Rapport 2023 sur la cyberrésilience

Cela fait partie de l’article 7 de 17 Dans le présent rapport.

Perspective précédente Perspective suivante

August 01, 2023 / 7 minute(s) de lecture

Mesures pour améliorer la cyberrésilience dans les secteurs de la finance et de l’assurance

Les cybermenaces sont en constante évolution et constituent un domaine d’intérêt essentiel pour les organismes de réglementation, les clients, les actionnaires et les conseils d’administration des secteurs de la finance et de l’assurance.

Principaux points à retenir

Des clients ont fait état d’une amélioration de l’indice de risque global en 2022, l’état du risque étant bien près d’être au niveau « géré ».
La sécurité des sauvegardes demeure un domaine de vulnérabilité. Des entreprises américaines ont fait état de lacunes dans près de 40 % des contrôles informatiques critiques.
Les réclamations d’assurance sont en hausse, avec une augmentation de 38 % des réclamations liées aux rançongiciels du T4 2022 au T1 2023.

Les gouvernements, les entreprises et les clients considèrent les institutions financières comme l’épine dorsale de l’économie mondiale.1 En raison du rôle vital qu’elles jouent, la sécurité du secteur est hautement réglementée et surveillée de près. Soulignant la nécessité de la cyberrésilience, la Securities and Exchange Commission des États-Unis a récemment présenté une proposition de gestion des risques liés à la cybersécurité. Cela exigerait que toutes les entités du marché mettent en œuvre des politiques et des procédures conçues pour gérer leurs risques et la cybersécurité. En outre, les organisations des secteurs de la finance et de l’assurance devront, au moins une fois par an, examiner et évaluer la conception et l’efficacité de leurs politiques et procédures en matière de cybersécurité, y compris si elles tiennent compte de l’évolution des cyberrisques au cours de la période couverte par l’examen.2 Dans l’Union européenne, les institutions financières disposent de deux ans pour gérer la résilience opérationnelle et se conformer à la Digital Operation Resilience Act; (DORA).3

De nouveaux risques et vulnérabilités sont détectés chaque jour. Les leaders des secteurs de la finance et de l’assurance ont classé la menace d’une cyberattaque ou d’une violation de données comme étant le principal risque, dans le plus récent sondage mondial sur la gestion des risques d’Aon.

Les secteurs font face à un environnement de risques complexes et interconnectés à l’échelle mondiale et les leaders devraient prendre des décisions qui exigent une analyse et une exécution rapides. Les technologies émergentes et les nouveaux modèles d’affaires modifient continuellement le terrain. Par exemple, les portefeuilles mobiles sont un développement fondamental. Les paiements hors ligne ou en ligne effectués au moyen d’un appareil mobile, d’un téléphone intelligent ou d’un appareil portable sont monnaie courante et les technologies financières font boule de neige. Ce nouveau secteur, celui des technologies financières, accroît de façon exponentielle la portée des attaques et introduit encore plus de vulnérabilités des tiers dans les grandes institutions financières qui se connectent à ces entreprises plus petites et moins sophistiquées. L’Asie arrive en tête des entreprises de technologies financières sur le plan des revenus, mais c’est l’Amérique du Nord qui compte le plus grand nombre de sociétés en démarrage dans ce secteur, avec des statistiques faisant état de 8 775 entreprises actuellement en activité. L’Europe, le Moyen-Orient et l’Afrique comptent 7 385 entreprises en démarrage dans le secteur des technologies financières4 et il y en a 4 765 dans la région Asie-Pacifique.5

Les changements apportés au secteur de l’assurance responsabilité ont également été importants au cours des deux dernières années. Des incidents tels que l’attaque par rançongiciel en 2021 d’un réseau de pipelines aux États-Unis ont altéré le marché et les assureurs ont pris conscience des risques considérables liés à l’interruption des activités et à l’interconnectivité. Les assureurs exigent désormais des institutions financières qu’elles fassent la preuve de leur cyberrésilience pour obtenir une police d’assurance abordable, ou n’importe quelle police. Au cours des discussions concernant le renouvellement d’une police d’assurance, certains assureurs font appel à des professionnels indépendants du secteur des technologies pour interroger le responsable de la sécurité de l’information d’une institution financière.

Cela montre qu’il est possible d’utiliser le processus de renouvellement d’une assurance comme un moyen de démontrer les contrôles et les systèmes que l’institution financière a mis en place. Une telle approche permet de s’assurer que le processus devient un complément au processus de gestion des risques de l’institution financière.

