Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 4 sur 16 Dans ce rapport.

October 19, 2023 / 3 minutes de lecture

Les cyber-menaces internes constituent un risque croissant pour les entreprises.

D’ici 2025, on s’attend à ce que la moitié des cyber-événements soient le résultat d’erreurs humaines ou d’actions malveillantes.

Points essentiels

  1. En 2022, les clients sont passés d’un profil de risque interne « de base » à un profil de risque interne « géré ».
  2. Deux entreprises sur cinq ont signalé un manque de contrôles au niveau du centre des opérations de sécurité (COS).
  3. Près de la moitié des entreprises n’ont pas séparé leurs logiciels en fin de vie des systèmes d’application.

Les risques internes constituent une préoccupation constante pour les entreprises. En effet, les humains, de par leur nature même, peuvent commettre des erreurs, et les acteurs malveillants profitent souvent de cette vulnérabilité. D’ici 2025, on s’attend à ce que la moitié des cyber-événements soient le résultat d’erreurs humaines ou d’actions malveillantes. C’est une réalité à laquelle les entreprises doivent se préparer.1 Les nouveaux modèles d’entreprise numériques présentent des défis supplémentaires. Parmi ceux-ci, les travailleurs occasionnels peuvent introduire des vulnérabilités, et l’accessibilité accrue des réseaux à des tiers peut compromettre la sécurité.

Le phishing reste le vecteur le plus courant d’accès initial au réseau, ce qui place l’initié (ou l’employé) en première ligne. Les progrès de la sophistication sociale, la lassitude des utilisateurs et l’hameçonnage ciblé et contextuel contribuent à la centralité de ce risque.2 Les cyber-criminels continuent de modifier leurs méthodes en tirant parti des événements actuels. Aujourd’hui, les courriels de phishing qui exploitent le conflit entre l’Ukraine et la Russie pour susciter une réaction émotionnelle à l’égard de la guerre amènent les gens à cliquer avant de réfléchir. Une nouvelle tendance est en train d’émerger, le nouveau phishing, ou phishing par consentement, dans lequel les attaquants incitent les utilisateurs à accorder des autorisations à des applications cloud malveillantes. Une fois qu’ils ont cliqué, ces applications malveillantes peuvent accéder aux services cloud et aux données légitimes des utilisateurs. La formation et les simulations d’exercices d’hameçonnage restent les domaines où l’on investit le moins en ce qui concerne l’atténuation des cyber-risques, alors qu’il s’agit de la mesure la plus efficace pour ralentir les attaques de ransomware.3 Si certains actes de cyber-criminalité ont diminué en 2022, les courtiers d’accès aux données n’ont jamais cessé d’obtenir un accès non autorisé aux réseaux et aux infrastructures des clients. Une tendance à surveiller est celle des courtiers en données et des acteurs du rançongiciel qui cherchent à acheter de manière opportuniste des données et des accès aux employés d’une entreprise, l’exploitation des vulnérabilités étant l’une des principales méthodes utilisées.4 Cette tendance entraîne un nouveau risque de menace interne, les cyber-criminels recherchant ouvertement des employés prêts à vendre les données d’une entreprise à des fins de gain personnel. Ce risque évolutif peut inclure le vol de données, d’informations exclusives, de propriété intellectuelle et de secrets commerciaux.

L’intégration des systèmes et la dépendance des organisations à l’égard des tiers ne cessant d’augmenter, la nécessité d’une surveillance accrue des risques liés aux initiés se fera également sentir. Les organisations se concentreront davantage sur la nécessité d’une technologie de détection et de réponse aux points de terminaison (EDR), d’un centre des opérations de sécurité (COS) et de la sécurité réseau. De même, l’accent mis sur les pratiques de travail sûres et la protection contre la perte de données sera maintenu si le lieu de travail hybride reste en place.

Constatations relatives aux données de contrôles d’alertes supplémentaires pour les rançongiciels : Rapport des clients d’Aon

L’enquête d’Aon auprès des principaux assureurs indique que la sécurité des données figure parmi les cinq principaux risques pour les différents domaines.4 Toutefois, une tendance inquiétante se dégage dans l’ensemble des secteurs d’activité : une majorité d’entre eux font état de lacunes importantes dans leurs contrôles de sécurité des données, ce qui souligne la nécessité d’améliorer les mesures de cyber-sécurité. Selon les données du CyQu, les scores sont légèrement plus élevés en matière de gouvernance et de protection des données pour les clients qui sont passés d’un profil de risque « de base » à un profil de risque « géré » en 2022. Il est intéressant de noter que la sensibilisation et la formation des utilisateurs ont connu la plus grande amélioration dans toutes les catégories de sécurité des données. Cette tendance suggère qu’un investissement continu dans la formation aux cyber-risques n’est pas seulement bénéfique, mais crucial pour les entreprises qui cherchent à atténuer la menace croissante des risques internes.

Scores de CyQu pour la sécurité des données

Sécurité des données 2021 2022 Changement
Classification des données
2.0
2.2
+.2
Sensibilisation et formation des utilisateurs
2.6
3.1
+.5
Protection des données
2.3
2.6
+.3
Gouvernance
2.3
2.6
+.3
Gestion des risques
2.0
2.4
+.4

Score de maturité des risques du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Près de la moitié des entreprises (49 %) n’ont pas séparé leurs logiciels en fin de vie des systèmes d’application, ce qui accroît leur vulnérabilité aux cyber-menaces. En outre, 40 % des entreprises ne disposent pas des contrôles de COS nécessaires, ce qui accroît leur exposition aux risques internes. Ces données soulignent l’importance de mesures de cyber-sécurité solides pour atténuer les menaces internes. En ce qui concerne les contrôles EDR, les données du CyQu dépeignent une image plus robuste, puisque 70 % des clients ont déclaré que le système EDR de leur organisation couvrait l’ensemble des postes de travail.


47%

rapportent que les logiciels en fin de vie ne sont pas séparés des systèmes d’application


40%

signalent l’absence de centre des opérations de sécurité (COS)


70%

déclarent que le système EDR de leur organisation couvre 100 % du nombre total de postes de travail

Références

1 « Predicts 2023: Cybersecurity Industry Focuses on the Human Deal. » Gartner. Rapport. 25 janvier 2023.  https://www.gartner.com

2 « ENISA Threat Landscape 2022. » Rapport. Union européenne. Novembre 2022.  ENISA Threat Landscape 2022 — ENISA (europa.eu)

3 « Global Ransomware Damage Costs Predicted to Reach $20 Billion (USD) by 2021. » Article. Cybersecurity Ventures. Extrait de https://www.cybersecurityventures.com. Cyber Awareness Training: Success Starts with Meaningful Engagement of People | Aon

4 Trends to Watch: Cyber Q4 2022 Global Markets Insight. Aon. Rapport. Janvier 2023. Cover – Q4 2022 Global Market Insights (aon.com)


Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.

La gestion du cyber à travers six thèmes de risque.

Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques.