Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 6 sur 16 Dans ce rapport.

October 19, 2023 / 5 minutes de lecture

Prendre des mesures pour atténuer les risques opérationnels

Les assureurs se concentrent sur les contrôles critiques perçus comme réduisant la probabilité ou la gravité d’un ransomware susceptible de perturber les opérations.

Points essentiels

  1. Les clients ont fait état d’une amélioration globale de la mise en œuvre des contrôles critiques en 2022 par rapport à 2021 pour les contrôles jugés prioritaires par les assureurs.
  2. Les violations de données par ransomware ont diminué de 16 % entre le troisième trimestre 2022 et le quatrième trimestre 2022, mais les données du marché de l’assurance Erreurs et Omissions (E&O) et des cyber-risques affichent une hausse au premier trimestre 2023.
  3. Dans toutes les régions, le niveau de gestion de la continuité des activités (GCA) des clients est resté stable entre 2020 et 2022 et se situe à un niveau de base.

Le risque opérationnel, défini comme le risque de pertes causées par une perturbation des opérations d’une organisation ou par une défaillance au niveau des personnes, des processus ou de la technologie, est une préoccupation majeure pour les équipes de sécurité mondiale et les assureurs. Les systèmes de ransomware et de phishing continuent de présenter un risque important. Alors que les violations de données par ransomware ont diminué de 16 % entre le troisième trimestre 2022 et le quatrième trimestre 20221, les données du marché de l’assurance Erreurs et Omissions (E&O) et des cyber-risques montrent qu’au premier trimestre 2023, il y a eu une recrudescence des ransomware et que la fréquence des événements a augmenté de 49 %.2 Le phishing et le spear phishing ont également augmenté de manière significative au début de l’année 2023, selon l’équipe de cyber-sécurité d’Aon. La sophistication de ces techniques permet aux attaquants de se dissimuler plus facilement et aux victimes d’avoir plus de mal à distinguer ce qui est légitime de ce qui ne l’est pas.

Les organisations doivent se préparer aux pires attaques. Par exemple, que se passe-t-il si le réseau de l’entreprise tombe complètement en panne ? Comment l’entreprise sera-t-elle soutenue et pérennisée ? L’entreprise dispose-t-elle d’un modèle de résilience capable de gérer ce processus ? Comment l’entreprise va-t-elle préserver ses clients, même au prix d’une perte d’opportunités commerciales ? Ces questions sont des éléments essentiels du plan de continuité des activités (PCA) et de la gestion de la continuité des activités (GCA). Les données du CyQu d’Aon ont révélé que dans toutes les régions, le niveau de gestion de la continuité des activités des clients est resté stable entre 2020 et 2022 et se situe à un niveau de base. Il est nécessaire de mettre davantage l’accent sur la planification de scénarios pour les perturbations opérationnelles. S’il est impératif de mettre en place des contrôles techniques au sein de l’entreprise pour prévenir les rançongiciels, il est tout aussi important de se préparer aux perturbations dans l’ensemble des activités de l’entreprise.

Les assureurs et le marché attendent de plus en plus ce niveau de planification des risques opérationnels. Bien que les conditions du marché de l’assurance Erreurs et Omissions (E&O) et des cyber-risques se soient stabilisées, et qu’une nouvelle capacité substantielle et des ratios de pertes plus faibles aient contribué à faire baisser les taux de l’assurance Erreurs et Omissions (E&O) et des cyber-risques au début de 20232, le processus de souscription reste rigoureux.3 Les assureurs se concentrent sur les contrôles critiques perçus comme réduisant la probabilité ou la gravité d’un rançongiciel susceptible de perturber les opérations. Ces contrôles prioritaires comprennent la gestion des accès, la résilience des entreprises et la sécurité des données/la gestion des correctifs.4

Constatations relatives aux données de contrôles d’alertes supplémentaires pour les ransomware: Rapport des clients d’Aon

Les clients ont fait état d’une amélioration globale de la mise en œuvre des contrôles critiques en 2022 par rapport à 2021 pour les contrôles jugés prioritaires par les assureurs. Aux États-Unis, les secteurs qui ont enregistré les progrès les plus remarquables en matière de contrôles informatiques critiques sont la construction (+10 %), l’industrie manufacturière (+9 %), ainsi que la finance et l’assurance (+7 %). Pour rester compétitives à l’échelle mondiale, les entreprises manufacturières s’orientent vers des processus de l’Internet des objets (IdO) plus numérisés et intégrés, tant à l’intérieur des murs de l’usine qu’à l’extérieur, dans leurs chaînes d’approvisionnement5, ce qui est en corrélation avec cette volonté de maturité en matière de risques opérationnels. Le secteur de la construction est similaire. De nombreuses entreprises ont commencé à utiliser les technologies IdO pour améliorer la sécurité sur le lieu de travail et gérer les progrès.6 Cette numérisation élargit la surface d’attaque. Les équipes de construction ont également abandonné les flux de travail papier au profit du cloud, ce qui introduit de nouvelles vulnérabilités et constitue une excellente opportunité pour les systèmes de rançongiciel et de phishing. Dans la région EMEA et au Royaume-Uni, les données de 2022 montrent que les secteurs de l’industrie manufacturière et de la construction sont moins sophistiqués en matière de maturité des contrôles informatiques critiques, le secteur de la construction faisant état de lacunes dans plus de la moitié de ces contrôles.


Pourcentage de manque de contrôles informatiques critiques pour un secteur donné aux États-Unis (alertes)

* La catégorie « Autres secteurs » représente les réponses des clients provenant des secteurs suivants : Hébergement et restauration, agriculture, arts, spectacles et loisirs, gestion de sociétés et d’entreprises, administration publique, services publics, gestion des déchets et services d’assainissement, administration et aides, commerce de gros.

** La catégorie « Autres services » est choisie par le client


Pourcentage de manque de contrôles informatiques critiques pour un secteur donné dans l’EMEA et au Royaume-Uni (alertes)

* La catégorie « Autres secteurs » représente les réponses des clients provenant des secteurs suivants : Hébergement et restauration, agriculture, arts, services éducatifs, spectacles et loisirs, gestion de sociétés et d’entreprises, administration publique, services publics, gestion des déchets et services d’assainissement, administration et aides.

** La catégorie « Autres services » est choisie par le client


Les organisations se sont concentrées sur le renforcement des contrôles de sauvegarde critiques en 2022, avec 61 % des contrôles mis en œuvre en 2022 contre 55 % en 2021. Toutefois, si l’on examine les données de manière plus détaillée, on constate une lacune. Près de 90 % des entreprises américaines ont déclaré ne pas stocker les sauvegardes dans le cloud, et 70 % ne stockent pas les sauvegardes hors site ou n’ont pas de sauvegardes immuables. La sécurité des sauvegardes reste une préoccupation majeure, à juste titre. Les ransomware ont évolué pour s’attaquer aux sauvegardes elles-mêmes, ce qui accroît le risque pour les données. Les sauvegardes immuables sont essentielles pour les entreprises qui dépendent de la sûreté et de la sécurité des données dont elles sont responsables. Seules les sauvegardes immuables fournissent une copie propre et récente des données qui permet une récupération rapide et une protection efficace.

La résilience des entreprises est restée l’une des principales préoccupations des clients en 2022. Les assureurs ne se contentent plus de poser les questions simplistes habituelles, par exemple pour savoir si l’organisation dispose de sauvegardes, mais s’interrogent sur la résilience de l’entreprise. Les entreprises doivent prouver que le processus commercial peut supporter l’impact d’une cyber-attaque. Les clients de l’industrie manufacturière (67 % contre 59 % en 2021) et de la construction (66 % contre 55 % en 2021) ont signalé l’amélioration la plus significative des contrôles critiques liés à la résilience. Si l’on examine les différences entre les tailles d’entreprises, les entreprises de taille moyenne et les petites et moyennes entreprises ont signalé plus fréquemment que les grandes entreprises et les entreprises internationales un manque essentiel de contrôles de la résilience des activités. Toutefois, cette tendance s’est inversée pour la sécurité des points d’accès, où les outils de détection et de réponse ne couvrent pas tous les points d’accès technologiques des entreprises et des multinationales. Il est alarmant de constater que plus de la moitié des organisations clientes ont signalé l’absence d’exercices de simulation dans le cadre de la planification de la continuité des activités, et que plus d’un tiers d’entre elles ont signalé l’absence de planification de la réponse aux incidents.


Pourcentage de manque de contrôles informatiques critiques pour un segment donné de la clientèle des États-Unis (alertes)


Pourcentage de manque de contrôles informatiques critiques pour un segment donné de la clientèle dans l’EMEA et au Royaume-Uni (alertes)

Références

1  « E&O and Cyber Market Review Q4 2022 ». E&O and Cyber Market Review | 2022 (aon.com)

2  « Buyer-Friendly Cyber and E&O Markets: How to Take Advantage » Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

Trends by Line of Business – Q4 2022 Global Market Insights (aon.com)

4 « E&O and Cyber Market Review Q4 2022 ». E&O and Cyber Market Review | 2022 (aon.com)

5  Manufacturing Cybersecurity. Palo Alto Networks. Rapport. 2023. https://www.paloaltonetworks.com/industry/unit42-manufacturing

6 Understanding Cyber Risk in the Construction Industry. IT Chronicles. Article. 21 mars 2022. https://itchronicles.com/information-security/understanding-cyber-risk-in-the-construction-industry/


Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.

La gestion du cyber à travers six thèmes de risque.

Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques.