English | French Canada

Nouvelles d'Aon Canada

 

Aon publie son rapport 2019 sur les risques en matière de cybersécurité

Huit catégories de risque viennent mettre en évidence la façon dont le virage numérique ouvre d’excellentes perspectives tout en entraînant davantage de risques


TORONTO (13 février 2019) – Aon plc (NYSE : AON), le principal fournisseur mondial d’une vaste gamme de solutions pour la gestion du risque, des régimes de retraite et des programmes de santé, a publié aujourd’hui son rapport 2019 sur les risques en matière de cybersécurité. Ce rapport présente les plus importantes menaces à la cybersécurité et les défis auxquels les organisations font actuellement face, en plus d’expliquer qu’en ayant recours à la technologie pour accélérer le transfert de renseignements, les entreprises créent des occasions d’affaires révolutionnaires, mais augmentent également les cyberrisques.

« En 2018, les entreprises ayant investi dans une approche proactive en matière de préparation et de planification cybernétiques ont récolté le fruit de leurs efforts et, en 2019, les besoins relatifs à la planification avancée ne feront que s’intensifier, indique J. Hogg, chef de la direction de Solutions de risques cybernétiques d’Aon. Les dirigeants doivent s’efforcer de mieux protéger leur entreprise et leurs processus tout en tirant profit des possibilités offertes par la technologie et la transformation numérique. »

J. Hogg ajoute : « Le rapport démontre par ailleurs que les organisations doivent reconnaître la nécessité de communiquer l’information relative aux menaces dans leur propre réseau, mais aussi à l’extérieur. Même si cette façon de faire peut sembler contre-intuitive lorsqu’il est question de cybersécurité, la collaboration tant à l’interne qu’avec les autres organisations peut accroître la sécurité des données privées des entreprises comme des particuliers. Une telle collaboration peut renforcer les efforts déployés pour repérer les joueurs malveillants tout en rehaussant les critères, en plus de faire en sorte que tous les intervenants soient mieux préparés lorsque surviendra le moment inévitable où leurs systèmes connaîtront une défaillance. »

Le rapport What’s Now and What’s Next est axé sur huit catégories de risque précises auxquelles les entreprises peuvent faire face en 2019. Ces risques illustrent la façon dont la transition des organisations internationales vers une approche axée d’abord sur le numérique pour l’ensemble de leurs opérations fait accroître rapidement, et parfois de façon inattendue, leur niveau d’exposition aux attaques. En d’autres mots, les améliorations rapides et les changements constants qui s’opèrent sur le plan de la technologie font augmenter le nombre de points d’accès au sein d’une organisation que peuvent utiliser les cybercriminels.

Les cyberrisques au Canada

Au Canada, les dirigeants d’entreprise sont préoccupés par les mêmes cyberrisques que ceux décrits dans le rapport. Les organisations ont de la difficulté à prévenir les pertes dans la chaîne d’approvisionnement à la suite d’un cyberincident comme celui de Notpetya. La demande de solutions d’assurance viables et créatives qui atténuent les pertes subies par les participants à la chaîne d’approvisionnement lorsqu’une organisation d’une telle chaîne est paralysée en raison d’une cyberintrusion n’a jamais été aussi forte.

Bien que les conseils d’administration et les dirigeants des entreprises canadiennes n’aient généralement pas été tenus de rendre compte directement des échecs en matière de cybergouvernance comme leurs homologues américains, ce n’est qu’une question de temps avant que cette tendance s’inverse. Les organisations de toutes tailles continuent de mettre l’accent sur la sensibilisation et la formation de leurs employés au sujet des cyberrisques et sur la mise en oeuvre de protocoles et de procédures appropriés pour répondre aux exigences réglementaires nouvelles et de plus grande portée, comme les dispositions obligatoires en matière de notification des violations et le Règlement général sur la protection des données de l’Union européenne.

« Je pense que nous avons atteint un point de bascule au Canada en ce qui concerne le cyberrisque organisationnel, a déclaré Brian Rosenbaum, chef national, Services des risques cybernétiques d’Aon au Canada. La plupart des organisations comprennent enfin qu’elles ont un certain degré d’exposition et savent qu’elles doivent faire quelque chose à ce sujet. Pendant une bonne partie de la dernière décennie, un grand nombre d’organisations canadiennes étaient soit ignorantes, soit dans le déni de leurs cyberrisques. Il ne fait donc aucun doute que nous avons constaté des progrès. Cela dit, il reste encore beaucoup de chemin à parcourir avant d’atteindre un niveau de cybermaturité pour faire face à cette exposition de façon adéquate, et c’est maintenant le nouveau défi. »

Voici quelques points saillants du rapport :

