de présenter un risque important. Les atteintes à la sécurité des données par rançongiciel ont diminué de 16 % entre le troisième et le quatrième trimestre de 2022.1 Les données du marché de la cyberassurance et de l’assurance responsabilité civile professionnelle montrent une recrudescence des rançongiciels au premier trimestre de 2023 et la fréquence des incidents a augmenté de 49 %.2 L’hameçonnage et l’hameçonnage ciblé ont également augmenté considérablement au début de 2023 selon l’équipe de cybersécurité d’Aon. La sophistication de ces techniques de piratage permet aux attaquants de se dissimuler plus facilement et les victimes ont plus de mal à distinguer ce qui est légitime de ce qui ne l’est pas.

Les organisations doivent prévoir les pires attaques. Par exemple, qu’arrive-t-il si le réseau de l’entreprise tombe complètement en panne? Comment l’entreprise sera-t-elle soutenue? L’entreprise a-t-elle un modèle de résilience qui peut gérer ce processus? Comment l’entreprise va-t-elle préserver ses clients, même si cela peut avoir des répercussions sur des opportunités d’affaires? Ces questions sont des éléments essentiels de planification et de gestion de la continuité des activités. Les données CyQu d’Aon ont révélé que, dans l’ensemble des régions, le niveau de gestion de la continuité des activités par les clients est demeuré stable entre 2020 et 2022 et il se situe à un niveau de base. Il faut mettre davantage l’accent sur la planification de scénarios de perturbation des activités. S’il est impératif de mettre en place des contrôles techniques au sein de l’entreprise pour prévenir les rançongiciels, il est tout aussi important de se préparer aux perturbations dans l’ensemble des activités de l’entreprise.

Les assureurs et le marché s’attendent de plus en plus à ce niveau de planification contre les risques opérationnels. Bien que les conditions du marché de la cyberassurance et de l’assurance responsabilité civile professionnelle se soient stabilisées, et que de nouvelles capacités substantielles et des rapports sinistres-primes plus faibles ont contribué à réduire les taux de ces assurances au début de 2023,2 le processus de souscription demeure rigoureux et3 les contrôles essentiels perçus comme réduisant la probabilité ou la gravité d’un rançongiciel susceptible de perturber les opérations sont au centre des préoccupations des assureurs. Ces contrôles prioritaires comprennent la gestion des accès, la résilience de l’entreprise, la sécurité des données et la gestion des correctifs.4

Résultats des données relatives aux contrôles des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels : Rapport sur les clients d’Aon

Les clients ont signalé une amélioration globale de la mise en œuvre des contrôles essentiels en 2022 par rapport à 2021 dans l’ensemble des contrôles priorisés par les assureurs. Aux États-Unis, les secteurs qui ont enregistré les progrès les plus remarquables dans les contrôles essentiels des TI sont ceux de la construction (+10 %), de la production manufacturière (+9 %) et des finances et assurances (+7 %). Pour demeurer concurrentielles à l’échelle mondiale, les entreprises manufacturières passent à des processus d’Internet des objets (IdO) plus numérisés et intégrés à l’intérieur des murs des usines et dans leurs chaînes d’approvisionnement,5 ce qui est en corrélation avec cet engagement à l’égard de la maturité en matière de risques opérationnels. Le secteur de la construction est semblable. De nombreuses entreprises ont commencé à utiliser les technologies de l’IdO pour améliorer la sécurité des lieux de travail et gérer les progrès.6 Cette numérisation accroît la surface des attaques. Les équipes de construction sont également passées des flux de travail papier au nuage, introduisant de nouvelles vulnérabilités et offrant une excellente occasion pour les rançongiciels et les stratagèmes d’hameçonnage. Dans la zone EMOA et au Royaume-Uni, les données de 2022 ont montré que les secteurs de la production manufacturière et de la construction sont moins sophistiqués en ce qui concerne la maturité des contrôles essentiels des TI, plus de la moitié de ces contrôles faisant état de lacunes en matière de déclaration dans le secteur de la construction.

Pourcentage d’absence de contrôles informatiques essentiels pour un secteur donné aux États-Unis (signaux d’alarme)

*La catégorie « Autres secteurs » correspond aux réponses de clients qui appartiennent aux secteurs d’activité suivants : l’hébergement et les services alimentaires, l’agriculture, les arts, le divertissement et les loisirs, la gestion de sociétés et d’entreprises, l’administration publique, les services publics, les services de gestion des déchets, les services d’atténuation, l’administration et le soutien et le commerce de gros.

**La catégorie « Autres services » est choisie par le client

Pourcentage d’absence de contrôles informatiques essentiels pour un secteur donné dans la zone EMOA et au Royaume-Uni (signaux d’alarme)

*La catégorie « Autres secteurs » correspond aux réponses de clients qui appartiennent aux secteurs d’activité suivants : l’hébergement et les services alimentaires, l’agriculture, les arts, les services éducatifs, les divertissements et les loisirs, la gestion de sociétés et d’entreprises, l’administration publique, les services publics, les services de gestion des déchets, les services d’atténuation et l’administration et le soutien.

**La catégorie « Autres services » est choisie par le client

Les organisations se sont concentrées sur le renforcement des contrôles de sauvegarde critiques en 2022, avec 61 % des contrôles mis en œuvre en 2022 contre 55 % en 2021. Toutefois, un examen plus détaillé des données révèle des lacunes. Près de 90 % des entreprises aux États-Unis ont déclaré ne pas stocker de sauvegardes dans le nuage et 70 % ne stockent pas de sauvegardes hors site ou n’ont pas de sauvegardes immuables. La sécurité des sauvegardes demeure une préoccupation majeure et avec raison. Les rançongiciels ont évolué pour s’attaquer eux-mêmes aux sauvegardes, ce qui accroît le risque pour les données. Les sauvegardes immuables sont essentielles pour les entreprises qui dépendent de la sécurité des données dont elles sont responsables. Seules les sauvegardes immuables fournissent une copie nette et récente des données, ce qui permet une récupération rapide et une protection efficace.

La résilience des entreprises est restée l’une des principales préoccupations des clients en 2022. Les assureurs ne se contentent plus de poser des questions simples, par exemple pour savoir si l’organisation dispose de sauvegardes, ils s’interrogent maintenant sur la résilience de l’entreprise. Les entreprises doivent prouver que leurs processus opérationnels peuvent soutenir les répercussions d’une atteinte à la cybersécurité. Les clients du secteur manufacturier (67 % contre 59 % en 2021) et de la construction (66 % contre 55 % en 2021) ont enregistré l’amélioration la plus importante des contrôles essentiels liés à la résilience. Si l’on examine les différences entre les tailles des entreprises, nous constatons que les moyennes et petites entreprises ont signalé plus souvent que les grandes entreprises et les multinationales un manque de contrôles essentiels liés à la résilience des activités. Cette tendance s’est toutefois inversée en ce qui concerne la sécurité des points terminaux, là où les outils de détection et d’intervention ne couvrent pas tous les points terminaux technologiques des grandes entreprises et des multinationales. Fait alarmant, plus de la moitié de toutes organisations clientes ont signalé l’absence d’exercices sur maquette dans le cadre de la planification de la continuité des activités et plus du tiers ont signalé un manque de planification des interventions en cas d’incident.

Pourcentage d’absence de contrôles informatiques essentiels pour un segment de clientèle donné aux États-Unis (signaux d’alarme)

Pourcentage d’absence de contrôles informatiques essentiels pour un segment de clientèle donné dans la zone EMOA et au Royaume-Uni (signaux d’alarme)

90

%

Des entreprises aux États-Unis ont déclaré ne pas stocker de sauvegardes dans le nuage.

Ouvrages de référence

1  “E&O and Cyber Market Review Q4 2022”. E&O and Cyber Market Review | 2022 (aon.com)

2  “Buyer-Friendly Cyber and E&O Markets: How to Take Advantage” Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

Trends by Line of Business – Q4 2022 Global Market Insights (aon.com)

4 “E&O and Cyber Market Review Q4 2022”. E&O and Cyber Market Review | 2022 (aon.com)

5  Manufacturing Cybersecurity. Palo Alto Networks. Report. 2023. https://www.paloaltonetworks.com/industry/unit42-manufacturing

6  Understanding Cyber Risk in the Construction Industry. IT Chronicles. Article. 21 mars 2022. https://itchronicles.com/information-security/understanding-cyber-risk-in-the-construction-industry/

Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.

90

%

Des entreprises aux États-Unis ont déclaré ne pas stocker de sauvegardes dans le nuage.

Gestion de la cybersécurité en six thèmes de risque.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.

Étapes pour minimiser l’incidence des cyberattaques sur le risque systémique

La tâche de gérer le risque systémique a été propulsée en tête de liste des priorités du secteur de l’assurance, car d’importants cyberincidents ont sonné l’alarme, indiquant que le risque systémique est considérable et peut avoir une incidence généralisée.

Pour en savoir plus
Les cyberattaques contre les chaînes d’approvisionnement ont des répercussions considérables

Les cybermenaces ajoutent une couche de complexité aux risques liés à la chaîne d’approvisionnement. La gestion des risques liés aux tiers, qui est essentielle à la protection de l’organisation, a obtenu la note CyQu la plus basse des neuf domaines notés.

Pour en savoir plus
Élaborer un plan pour faire face aux risques d’atteinte à la réputation

Les cyberattaques peuvent nuire à la valeur des actions d’une entreprise. Ce ne sont pas toutes les entreprises cependant qui perdent de la valeur en raison d’une cyberattaque. Les recherches ont révélé que 17 entreprises ont connu une incidence moyenne sur la valeur de leurs actions qui est supérieure à celle du marché de +18 % après un événement, soit une incidence totale sur la valeur des actions de 445 G$ à la suite d’un incident.

Pour en savoir plus
Les cybermenaces internes constituent un risque croissant pour les entreprises

Les individus malveillants savent que les humains sont faillibles. En 2022, deux entreprises sur cinq ont signalé un manque de contrôles du centre des opérations de sécurité, ce qui a intensifié les risques internes.

Pour en savoir plus
Comment le cyberrisque touche presque tous les aspects du risque d’entreprise

Une plus grande rigueur de souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle a contribué à la croissance de la maturité en matière de cyberrisque dans tous les secteurs d’activité et toutes les tranches de revenus en 2022.

Pour en savoir plus