Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 14 sur 16 Dans ce rapport.

October 19, 2023 / 7 minutes de lecture

Amérique du Nord : Un investissement pour une meilleure cyber-résilience

Les organisations nord-américaines ont enregistré des améliorations considérables dans des domaines essentiels de la cyber-résilience. Toutefois, il reste des possibilités d’amélioration dans des domaines clés tels que la stratégie de sauvegarde et l’utilisation de l’authentification multifacteur, en particulier pour les petites et moyennes entreprises.

Points essentiels

  1. Le nombre moyen de contrôles de cyber-résilience critiques non respectés par les clients a diminué en 2022 par rapport à 2021.
  2. Les tarifs des cyber-assurances pour tous les secteurs devraient continuer de diminuer en 2023 suite à la hausse du niveau de cyber-résilience, à la baisse de la fréquence des sinistres et à la diminution du rapport sinistres-primes pour les assureurs*.
  3. Alors que les tendances mondiales indiquent que les attaques par ransomware sont en hausse**, les entreprises et les assureurs semblent se concentrer sur la façon dont l’IA peut transformer les schémas d’attaque et la protection de la vie privée.

* “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Rapport. Aon. May 2023.

** “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Rapport. Aon. May 2023.

Les chefs d’entreprise d’Amérique du Nord continuent de lutter contre les cyber-attaques en investissant dans des outils, des technologies et des procédures. Les données recueillies par Aon mettent en évidence cette tendance. En moyenne, les données d’Aon ont révélé que 10 des 33 contrôles critiques présentaient des lacunes en 2022, contre 12 sur 33 en 2021. Nous avons également constaté une nette amélioration dans les domaines de la gestion des accès (diminution de 7,19 % du taux de lacunes), de l’authentification multifacteur (MFA) (diminution de 11,29 % du taux de lacunes) et de la résilience des entreprises (diminution de 6,08 % du taux de lacunes). La fréquence des sinistres a diminué en 2022 et le rapport sinistres-primes s’est amélioré en conséquence. Associés à la réduction de la fréquence des sinistres et à l’amélioration du rapport sinistres-primes pour les assureurs, ces investissements devraient contribuer à faire baisser les primes de cyber-risque en 2023 tout en améliorant la cyber-résilience globale des organisations.


Pourcentage d'absence de contrôles informatiques critiques aux États-Unis ('drapeaux rouges')


Malgré les améliorations moyennes constatées dans toutes les entreprises de la région nord-américaine, il reste des domaines clés où des investissements supplémentaires pourraient être réalisés et il existe une différence notable quant au niveau de résilience entre les entreprises internationales, d’une part, et les petites et moyennes entreprises, d’autre part. Les données de l’application complémentaire Ransomware montrent qu’en moyenne les contrôles de sécurité des sauvegardes se sont améliorés de 6 % dans tous les secteurs d’activité. Cependant, 90 % des entreprises ont indiqué qu’elles ne stockaient pas les sauvegardes dans le cloud, et les sauvegardes ne sont ni stockées hors site ni immuables chez 70 % d’entre elles. Dans l’ensemble, les données de 2022 montrent que les lacunes de contrôle des petites et moyennes entreprises en matière de résilience des entreprises étaient 10 % plus élevées que celles des entreprises internationales. Les organisations dont le chiffre d’affaires est inférieur à 2 milliards de dollars continuent de faire état de lacunes plus importantes en matière d’authentification multifacteur que les autres organisations, ce qui reste une préoccupation majeure pour les assureurs dans le domaine des cyber-menaces.

Après plusieurs trimestres de baisse d’activité, la fréquence des attaques par ransomware dans le monde a augmenté au premier trimestre et de 20231, rappelant aux organisations pourquoi les ransomware restent une préoccupation majeure en matière de cyber-résilience. En outre, l’utilisation d’outils d’IA pour créer des schémas d’attaque et les affiner est une préoccupation croissante à la fois pour les entreprises et pour la communauté d’assureurs dans le domaine des cyber-menaces. La puissance et la facilité d’utilisation de ces outils d’IA signifient que nous pouvons nous attendre à une augmentation du phishing et du spear phishing. La protection de la vie privée revient également sur le devant de la scène, en particulier dans le domaine des soins de santé2. Les actions en justice pour violations de la vie privée (conformément au California Invasion of Privacy Act [CIPA] et au Video Privacy Protection Act [VPPA]) résultant de l’utilisation de la technologie de suivi des pixels sont devenues des outils populaires pour les avocats des demandeurs à la fin de 2022 et cette tendance se poursuit en 2023.

Coup d’œil sur les secteurs

Cette année, nous avons examiné trois secteurs de manière plus approfondie : la production manufacturière, les soins de santé, ainsi que la finance et l’assurance. Si les entreprises des trois secteurs ont généralement suivi la tendance des améliorations moyennes observées dans l’ensemble des secteurs, les nuances propres aux besoins et aux opérations de chaque secteur révèlent des écarts par rapport aux moyennes dans des domaines clés.

Les clients du secteur de la production manufacturière ont fait des progrès significatifs dans les domaines de l’authentification multifacteur et de la gestion des accès. Toutefois, la sécurité des sauvegardes, la résilience des entreprises et la sécurité des données ont enregistré le pourcentage le plus élevé de lacunes moyennes3 et restent donc les domaines les plus préoccupants. La prévalence d’outils hérités et l’augmentation des fusions et acquisitions dans ce secteur sont deux facteurs qui expliquent l’exposition croissante aux vulnérabilités liées aux technologies de l’information (IT) et aux technologies opérationnelles (OT). Les entreprises de ce secteur continuent d’afficher un taux de lacunes moyen de 40 % en ce qui concerne les contrôles OT4. Ces résultats s’expliquent par l’absence de couverture des ransomware dans les exercices de simulation, l’absence de plans de continuité d’activité à jour ou testés et/ou des capacités de surveillance et de correction déficientes dans l’environnement OT.