  1. Technologie : Bien que la technologie ait révolutionné la façon dont les organisations mènent aujourd’hui leurs activités, son utilisation plus généralisée et à plus grande échelle entraîne aussi des vulnérabilités. De l’édition à l’automobile, les secteurs d’activité font face à de nouveaux services et modèles d’affaires qui évoluent sans cesse. Ces nouvelles possibilités sont toutefois liées à un ensemble de risques radicalement différents, que les organisations devront prévoir et gérer au fil de leur transformation numérique.
  2. Chaîne d’approvisionnement : Deux tendances dominantes en matière de chaîne d’approvisionnement feront augmenter les cyberrisques de façon spectaculaire au cours de l’année à venir : d’abord, l’accroissement rapide des données opérationnelles exposées aux cybercriminels qui proviennent des appareils mobiles et des appareils périphériques connectés comme l’Internet des objets (IdO), puis la dépendance croissante des entreprises à l’égard des fournisseurs et prestataires de services indépendants ou des prestataires de services logistiques. Ces deux tendances ouvrent, pour les pirates informatiques, de nouveaux accès aux chaînes d’approvisionnement. Il est donc nécessaire d’adopter une approche de gestion des risques prévisionnelle qui relève du conseil d’administration afin d’assurer la fiabilité et la viabilité des activités commerciales.
  3. IdO : L’IdO est partout, et chaque appareil connecté se trouvant dans un milieu de travail présente maintenant un risque potentiel pour la sécurité. Plusieurs entreprises négligent de gérer de façon sécurisée ou même de répertorier l’ensemble des appareils connectés associés à leurs activités, ce qui entraîne déjà des atteintes à la protection des données. Avec le temps, le nombre de points d'extrémité IdO augmentera considérablement, augmentation facilitée par le déploiement en cours à l’échelle mondiale de l’IdO cellulaire ainsi que la transition prochaine vers le réseau 5G. La mise en oeuvre par les organisations de processus d’inventaire et de surveillance efficaces sera critique au cours de l’année à venir et des suivantes.
  4. Activités commerciales : La connectivité à Internet facilite considérablement les tâches opérationnelles, mais cette connectivité accrue crée aussi de nouvelles vulnérabilités sur le plan de la sécurité. Le niveau d’exposition aux attaques augmente énormément en même temps que la connectivité, et les pirates informatiques peuvent plus facilement se déplacer latéralement dans tout un réseau. En outre, des raccourcis opérationnels ou des processus de sauvegarde inefficaces peuvent accroître encore davantage les conséquences d’une attaque sur les activités commerciales. Les organisations doivent mieux connaître les répercussions cybernétiques d’une connectivité accrue et s’y préparer.
  5. Employés : Les employés demeurent l’une des causes les plus courantes d’atteinte à la sécurité des données. Ils ne mesurent toutefois probablement pas pleinement l’ampleur de la menace qu’ils présentent pour la cybersécurité d’une organisation. Alors que la technologie continue à influer sur chaque poste, du chef de la direction au stagiaire débutant, les organisations doivent absolument mettre sur pied une approche complète visant à atténuer les risques provenant de l’intérieur, notamment en établissant des normes rigoureuses en matière de gouvernance des données, en communiquant les politiques de cybersécurité à l’échelle de l’organisation et en mettant en oeuvre des mesures efficaces pour contrôler l’accès et la protection des données.
  6. Fusions et acquisitions : On prévoit que la valeur des fusions et des acquisitions dépassera les 4 billions de dollars en 2018, la somme la plus élevée en quatre ans1. Cela pose problème pour les organisations qui font l’acquisition d’autres entreprises, car même si leur approche en matière de gestion des cyberrisques est irréprochable, rien ne garantit qu’il en est de même pour les entreprises acquises. Les décideurs doivent intégrer des stratégies de cybersécurité précises à leurs plans globaux de fusion et d’acquisition s’ils veulent assurer l’harmonie des transitions dans le futur.
  7. Réglementation : Des règlements, des lois, des règles et des normes plus contraignantes en matière de cybersécurité sont conçus de façon à protéger les entreprises et leurs clients. Le rythme de mise en application de la réglementation s’est accéléré en 2018, ouvrant la voie à des risques accrus en matière de conformité en 2019. Toutefois, les organisations ne doivent pas se concentrer exclusivement sur la réglementation et la conformité. Elles doivent trouver un équilibre entre les nouveaux règlements et les cybermenaces en constante évolution, lesquelles exigeront la vigilance de tous les intervenants.
  8. Conseil d’administration : La surveillance en matière de cybersécurité continue d’être un point central pour le conseil d’administration et les dirigeants d’entreprise, mais un risque personnel croissant a récemment fait augmenter les enjeux. Les conseils d’administration doivent continuer à élargir leur champ d’intérêt et à donner le ton à l’échelle de l’entreprise, non seulement en prenant des mesures après un cyberincident, mais aussi en adoptant une approche proactive en matière de préparation et de planification.

Lisez le rapport 2019 d’Aon sur les risques en matière de cybersécurité (en anglais).

1 Statistiques sur les fusions et les acquisitions de l’IMAA

 

Relation avec les médias

Pour de plus amples renseignements, veuillez communiquer avec Alexandre Daudelin, +1.514.982.4910.

Nos représentations dans le monde