Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 10 sur 16 Dans ce rapport.

October 19, 2023 / 8 minutes de lecture

Les entreprises britanniques en quête de cyber-résilience

La maturité globale des organisations britanniques en matière de cyber-risques a légèrement diminué entre 2020 et 2022 : certains domaines de sécurité s’en tirent exceptionnellement bien tandis que d’autres ont régressé.

Points essentiels

  1. Face à l’augmentation des risques, la cyber-maturité globale des clients a diminué.
  2. Alors que la maturité globale a baissé, les scores dans quelques domaines de la sécurité ont augmenté, ce qui suggère une augmentation des investissements dans certains domaines au détriment d’autres.
  3. Les tendances mondiales indiquent que les attaques par ransomware sont en augmentation* et les assureurs réagissent en exigeant que l’on se concentre davantage sur les contrôles qui constituent une partie essentielle du processus de souscription d’assurance.

* “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Rapport. Aon. May 2023.

Cette année, le thème de la conférence Cyber United Kingdom (UK) est d’aider les clients à « garantir un avenir numérique ouvert et résilient »1. Ce thème met en exergue une période de croissance sans précédent sur le plan du développement numérique et des nouvelles technologies, associée à la commercialisation des cyber-outils, alors que les entreprises sont confrontées à un cyber-risque accru. Le Brexit a suscité des inquiétudes en matière de cyber-sécurité sur plusieurs fronts. Tout d’abord, il y a eu une pénurie de travailleurs qualifiés due au retour des ressortissants étrangers dans leur pays d’origine2. Ensuite, le Brexit a introduit une certaine incertitude quant aux décisions de haut niveau en matière de cyber-sécurité lorsque le Royaume-Uni a perdu son siège au conseil d’administration d’Europol, qu’il dirigeait auparavant, et donc sa capacité à façonner les priorités paneuropéennes en matière de police et à diriger les opérations d’Europol en matière de cyber-criminalité3.

Le cyber-risque est au cœur des préoccupations des entreprises britanniques. Selon l’enquête mondiale sur la gestion des risques d’Aon4, le cyber-risque et le risque d’interruption de l’activité occupent respectivement la première et la deuxième place du classement au Royaume-Uni. Quant à l’atteinte à la réputation ou à la marque, elle se classe en troisième position et les pannes de la chaîne d’approvisionnement ou de distribution en septième position. Le cyber-espace regroupe tous ces thèmes de risque.

Cependant, le fait d’être conscient du risque ne signifie pas que les organisations britanniques sont prêtes à y faire face. D’après les données comparatives obtenues dans le cadre du CyQu, la maturité globale des clients en matière de cyber-risques au Royaume-Uni a légèrement diminué. Toutefois, cela ne reflète pas l’analyse sous-jacente qui montre une amélioration significative dans certains domaines de la sécurité et un affaiblissement ou une dégradation dans d’autres.

Les domaines dans lesquels le score CyQu s’est le plus amélioré entre 2020 et 2022 comprennent le déploiement de l’authentification multifacteur (MFA), la vulnérabilité et la surveillance des appareils, ainsi que la formation des employés à la cyber-sécurité. Ce changement peut être une conséquence directe de l’émergence du travail à distance pendant la pandémie, puisque la surface d’attaque potentielle s’est étendue et les entreprises ont eu un besoin urgent de remédier aux vulnérabilités dans ces zones de contrôle.

Les scores CyQu ont également baissé dans d’autres domaines de contrôle critiques, ce qui montre que les clients sont confrontés à des défis permanents pour faire face aux tactiques et techniques dynamiques et en constante évolution des cyber-attaquants. La régression la plus apparente de la maturité en matière de risque est apparue dans les domaines de la continuité d’activité et de la reprise après sinistre, des tests de pénétration des réseaux et de la classification des données. Ces baisses pourraient résulter de transferts budgétaires visant à réaliser des améliorations dans d’autres domaines.

Alors que la régression de la maturité en matière de risque a entraîné une baisse des scores globaux pour la plupart des secteurs, des augmentations notables des scores de résilience et de maturité face au risque ont été observées dans les secteurs de la production manufacturière, du transport et de l’entreposage, avec des progressions à deux chiffres des scores CyQu. Les données de contrôles d’alertes supplémentaires pour les ransomware ont montré une amélioration notable des contrôles des technologies opérationnelles (OT), bien que les organisations aient encore rapporté un nombre élevé de lacunes en matière de contrôle. Par exemple, les entreprises du secteur de la production manufacturière ont jugé que 45 % des contrôles OT ne fonctionnaient pas.


Pourcentage d'absence de contrôle des OT pour un secteur donné au Royaume-Uni


Par ailleurs, les escroqueries via des ransomware et leur succès grâce à l’utilisation de systèmes de phishing pour lancer des attaques continuent de présenter un risque important d’interruption des activités. Alors que les violations de données par ransomware ont diminué de 16 % entre le troisième trimestre 2022 et le quatrième trimestre 20225, les données du marché de l’assurance “Erreurs et Omissions” et des cyber-risques montrent qu’au premier trimestre 2023, il y a eu une recrudescence des attaques par ransomware et que la fréquence des événements a augmenté de 49 %6. Alors que les attaques contre les organisations américaines ont diminué de 51 % en glissement annuel par rapport au pic de 2021 en 2022, elles ont augmenté au Royaume-Uni (20 %), dans la région EMEA (38 %) et dans la région APAC (56 %). Cela indique que les pirates ont changé de région cible.

Près de 40 % des clients britanniques qui ont complété l’évaluation des contrôles d’alertes supplémentaires pour les ransomware d’Aon dans l’optique de souscrire à une assurance ont signalé des lacunes en matière de contrôle dans 33 domaines essentiels. Les secteurs de la construction, de l’hébergement et de la restauration et de la production manufacturière affichent le niveau de conformité le plus bas. Les entreprises de construction ont fait preuve du plus faible niveau de maturité en matière de sécurité des sauvegardes, de résilience des entreprises et de sécurité des points de terminaison. La gestion des logiciels, l’authentification multifacteur et la sécurité des réseaux et des données constituent les défis les plus importants pour les entreprises du secteur de l’hébergement et de la restauration. Les clients du secteur de la production manufacturière ont également fait état de difficultés à établir l’efficacité des contrôles OT, 45 % de ces contrôles étant considérés comme présentant des lacunes.

Si l’on examine ces résultats en fonction du chiffre d’affaires, on constate que les grandes organisations internationales s’en sortent un peu mieux que leurs homologues plus modestes, puisqu’elles n’ont de lacunes que dans 31 % des contrôles. Les faiblesses les plus importantes se situant au niveau de la sécurité des sauvegardes, de la sécurité des points des points de terminaison et des contrôles de la gestion des logiciels. Les petites et moyennes entreprises ont signalé des lacunes dans 42 % des contrôles essentiels, en particulier dans les domaines de la sécurité des réseaux et des données, de la résilience des entreprises et de la sécurité des sauvegardes.


Pourcentage d'absence de contrôles informatiques critiques pour un segment donné de la clientèle britannique ('drapeaux rouges')

Global: >$5B
Enterprise: $5B-$2B
Mid-Market: $100M-$2B
Small Medium Entity: <$100M


Maturité par domaine de sécurité : Royaume-Uni

En y regardant de plus près, les données du CyQu révèlent une grande disparité entre les secteurs, mais aussi des hausses et des baisses significatives de la résilience. Le secteur des services professionnels, scientifiques et techniques a obtenu les scores les plus élevés en matière de contrôle d’accès, tandis que le commerce de gros a enregistré les scores les plus bas. C’est dans le secteur du transport et de l’entreposage que l’amélioration sectorielle a été la plus forte (+23 %).

Dans le domaine de la sécurité des applications, les clients ont fait état d’une amélioration globale de 3 % de la maturité. Pourtant, ce domaine reste l’un des moins bien notés des neuf domaines de sécurité de l’évaluation CyQu, avec un score 15 % inférieur à la moyenne de l’ensemble des domaines de sécurité. Les soins de santé ont connu l’amélioration la plus substantielle (+16 %), tandis que les services professionnels (-14 %) ont connu un fort déclin par rapport à la base de référence de 2020.

Dans l’ensemble, les scores moyens attribués par les clients à la résilience de leur entreprise ont baissé de 2 %, mais cela ne reflète pas certains changements considérables intervenus dans les différents secteurs. Le secteur de la finance et de l’assurance a enregistré une baisse de 18 %. Le tableau est beaucoup plus positif dans les secteurs du transport et de l’entreposage (+23 %), ainsi que de la production manufacturière (+14 %).

