Rapport 2023 sur la cyberrésilience

Cela fait partie de l’article 9 de 17 Dans le présent rapport.

Perspective précédente Perspective suivante

August 01, 2023 / 6 minute(s) de lecture

Comment la fabrication intelligente intensifie les risques pour les entreprises

Principaux points à retenir

Le profil global contre le cyberrisque des fabricants a connu une amélioration constante entre 2020 et 2022.
Les réclamations liées aux rançongiciels pour le secteur manufacturier ont diminué de 32 % au cours de cette période.
La résilience demeure un objectif à atteindre. En effet, les fabricants américains et 65 % des entreprises ont signalé que les exercices sur maquette ne faisaient pas partie de leur plan de résilience.

Les nouveaux risques, tels que l’intégration de la chaîne de blocs et des installations intelligentes, les perturbations de la chaîne d’approvisionnement mondiale, l’Internet des objets industriels (IdOI et le vol de propriété intellectuelle peuvent représenter un défi de taille pour les fabricants. Un récent projet du MIT a démontré les répercussions des perturbations de la chaîne d’approvisionnement dans le secteur des semi-conducteurs, révélant qu’une perturbation de 10 jours dans la production d’une entreprise entraîne en moyenne un retard d’au moins 300 jours avant que ses stocks ne reviennent à la normale.1

Le secteur manufacturier est l’un des principaux moteurs de l’économie mondiale. La Chine est une superpuissance manufacturière et les États-Unis, le Japon et l’Allemagne sont les premiers pays en termes de valeur ajoutée par le secteur au produit intérieur brut (PIB)2 Aux États-Unis, le secteur de la production manufacturière a contribué à hauteur de 2,3 billions de dollars au PIB du pays au quatrième trimestre de 2022.3 La taille et l’interconnexion du secteur signifient qu’il existe un grand potentiel de cyberincident important. En effet, le secteur manufacturier est reconnu comme le principal secteur frappé par des attaques par rançongiciel en 2022.4

Les grands fabricants comptent sur un vaste réseau de petites entreprises dans la chaîne d’approvisionnement. Ces petites entreprises ne parviennent généralement pas à atteindre le niveau de sophistication de leurs homologues plus importants en matière de cybermaturité. Aux États-Unis, 98,6 % des entreprises manufacturières sont des petites entreprises et la plupart comptent moins de 20 employés.5 D’après notre expérience, les fusions et acquisitions comportent également des risques, certains des plus importants cyberincidents du secteur manufacturier résultant d’une intégration limitée ou médiocre des sociétés acquises.

À cela s’ajoute un environnement économique et opérationnel difficile. Notre expérience nous a montré que le secteur manufacturier mondial a connu deux années éprouvantes pendant la pandémie de COVID-19, aux prises avec des coûts d’expédition élevés, des pénuries d’employés et des problèmes liés à la chaîne d’approvisionnement. Avec un budget limité, les dirigeants se sont attaqués aux défis sous tous leurs angles et ont été forcés de prendre des décisions en fonction du rendement des investissements pour chaque dépense.

Rapport sur les clients d’Aon : Secteur de la production manufacturière et risque

Les réclamations liées aux rançongiciels dans le secteur manufacturier ont diminué de 32 % entre 2020 et 2022, les organisations ayant fait état d’une amélioration constante de leur cybermaturité globale. Le pourcentage médian du budget de TI consacré à la sécurité a également augmenté à l’échelle mondiale, les entreprises déclarant consacrer 8,5 % de leur budget de TI à la sécurité. Selon l’aperçu de l’assurance erreurs et omissions et de la cyberassurance du premier semestre de 2023 d’Aon, du point de vue des tendances en matière de pertes de la région Asie-Pacifique, le secteur manufacturier a été particulièrement visé en raison de l’importance des centres de fabrication dans la région, les technologies opérationnelles demeurant une préoccupation clé en matière de risque pour les marchés régionaux.6

Les données CyQu7 d’Aon montrent que l’indice de risque global des clients du marché intermédiaire s’est amélioré en 2022, passant de 2,2 à 2,5. Toutefois, 56 % des entreprises ont affiché un résultat inférieur à 2,5 en 2022. Nous nous attendons à ce que la maturité en matière de risque des petites et moyennes entreprises continue de s’améliorer à mesure que les grands fabricants imposeront des exigences supplémentaires en matière de cybermaturité au sein de leurs chaînes d’approvisionnement. Par conséquent, les petits fabricants pourraient également être tenus de démontrer leur résilience pour obtenir des polices de cyberassurance.

En ce qui concerne les entreprises mondiales, les indices se sont légèrement améliorés, passant de 2,7 à 2,8. Cependant, 80 % des entreprises ont déclaré des indices supérieurs à 2,5, ce qui montre que le secteur dans son ensemble se rapproche de plus en plus d’un profil de risque « géré ».

Indices de risque CyQu pour les segments de clientèle de la production manufacturière

Revenus annuels (groupe)	2020	2022	Modifier
À l’échelle mondiale	2.7	2.8	+0.1
Entreprise	2.6	2.7	+0.1
Marché intermédiaire	2.2	2.5	+0.3
PME	2.1	2.3	+0.2

Indice de maturité en matière de risque du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Du côté des États-Unis, les fabricants ont fait état d’une amélioration de la mise en œuvre des contrôles liés aux technologies de l’information (TI) entre 2021 et 2022. Selon les données relatives aux contrôles des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels, 90 % des clients ont signalé en 2022 une amélioration de la mise en œuvre des contrôles de gestion des accès axés sur les identifiants uniques pour les administrateurs du système. En moyenne, en 2022, les clients ont mis en œuvre 75 % des contrôles clés d’authentification à facteurs multiples (AFM) comparativement à 58 % en 2021. Les progrès réalisés dans ces domaines ne sont pas surprenants. Le travail à domicile n’était pas répandu dans le secteur manufacturier avant la pandémie, et le passage au télétravail, combiné à de nouvelles exigences en matière d’assurance liées à l’AFM, a probablement favorisé ces progrès.

Les fabricants américains ont également indiqué que la résilience des entreprises n’était pas encore acquise. Fait frappant, en 2022, 65 % des entreprises ont signalé que les exercices sur maquette ne faisaient pas partie de leur plan de résilience. Cette statistique semble confirmer le fait que les entreprises ont tendance à se concentrer davantage sur l’obtention de technologies plutôt que sur les personnes, les politiques et les procédures lorsqu’il s’agit de répondre aux incidents et d’y remédier.

Pourcentage d’absence de contrôles informatiques essentiels pour un secteur donné aux États-Unis (signaux d’alarme)

Bien que les données sur les tendances ne soient pas encore accessibles, nous pouvons voir 2022 comme une année de référence pour le Royaume-Uni. Les fabricants britanniques ont fait état de la plus grande maturité en matière de gestion des accès. Leurs résultats sont toutefois plus faibles que ceux de leurs homologues américains en ce qui concerne la maturité de tous les contrôles liés aux TI en 2022, à l’exception de la gestion des accès, pour laquelle ils ont obtenu des résultats semblables.

Pourcentage d’absence de contrôles essentiels pour un secteur donné dans la zone EMOA et au Royaume-Uni (signaux d’alarme)

Pour ce qui est des technologies opérationnelles (TO), les secteurs manufacturiers américain et britannique ont, en moyenne, déclaré une plus grande maturité que les autres secteurs. Dans le passé, le secteur manufacturier mettait l’accent sur la résilience en matière de TO; nous nous attendions donc à ce que les indices soient plus élevés. Toutefois, les organisations manufacturières ont encore beaucoup à faire en matière de contrôles et de segmentation. Les clients ont signalé un manque à gagner de 41 % dans les contrôles essentiels liés aux TO, une lacune qui doit être comblée.

Pourcentage d’absence de contrôles de technologies opérationnelles pour un secteur donné aux États-Unis

Pourcentage d’absence de contrôles de technologies opérationnelles pour un secteur donné dans la zone EMOA et au Royaume-Uni

Des manufacturiers américains ont signalé un manque d’exercices sur maquette dans le cadre d’un plan de résilience d’entreprise.

Qu’allez-vous faire? Mesures pour les organisations manufacturières

De nombreux fabricants comptent sur la cyberassurance pour se rassurer. Nous constatons cependant que la sécurité n’existera plus dans un avenir prévisible. Il est de plus en plus difficile d’obtenir une politique complète et abordable sans démontrer sa résilience, et cette tendance continuera de s’accentuer. Il est essentiel de faire preuve de diligence raisonnable pour déterminer ce qui se trouve dans le réseau de TO de l’organisation. La gestion de l’identité est aussi un enjeu d’assurance. L’élaboration de politiques et de procédures robustes en matière de gestion des accès privilégiés et des comptes d’administrateur constitue également un problème.
Le cadre 2.08 du National Institute of Standards and Technology et la Loi sur la cyberrésilience9 de l’Agence de l’Union européenne pour la cybersécurité vont considérablement renforcer les exigences en matière de sécurité pour les fabricants. Par conséquent, nous prévoyons un important passage de la protection des technologies autonomes à la sécurisation des appareils connectés. Bien que nous reconnaissions que le secteur manufacturier fonctionne sans interruption, il est prudent pour les propriétaires et les exploitants de prendre le temps d’évaluer et d’atténuer les risques.
Après un cyberincident important, les fabricants se concentrent souvent sur l’aspect technologique de la reprise. La résilience des entreprises exige beaucoup plus et, dans le secteur manufacturier, elle se reflète directement dans la chaîne d’approvisionnement. Il est donc important d’élaborer un plan complet de réponse aux incidents et de reprise, et de bien définir les responsabilités.

Ouvrages de référence

1 Fixing the US Semiconductor Supply Chain. Levi, David Simchi-Levi, Zhu, Feng, Loy, Matthew. Article. Harvard Business Review. 25 octobre 2022.

2 Value added by the manufacturing industry to GDP in 2020 by country: Data Chart. Statista. Extrait du site https://www.statista.com/statistics/456342/realtive-comparison-of-value-added-in-manufacturing-of-leading-countries/

3 United States GDP From Manufacturing. Data Chart. US Census Bureau.

4 2023 X-Force Threat Intelligence Index. Report. IBM. 2023.

5 Manufacturing and Small Business. SCORE. Infographic. 24 mai 2022.

6 Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

7 Aon’s Cyber Quotient. Patent-pending technology.

8 NIST Cybersecurity Framework 2.0. Extrait du site https://www.nist.gov/system/files/documents/2022/10/03/NIST_CSF_update_Fact_Sheet.pdf

9 Loi sur la cybersécurité de l’Union européenne (ENISA). Extrait de La loi sur la cybersécurité de l’UE | Bâtir l’avenir numérique de l’Europe (europa.eu)

Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.

Des manufacturiers américains ont signalé un manque d’exercices sur maquette dans le cadre d’un plan de résilience d’entreprise.

Publications connexes

Gestion de la cybersécurité en six thèmes de risque.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.

Le profil contre le cyberrisque a été amélioré dans le secteur des soins de santé, mais le travail de résilience reste à faire

Aucun autre secteur que celui des soins de santé ne prend des décisions en matière de sécurité qui pourraient avoir une incidence sur la sécurité et le bien-être des patients. Les clients du marché intermédiaire, des entreprises et du secteur mondial des soins de santé ont signalé une amélioration des profils contre le cyberrisque, la majorité passant de l’état « de base » à l’état « géré ».

Pour en savoir plus

Mesures pour améliorer la cyberrésilience dans les secteurs de la finance et de l’assurance

La sécurité des sauvegardes demeure un domaine de vulnérabilité pour le secteur. Des entreprises américaines ont fait état de lacunes dans près de 40 % des contrôles informatiques critiques. Ce domaine doit être au centre des préoccupations en 2023.