Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 13 sur 16 Dans ce rapport.

October 19, 2023 / 7 minutes de lecture

Amérique latine : Trois domaines cruciaux de contrôle présentant des risques

La cyber-maturité globale des entreprises latino-américaines est proche de celle des entreprises de la région EMEA et du Royaume-Uni, toutefois trois lacunes importantes ressortent : la gestion des tiers, la résilience des entreprises et la sécurité des applications.

Points essentiels

  1. La cyber-maturité globale moyenne des entreprises de la région LATAM correspond à celle des entreprises du Royaume-Uni et de la région EMEA. Toutefois, les entreprises de la région LATAM semblent être à la traîne par rapport à leurs homologues aux États-Unis.
  2. La gestion des tiers est le domaine avec le plus de lacunes. Les organisations devraient mieux modéliser l’impact commercial des cyber-risques introduits par ces fournisseurs.
  3. La sécurité des applications doit encore atteindre le niveau « gérée ». Les chefs d’entreprise gagneraient à imposer une formation dédiée à la sécurité à tous les développeurs, en prévoyant des formations régulières d’actualisation des connaissances pour mieux s’adapter aux nouvelles menaces.

Si tous les pays du monde semblent égaux face à la menace d’une cyber-attaque, le niveau de préparation peut différer. La région LATAM est l’une de ces régions qui, selon les données que nous avons recueillies, ont fait des progrès irréguliers dans la gestion des cyber-risques1. Pourtant, selon les rapports des clients fournis dans le cyberquotient 2022 (CyQu) d’Aon 2, la cyber-maturité globale des entreprises de la région LATAM est comparable à celle des organisations de la région EMEA et du Royaume-Uni. Toutefois, les données montrent que les entreprises de la région LATAM sont à la traîne par rapport à leurs homologues américaines dans certains domaines essentiels.


Cyqu score des risques régionaux

En ce qui concerne la cyber-maturité globale, les entreprises de la région LATAM sont confrontées à des lacunes dans trois domaines de contrôles critiques : la gestion des tiers (TPM), la résilience des entreprises et la sécurité des applications. Ces trois domaines se situent à un niveau de maturité « basique ».

Les données du CyQu nous apprennent qu’en matière de diligence raisonnable à l’égard des tiers, seules 15 % des entreprises font état d’une maturité de risque supérieure au niveau « basique ». Quant à la gestion des risques liés aux tiers par le biais d’un accord juridique, seules 17 % des entreprises enregistrent un score de risque supérieur à 2,5 sur un total possible de 4,0. Les données indiquent également que les entreprises sont susceptibles de ne pas soumettre les tiers à des accords de niveau de service, de ne pas avoir de politique formelle pour déterminer les stratégies de cyber-sécurité pour les tiers, ne pas intégrer les tiers dans l’audit de continuité d’activité et de reprise après sinistre et ne pas évaluer l’impact commercial associé aux risques liés aux tiers.

En ce qui concerne la résilience des entreprises, seul un quart d’entre elles fait état d’un profil de risque supérieur au niveau « basique » en matière de continuité d’activité ou dispose d’un plan de reprise après sinistre axé sur la reprise et la quantification de l’impact financier. Seules 35 % des entreprises ont enregistré un profil de risque supérieur au niveau « basique » pour la planification de la réponse aux incidents et les exercices de simulation.

Les clients ont également déploré de lacunes dans un autre domaine de contrôle critique, à savoir la sécurité des applications. Moins de 35 % des entreprises ont rapporté un profil de risque supérieur au niveau « basique », et les entreprises ne gèrent pas de manière adéquate le processus d’autorisation des applications logicielles, la formation des développeurs de logiciels à la sécurité ainsi que la réalisation d’analyses dynamiques et de tests de pénétration pour les applications.

Coup d’œil sur les secteurs

Cette année, nous avons étudié en détail trois secteurs d’activité dans le monde : la finance et l’assurance, les soins de santé et la production manufacturière. Selon les données fournies par les clients dans le cadre du CyQu, les entreprises de la région LATAM dans les trois secteurs ont réalisé des performances relativement bonnes par rapport à leurs homologues de la région EMEA, du Royaume-Uni et des États-Unis. Les clients ont indiqué que leur cyber-position globale atteignait le niveau « gérée » en 2022.


Finance et assurance

Les sociétés du secteur de la finance et de l’assurance de la région LATAM ont obtenu un score global moyen de 2,7, correspondant au niveau de sécurité « gérée ». Cela indique qu’elles ont mis en place des technologies et des pratiques de gestion des risques couvrant l’ensemble de leur organisation. Ce niveau de gestion des risques fait écho à l’environnement réglementaire dans lequel le secteur opère. Dans ce secteur, les pratiques recommandées et les indicateurs prédictifs guident les pratiques de cyber-sécurité dans la majeure partie de ses activités. Des politiques, des processus et des procédures sont également définis, mis en œuvre conformément aux prévisions et révisés. Des méthodes cohérentes ont été mises en place pour répondre efficacement à l’évolution des risques. Pour atteindre le niveau de sécurité de leurs homologues aux États-Unis, les sociétés financières et d’assurance d’Amérique latine sont encouragées à se concentrer sur les domaines dans lesquels elles sont moins performantes, notamment le contrôle d’accès, la résilience des entreprises, la sécurité des systèmes et des points de terminaison et la gestion des tiers.

La plupart des entreprises du secteur de la finance et de l’assurance disposent d’environnements réseau plus matures, ce qui signifie qu’en dépit des volumes notoirement élevés d’applications héritées, il existe une architecture robuste, des mécanismes de défense solides contre les violations du périmètre et une hygiène vitale pratiquée autour de la sécurité du réseau. Toutefois, de nombreuses institutions financières doivent encore mettre en place un processus complet de diligence raisonnable à l’égard des tiers. Cette diligence est une étape cruciale compte tenu des événements récents qui ont défrayé la chronique dans le domaine de la gestion des tiers.


Soins de santé

Selon les rapports des clients fournis dans le cadre du CyQu, la maturité des entreprises du secteur de la santé de la région LATAM en matière de cyber-risques semble être au même niveau que celle de leurs homologues aux États-Unis. Toutefois, les pratiques et les technologies de gestion des risques de cyber-sécurité au sein de ce secteur doivent encore être davantage officialisées. Le risque semble être géré de manière ad hoc et partiellement réactif, alors que les techniques et les technologies doivent être plus clairement établies dans l’ensemble de l’organisation.

Pour atteindre un niveau de maturité plus élevé, les entreprises de soins de santé de la région devraient améliorer la sécurité de leurs applications, la résilience des entreprises, la sécurité physique et la gestion des tiers. Pour la plupart des entreprises du secteur des soins de santé, le pire scénario serait la présence d’un pirate dans l’environnement technologique opérationnel (OT). La mise en œuvre d’une authentification multifacteur forte sur les réseaux informatiques peut s’avérer cruciale car la compromission d’un mot de passe peut toujours aboutir à la compromission de données sensibles ou donner un premier accès à un intrus.

Il est essentiel de procéder à des évaluations rigoureuses de la diligence raisonnable des tiers afin de prévenir et de détecter les risques liés aux données confidentielles, aux systèmes de la chaîne d’approvisionnement et à l’infrastructure OT essentielle car elles peuvent réduire les risques liés aux systèmes de pharmacovigilance, aux systèmes de distribution et aux processus de production opérationnels.


Manufacturing

Les entreprises de production manufacturière de la région LATAM obtiennent des résultats similaires à ceux de leurs homologues américaines dans la plupart des domaines en ce qui concerne la gestion des cyber-risques. Pourtant, à l’instar de leurs homologues du secteur des soins de santé, les pratiques et les technologies de gestion des risques de cyber-sécurité des organisations ne sont généralement pas officialisées, ont une portée limitée et les risques sont gérés au cas par cas et d’une manière pas toujours réactive.

