Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 7 sur 16 Dans ce rapport.

October 19, 2023 / 7 minutes de lecture

Actions visant à améliorer la cyber-résilience dans le secteur de la finance et de l’assurance

Les cyber-menaces sont en constante évolution et constituent un domaine critique pour les régulateurs, les clients, les actionnaires et les conseils d’administration des secteurs de la finance et de l’assurance.

Points essentiels

  1. Les clients ont fait état d’une amélioration globale du score de risque en 2022, qui se rapproche d’un profil « géré ».
  2. La sécurité des sauvegardes reste un domaine vulnérable, et les entreprises américaines ont signalé des lacunes dans près de 40 % des contrôles informatiques critiques.
  3. Les demandes d’assurance sont en hausse, avec une augmentation de 38 % des demandes d’indemnisation liées aux rançongiciels entre le quatrième trimestre 2022 et le premier trimestre 2023.

Les gouvernements, les entreprises et les clients considèrent les institutions financières comme l’épine dorsale de l’économie mondiale.1 En raison du rôle vital qu’elles jouent, la sécurité du secteur est très réglementée et examinée de près. Soulignant la nécessité d’une cyber-résilience, la Commission américaine des opérations de bourse (U.S. Securities and Exchange Commission) a récemment présenté une proposition visant à lutter contre les risques liés à la cyber-sécurité. Cela obligerait toutes les entités du marché à mettre en œuvre des politiques et des procédures conçues pour faire face aux risques liés à la cyber-sécurité. En outre, les organismes financiers et d’assurance devront, au moins une fois par an, examiner et évaluer la conception et l’efficacité de leurs politiques et procédures en matière de cyber-sécurité, et notamment déterminer si elles tiennent compte de l’évolution du risque de cyber-sécurité au cours de la période couverte par l’examen.2 Dans l’Union européenne, les institutions financières disposent de deux ans pour gérer la résilience opérationnelle et se conformer au Digital Operation Resilience Act (DORA).3

De nouveaux risques et de nouvelles vulnérabilités sont détectés chaque jour, et les leaders du secteur de la finance et de l’assurance ont classé la menace d’une cyber-attaque ou d’une violation de données comme le risque le plus important dans la dernière enquête mondiale sur la gestion des risques d’Aon.

Le secteur est confronté à un paysage complexe de risques interconnectés à l’échelle mondiale et les dirigeants doivent prendre des décisions qui exigent une analyse et une exécution rapides. Les technologies émergentes et les nouveaux modèles d’entreprise modifient continuellement le terrain. Par exemple, les portefeuilles mobiles constituent une évolution fondamentale. Les paiements en ligne ou hors ligne effectués à l’aide d’un appareil mobile, d’un smartphone ou d’un accessoire sont monnaie courante, et les technologies financières (FinTech) sont en pleine explosion. Ce nouveau secteur, la Fintech, élargit de manière exponentielle l’empreinte de l’attaque et introduit encore plus de vulnérabilité des tiers dans les grandes institutions financières qui se connectent à ces entreprises plus petites et moins sophistiquées. Si l’Asie arrive en tête des entreprises FinTech en termes de chiffre d’affaires, c’est l’Amérique du Nord qui compte le plus grand nombre de start-ups FinTech, avec des statistiques faisant état de 8 775 entreprises actuellement en activité. L’Europe, le Moyen-Orient et l’Afrique comptent 7 385 start-ups FinTech4 contre 4 765 en Asie-Pacifique.

L’évolution de l’assurance de responsabilité civile cybernétique a également été importante au cours des deux dernières années. Des incidents tels que l’attaque par ransomware d’un réseau de pipelines américain en 2021 ont modifié le marché et les assureurs ont pris conscience des risques considérables liés à l’interruption d’activité et à l’interconnectivité. Les assureurs exigent désormais des institutions financières qu’elles donnent la preuve de leur résilience cybernétique pour obtenir une police d’assurance abordable, ou n’importe quelle police d’assurance. Lors des discussions de renouvellement, certains assureurs font appel à des professionnels de la technologie indépendants pour interroger le responsable de la sécurité de l’information d’une institution financière.

Cela montre qu’il est possible d’utiliser le processus de renouvellement de l’assurance comme un moyen de démontrer les contrôles et les systèmes mis en place. Une telle approche permet de s’assurer que le processus devient un complément de leur procédure de gestion des risques.

Rapport des clients d’Aon : Industrie de la finance et de l’assurance et cyber-risque

Les résultats des données agrégées du cyberquotient (CyQu) d’Aon montrent que les clients ont signalé une amélioration globale du score de risque de 2,7 à 2,9 (approchant le niveau « géré ») en 2022 pour toutes les sociétés financières et d’assurance. Les petites et moyennes entités ont déclaré que leur profil de risque était passé de « de base » à « géré », et 64 % d’entre elles ont déclaré des scores de risque supérieurs à 2,5. Cette forte croissance de la maturité se poursuivra probablement, les assureurs continuant de se concentrer sur ces organisations émergentes qui sont essentielles à l’écosystème des services financiers.

Le pourcentage médian du budget informatique consacré à la sécurité a également augmenté au niveau mondial, les entreprises du secteur de la finance et de l’assurance déclarant consacrer 8 % de leur budget informatique à la sécurité en 2022.

Scores de risque CyQu pour les segments client de la finance et des assurances

Revenus annuels (groupe) 2020 2022 Changement
Mondial
3.4
3.0
-0.4
Entreprise
2.9
3.2
+0.3
Marché intermédiaire
2.8
3.0
+0.2
PME
2.5
2.7
+0.2

Score de maturité des risques du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Nous assistons actuellement à une résurgence de groupes d’acteurs menaçants ciblant les sociétés de services financiers. Et ces attaques sont couronnées de succès dans la majorité des cas. Les demandes d’assurance sont en hausse, avec une augmentation de 38 % des demandes d’indemnisation liées aux rançongiciels entre le quatrième trimestre 2022 et le premier trimestre 2023, même si les groupes de revenus ont fait état d’une amélioration constante du profil de cyber-risque global. Les sociétés financières et d’assurance ont amélioré la mise en œuvre des contrôles des technologies de l’information entre 2021 et 2022 et ont mis l’accent sur le renforcement des contrôles d’authentification multifacteur (AMF). Les entreprises américaines ont reporté une amélioration significative des contrôles critiques de l’AMF, avec un taux de déploiement de 80 % contre 65 % en 2021. Toutefois, même avec cette amélioration, Aon note que de nombreuses organisations n’ont pas encore déployé ces solutions de manière approfondie, ce qui peut expliquer la hausse que nous connaissons actuellement.

Aux États-Unis, les sociétés financières et d’assurance ont fait état d’une amélioration constante de l’état de préparation des contrôles informatiques entre 2021 et 2022. Les données sur les contrôles des alertes des applications complémentaires Ransomware d’Aon montrent que les améliorations les plus significatives concernent l’AMF avec une amélioration de 15 % et la résilience de l’entreprise avec une amélioration de 8 % dans la mise en œuvre des contrôles de souscription essentiels. Comparé aux secteurs de la santé et de l’industrie manufacturière, le secteur des services financiers semble beaucoup plus mature en ce qui concerne la résilience des entreprises. Cependant, la sécurité des sauvegardes continue d’être considérée comme un domaine vulnérable, les organisations déclarant toujours avoir besoin de près de 40 % des contrôles informatiques. Ce domaine de contrôle devrait faire l’objet d’une attention particulière tout au long de l’année 2023, car les menaces liées aux rançongiciels s’intensifient à nouveau.


Pourcentage de manque de contrôles informatiques critiques pour un secteur donné aux États-Unis (alertes)


Bien que les données sur les tendances ne soient pas encore disponibles pour le Royaume-Uni, en 2022, les organismes financiers et d’assurance du pays ont fait état de la plus grande maturité en matière de gestion des accès, de sécurité des courriels et de gestion des correctifs, enregistrant 20 % ou moins de lacunes dans chaque domaine de contrôle. Les clients ont signalé des lacunes importantes dans la gestion des logiciels et dans les contrôles de sécurité des réseaux et des données. À l’instar de leurs homologues américains, la protection des sauvegardes semble également nécessiter une attention particulière.


Pourcentage de manque de contrôles informatiques critiques pour un secteur donné au Royaume-Uni (alertes)


Et maintenant ? Action pour les organisations financières et d’assurance

Références

1 « How Financial Institutions Reshape the Agenda in a Volatile Environment. » Guide du secteur de la finance et de l’assurance d’Aon. Aon 2023

2 « SEC Introduces New Requirements to Address Cybersecurity Risks to the US Securities Market. » Communiqué de presse. Securities and Exchange Commission (SEC). 15 mars 2023.

3 Digital Operation Reslience Act (DORA) – Règlement (UE) 2022/2054. Extrait de https://www.digital-operational-resilience-act.com

4 « The Importance of Better Decision Making Amid Increased Volatility. » Enquête mondiale sur la gestion des risques en 2021 d’Aon. Rapport. 2021. Couverture – Enquête mondiale sur la gestion des risques 2021 (aon.com)

5 « FinTech Statistics. » Article. Tout équilibrer. 03 mars 2023.


Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.