Les scores moyens de sécurité des données sont restés constants dans l’ensemble par rapport à la base de référence de 2020, avec de solides améliorations signalées par le secteur du transport et de l’entreposage (+29 %) et celui des arts, spectacles et loisirs (+18 %). Toutefois, des baisses significatives des scores dans les secteurs des services publics, de la finance et de l’assurance ont fait baisser la maturité globale moyenne pour ce domaine.

En ce qui concerne les systèmes de points de terminaison et la sécurité, le secteur du transport et l’entreposage a enregistré l’amélioration la plus remarquable par rapport aux résultats de 2020 (+23 %) et celui de la production manufacturière a également enregistré une augmentation de 16 %. La finance et l’assurance ainsi que le commerce de gros ont enregistré les baisses les plus importantes.

Même si les scores moyens dans le domaine des réseaux et de la sécurité ont enregistré une baisse globale de 2 %, cela reste le domaine avec les scores moyens les plus élevés sur l’indice de maturité des risques du CyQu. Les secteurs du transport et de l’entreposage et celui des services publics ont connu une amélioration notable, mais celui de la finance et de l’assurance, ainsi que des soins santé ont enregistré des baisses de score à deux chiffres.

La sécurité physique est restée l’un des domaines les mieux notés, malgré des scores moyens plus bas de 3 %. Les organisations spécialisées dans les technologies de l’information et les logiciels ont enregistré les scores les plus élevés, avec la baisse la plus importante dans le commerce de détail (-17 %).

Les scores relatifs au travail à distance, un nouveau domaine ajouté en 2020 en réponse à la transition rapide vers le travail à distance, sont restés proches de leur niveau de référence. Toutefois, les entreprises du secteur des services publics ont enregistré une baisse de maturité de 20 %. La gestion des tiers est le domaine où le score est le plus bas, tous domaines confondus, et en 2022, la moyenne générale a encore baissé de 3 %. Ce domaine continue de représenter une zone d’exposition et de vulnérabilité qui nécessite une attention particulière.

Et maintenant ? Actions suggérées pour les dirigeants au Royaume-Uni

Les entreprises ne seront pas toutes touchées de la même manière par les cyber-incidents, et il est également vrai que les organisations des différents secteurs et des différentes branches auront des appétences différentes pour le risque, ce qui entraînera des niveaux de maturité différents selon les domaines de la sécurité. Cependant, le fait que la maturité moyenne ait diminué alors que la fréquence des attaques par ransomware a augmenté suggère que les organisations britanniques ne comprennent pas pleinement le risque et la manière de le gérer. Il est important que les organisations adoptent une approche réfléchie et éclairée lorsqu’elles prennent des décisions concernant leur gestion des cyber-risques.

  1. Vous devez comprendre et évaluer l’impact opérationnel et financier que les cyber-incidents pourraient avoir sur votre entreprise.
  2. Sur la base d’un scénario et d’une analyse du chemin d’attaque, identifiez les domaines de sécurité et les contrôles fondamentaux qui ont le plus d’impact pour réduire les dommages causés par un cyber-incident.
  3. Coordonnez vos investissements et votre stratégie d’atténuation et de transfert des risques afin de maximiser votre cyber-résilience.

Références

1 « Aon 2021 Global Risk Management Survey. » Aon. Rapport. 2021. 2021 Global Risk Management Survey – United Kingdom (aon.com)
2 « Aon 2021 Global Risk Management Survey. » Aon. Rapport. 2021. 2021 Global Risk Management Survey – United Kingdom (aon.com)
3 « Brexit and Beyond: Cyber Security. » Stevens, Dr. Tim. Kings College London. Article. 5 février 2021.
4 « Aon 2021 Global Risk Management Survey. » Aon. Rapport. 2021. 2021 Global Risk Management Survey – United Kingdom (aon.com)
5 « Buyer-Friendly Cyber and E&O Market: How to Take Advantage. » Aon. Article. Mai 2023. Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon
6 « Buyer-Friendly Cyber and E&O Market: How to Take Advantage. » Aon. Article. Mai 2023. Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon


Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.

Cyber-maturité par région

La cyber-maturité globale des entreprises peut varier d’une région à l’autre. En savoir plus sur les lacunes, les défis et les opportunités, ainsi que sur les mesures que les dirigeants peuvent prendre pour renforcer la cyber-résilience et la résilience de l’entreprise.