Les problèmes les plus critiques pour les entreprises de production manufacturière de la région LATAM sont la gestion des tiers, la sécurité des applications et la résilience des entreprises. Les fabricants dépendront probablement de nombreux tiers pour soutenir leur chaîne de valeur. Pourtant, grand nombre de ces entreprises continuent de procéder à des déploiements ad hoc et semblent avoir besoin d’une approche plus cohérente en matière de diligence raisonnable dans l’ensemble de l’entreprise.

Les données fournies par les clients pour le CyQu montrent que l’authentification et le cryptage restent relativement faibles chez les fabricants de la région LATAM. Les entreprises ont besoin d’aide pour la journalisation et la surveillance des points de terminaison, ce qui entraîne une mauvaise visibilité des systèmes de contrôle industriel et des réseaux opérationnels essentiels. La réponse aux incidents et la mise en œuvre de plans de continuité d’activité doivent également être plus robustes dans l’ensemble du secteur.

Et maintenant ? Actions suggérées aux dirigeants latino-américains

Gestion des tiers. Effectuer un contrôle préalable des fournisseurs tiers afin qu’ils soient mieux en phase avec les politiques de votre entreprise et les pratiques recommandées du secteur. Cela inclut la réalisation d’évaluations et de réexamens en cas de modification des accords de service. Effectuer des audits de continuité d’activité et de reprise après sinistre auprès des fournisseurs tiers, en particulier après des changements organisationnels. Prévoir l’impact commercial des cyber-risques associés aux fournisseurs tiers en utilisant une analyse formelle qui modélise les effets financiers potentiels. Mettre en œuvre et définir des seuils et des processus de signalement qui aident à décider de l’application des stratégies de cyber-sécurité pour les fournisseurs tiers identifiés. Utiliser des indicateurs multiples, des stratégies de gestion cohérentes et impliquer la direction.

Résilience des entreprises. Veiller à ce que les plans de continuité d’activité et de reprise après sinistre technique (BCP/DR) soient mis en œuvre et appliqués au moins une fois par an ou plus fréquemment si nécessaire. Inclure tout le personnel clé, couvrir toutes les opérations nécessaires à la reprise d’activité et envisager de produire des rapports post-exercice avec des recommandations d’amélioration. Veiller à ce que les plans BCP/DR de votre organisation permettent la reprise d’activité en cas de défaillance d’une technologie ou d’un logiciel essentiel, d’une défaillance d’un fournisseur de technologie ou d’un service public essentiel, de la perte ou de la corruption d’informations vitales et de la divulgation d’informations extrêmement sensibles. Inclure l’impact financier du coût d’opportunité, de l’augmentation du coût du travail et des dépenses, de la réduction des revenus ou de la valeur équivalente du débit, de l’inefficacité et de la rentabilité, du remplacement des actifs non assurés, de la valeur du capital et de la viabilité financière dans vos plans BCP/DR.

Sécurité des applications. Veiller à ce que tous les développeurs suivent une formation à la sécurité régulièrement ou au moins une fois par an et prévoir des mises à jour régulières des connaissances pour s’adapter aux nouvelles menaces. Tenir un inventaire des applications, supprimer rapidement tous les logiciels non autorisés et s’assurer que la liste des applications autorisées couvre les exécutables, les bibliothèques de code et les scripts, par exemple les macros et les fichiers .ps1.

Références

1 “Raising the Political Priority of Cybersecurity in Latin America.” Hurel, Louise Marie and Devanny, Joe. Council on Foreign Relations. Blog Post. March 16, 2023.

2 Aon’s Cyber Quotient (CyQu). Patent-pending technology.


Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.

Cyber-maturité par région

La cyber-maturité globale des entreprises peut varier d’une région à l’autre. En savoir plus sur les lacunes, les défis et les opportunités, ainsi que sur les mesures que les dirigeants peuvent prendre pour renforcer la cyber-résilience et la résilience de l’entreprise.