Pourcentage d'absence de contrôles informatiques critiques pour l'industrie manufacturière aux États-Unis ('drapeaux rouges')


Percent of lack of critical OT controls’ for Manufacturing in U.S. (‘red flags’)


Les clients du secteur des soins de santé semblent avoir fait des progrès significatifs dans les domaines de l’authentification multifacteur et de la résilience des entreprises en 2022 par rapport à 20215. Cela est dû en partie à l’accent mis par les assureurs sur les contrôles clés qui aident à limiter la probabilité et la gravité d’une attaque par ransomware. Toutefois, la sécurité des données, la gestion des logiciels et la sécurité des points de terminaison ont connu une augmentation du taux de lacunes au cours de la même période. Les données révèlent qu’en raison de la numérisation croissante et de la pression exercée par le secteur des soins de santé pour automatiser certains processus, de nombreuses entreprises ont externalisé leurs opérations IT en 2022 ou recruté des talents expérimentés dans le domaine de la sécurité. Toutefois, cette augmentation des lacunes pourrait ne pas refléter une régression réelle de la cyberrésilience, mais plutôt une amélioration de l’exactitude des rapports.


Pourcentage d'absence de contrôles informatiques critiques dans le secteur de la santé aux États-Unis ('drapeaux rouges')


Les clients du secteur de la finance et de l’assurance ont fait beaucoup de progrès en ce qui concerne l’authentification multifacteur, la gestion des accès et la résilience des entreprises6. Les tendances en matière de sinistres et de cyber-veille indiquent que les acteurs malveillants sont toujours en mesure de contourner l’authentification multifacteur et d’utiliser les commandes de bureau à distance pour compromettre l’environnement réseau dans ce secteur. Les données de l’application complémentaire Ransomware d’Aon suggèrent que les clients des secteurs de la finance et de l’assurance privilégient des règles d’authentification multifacteur plus strictes et des capacités de gestion des correctifs pour lutter contre ces tendances. Les domaines de la sécurité des données et de la sécurité des points de terminaison restent particulièrement importants pour le secteur de la finance et de l’assurance, compte tenu de la nature plus intense des risques liés aux tiers et aux initiés auxquels ces organisations sont confrontées. Enfin, les nouvelles règles de la SEC concernant les rapports sur les exercices de simulation dans le cadre de la continuité d’activité et de la planification de la reprise après sinistre devraient entraîner une augmentation des tests de pénétration et des contrôles de correction proactive7.


Pourcentage d'absence de contrôles informatiques critiques dans les secteurs de la finance et de l'assurance aux États-Unis ('drapeaux rouges')


Et maintenant ? Quelques suggestions d’actions pour les dirigeants nord-américains

  1. Mettez à jour et renforcez les cadres de gouvernance et les stratégies de gestion des risques concernant les cyber-risques. Les réglementations en matière de protection de la vie privée dans la région continuent d’aller au-delà des lois relatives à l’obligation de notifier les violations de données et prennent en compte de nouveaux types d’informations (par exemple, biométriques) ainsi que les concepts de consentement éclairé au moment de la saisie des données. Il est donc primordial que les chefs d’entreprise consignent et divulguent de manière appropriée leurs pratiques de bonne gouvernance et de gestion des risques liés aux cyber-menaces, conformément aux pratiques recommandées et aux exigences réglementaires. Cette action permettra non seulement d’améliorer le profil de risque de l’entreprise, mais aussi d’atténuer les actions potentielles des régulateurs et des actionnaires en cas de cyber-événement ou d’atteinte à la vie privée.
  2. Restez vigilant face à la menace des ransomware. Si les entreprises de la région ont obtenu de bons résultats dans la lutte contre les menaces liées aux ransomware, les tendances mondiales indiquent que ces attaques sont en hausse (38 % de plus au T1 2023 par rapport au T4 2022)8. Continuez de vous concentrer sur les contrôles de sécurité qui réduisent le risque d’attaque par ransomware, en particulier les contrôles qui constituent une partie essentielle du processus de souscription d’assurance.
  3. Restez tourné vers l’avenir en ce qui concerne les stratégies d’atténuation des cyber-risques et de résilience. Il est essentiel pour toutes les organisations de revoir les outils, les technologies et les procédures nécessaires pour lutter contre les cyber-menaces qui sont influencées par les tensions géopolitiques et les nouveaux vecteurs d’attaque. Veiller à ce que les plans de continuité d’activité et de reprise après sinistre soient mis à jour et testés en fonction de l’évolution des outils, des technologies et des procédures, ainsi que des activités actuelles de l’entreprise, est un aspect essentiel d’une stratégie de gestion des crises. En testant les limites et la couverture prévues par l’assurance par le biais d’une évaluation périodique des risques et d’une cartographie des risques, on s’assure que tout achat d’assurance sera utile pour la stratégie globale d’atténuation des cyber-risques de l’entreprise.

Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.

Cyber-maturité par région

La cyber-maturité globale des entreprises peut varier d’une région à l’autre. En savoir plus sur les lacunes, les défis et les opportunités, ainsi que sur les mesures que les dirigeants peuvent prendre pour renforcer la cyber-résilience et la résilience de l’entreprise.