Rapport sur les clients d’Aon : Secteurs de la finance et de l’assurance et cyberrisque

Les données agrégées du cyberquotient (CyQu) d’Aon montrent que les clients ont signalé une amélioration de l’indice de risque global de 2,7 à 2,9 (les clients se rapprochent d’un niveau « géré ») en 2022 dans l’ensemble des sociétés financières et d’assurance. Les petites et moyennes entités ont déclaré que leur profil de risque était passé du niveau « de base » au niveau « géré » et 64 % d’entre elles ont déclaré des indices de risque supérieurs à 2,5. Cette forte croissance de la maturité se poursuivra probablement, car les assureurs continuent de se concentrer sur ces organisations émergentes qui sont essentielles à l’écosystème des services financiers.

Le pourcentage médian du budget des TI consacré à la sécurité a également augmenté à l’échelle mondiale, les sociétés financières et d’assurance ayant déclaré que 8 % du budget des TI était consacré à la sécurité en 2022.

Indices de risque CyQu pour les segments de clientèle de la finance et de l’assurance

Revenus annuels (groupe)	2020	2022	Modifier
À l’échelle mondiale	3.4	3.0	-0.4
Entreprise	2.9	3.2	+0.3
Marché intermédiaire	2.8	3.0	+0.2
PME	2.5	2.7	+0.2

Indice de maturité en matière de risque du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Nous assistons actuellement à une résurgence de groupes d’acteurs agressifs qui ciblent les sociétés de services financiers. Et ces attaques réussissent dans la majorité des cas. Les réclamations d’assurance sont en hausse, avec une augmentation de 38 % des réclamations liées aux rançongiciels du T4 2022 au T1 2023, même si les tranches de revenus ont fait état d’une amélioration constante du profil global contre le cyberrisque. Les sociétés financières et d’assurance ont amélioré la mise en œuvre des contrôles des technologies de l’information entre 2021 et 2022 et ont insisté sur le renforcement des contrôles par l’authentification à facteurs multiples (AFM). Les entreprises américaines ont signalé une amélioration importante des contrôles essentiels par l’AFM, avec un déploiement de 80 %, comparativement à 65 % en 2021. Toutefois, même avec cette amélioration, Aon note que de nombreuses entreprises n’ont pas encore déployé ces solutions de manière approfondie, ce qui pourrait expliquer la hausse des attaques que nous connaissons actuellement.

Aux États-Unis, les sociétés financières et d’assurance ont signalé une amélioration constante de l’état de préparation des contrôles informatiques entre 2021 et 2022. Les données de contrôle des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels d’Aon indiquent que l’amélioration la plus importante a été l’AFM, avec une amélioration de 15 %, et la résilience de l’entreprise, avec une amélioration de 8 % dans la mise en œuvre des contrôles de souscription essentiels. Comparativement aux secteurs des soins de santé et de la production manufacturière, le secteur des services financiers semble beaucoup plus mature en ce qui concerne la résilience des entreprises. Toutefois, la sécurité des sauvegardes continue d’être considérée comme un domaine de vulnérabilité, les organisations indiquant toujours avoir besoin de près de 40 % de contrôles informatiques. Ce domaine de contrôle devrait faire l’objet d’une attention particulière tout au long de 2023, car les menaces liées aux rançongiciels s’intensifient de nouveau.

Pourcentage d’absence de contrôles informatiques essentiels pour un secteur donné aux États-Unis (signaux d’alarme)

Bien que les données sur les tendances ne soient pas encore disponibles pour le Royaume-Uni, en 2022, les organisations des secteurs de la finance et de l’assurance du pays ont fait état de la plus grande maturité en matière de gestion des accès, de sécurité des courriels et de gestion des correctifs, enregistrant des écarts de 20 % ou moins dans chaque domaine de contrôle. Les clients ont signalé des lacunes importantes dans la gestion des logiciels et dans les contrôles de sécurité des données et des réseaux. À l’instar de leurs homologues américains, la protection des sauvegardes semble également nécessiter une attention particulière.

Pourcentage d’absence de contrôles informatiques essentiels pour un secteur donné au Royaume-Uni (signaux d’alarme)

Du budget des TI est consacré à la sécurité, comme l’ont signalé les sociétés financières et d’assurance en 2022.

Qu’allez-vous faire? Mesure pour les organisations des secteurs de la finance et de l’assurance

Source : Digital Operation Reslience Act (DORA) – Regulation (EU) 2022/2054. Extrait du site https://www.digital-operational-resilience-act.com

Les institutions financières de l’Union européenne doivent gérer la résilience opérationnelle et elles disposent de deux ans pour se conformer à la loi. Cela signifie qu’il faut aller au-delà d’une conformité minimale et mener régulièrement des évaluations des défenses techniques, de la maturité des contrôles, des répercussions financières et de l’assurabilité. Enquêtez sur les tiers dans le cadre de ce travail et quantifiez cette perte potentielle afin d’éclairer les décisions budgétaires dans un modèle de rendement des placements en matière de sécurité.
La cyberassurance doit être considérée comme faisant partie intégrante de l’approche de votre organisation en matière de renforcement de la cyberrésilience. Si la cyberassurance est abordée sous l’angle global de l’entreprise, elle peut servir à rassembler les principales parties prenantes. Si l’approche est adoptée, les entreprises pourraient trouver plus d’une façon de transférer et de gérer les cyberrisques quantifiés. Il pourrait être judicieux de transférer une partie du risque dans le marché de la cyberassurance, mais une autre stratégie de rétention des risques ou de financement de l’auto-assurance pourrait être justifiée.
En cas d’atteinte à la cybersécurité, il est important de savoir qui est responsable du point de vue de l’intervention et de la reprise. Les entreprises doivent planifier des scénarios en fonction des vulnérabilités de tiers. Reconnaître que les réclamations de tiers par des clients ou des fournisseurs ne sont que quelques-unes des répercussions financières d’un cyberincident important. Assurez-vous que votre organisation dispose d’un programme de transfert des risques pour aider à atténuer les effets d’un cyberincident en protégeant le bilan et en atténuant les problèmes découlant d’une perte de revenu.
Les vulnérabilités non corrigées offrent un accès facile aux pirates informatiques diligents. Les courriels et l’hameçonnage ont déjà été les principaux points d’entrée, mais à mesure que les organisations ont déployé l’authentification à facteurs multiples, les pirates informatiques se sont tournés vers la compromission des courriels professionnels, entre autres. L’auteur d’une menace est toujours à la recherche d’un nouveau moyen de pénétrer dans l’organisation.
Les attaques par rançongiciel peuvent faire des ravages dans les opérations, causant d’importants dommages financiers et autres. Les entreprises doivent agir maintenant pour mettre en place les meilleurs outils, processus et autres ressources afin de renforcer leur résilience face à ces cyberattaques. Elles devraient également tester régulièrement ces défenses, y compris la capacité à remédier aux dommages efficacement et rapidement et, surtout, à restaurer des sauvegardes propres.

Ouvrages de référence

1 “How Financial Institutions Reshape the Agenda in a Volatile Environment.” Aon’s Finance and Insurance Industry Primer. Aon 2023

2 “SEC Introduces New Requirements to Address Cybersecurity Risks to the US Securities Market.” Press Release. Securities and Exchange Commission (SEC). 15 mars 2023.

3 Digital Operation Reslience Act (DORA) – Regulation (EU) 2022/2054. Extrait du site https://www.digital-operational-resilience-act.com

4 “The Importance of Better Decision Making Amid Increased Volatility.” Aon’s 2021 Global Risk Management Survey. Report. 2021. Cover – 2021 Global Risk Management Survey (aon.com)

5 FinTech Statistics. Article. Balancing Everything. 03 mars 2023.

Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.

Du budget des TI est consacré à la sécurité, comme l’ont signalé les sociétés financières et d’assurance en 2022.

Publications connexes

Gestion de la cybersécurité en six thèmes de risque.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.

Comment la fabrication intelligente intensifie les risques pour les entreprises

Le profil global contre le cyberrisque des fabricants a connu une amélioration constante entre 2020 et 2022. Mais la résilience est encore un travail en cours, les fabricants américains manquant particulièrement de contrôles informatiques significatifs en matière de résilience des entreprises.

Pour en savoir plus

Le profil contre le cyberrisque a été amélioré dans le secteur des soins de santé, mais le travail de résilience reste à faire

Aucun autre secteur que celui des soins de santé ne prend des décisions en matière de sécurité qui pourraient avoir une incidence sur la sécurité et le bien-être des patients. Les clients du marché intermédiaire, des entreprises et du secteur mondial des soins de santé ont signalé une amélioration des profils contre le cyberrisque, la majorité passant de l’état « de base » à l’état « géré ».