Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 9 sur 16 Dans ce rapport.

October 19, 2023 / 6 minutes de lecture

Comment la fabrication intelligente intensifie les risques pour les entreprises

Les risques émergents tels que l’intégration de la blockchain et des « installations intelligentes », les perturbations de la chaîne d’approvisionnement mondiale, l’Internet industriel des objets (IIoT) et le vol de propriété intellectuelle représentent un défi de taille pour les fabricants.

Points essentiels

  1. Les fabricants ont bénéficié d’une amélioration constante de leur profil de cyber-risque global entre 2020 et 2022.
  2. Les demandes d’indemnisation liées aux ransomware pour l’industrie manufacturière ont diminué de 32 % entre 2020 et 2022.
  3. La résilience est encore en cours de développement avec les fabricants américains et 65 % des entreprises ont signalé l’absence d’exercices de simulation dans le cadre d’un plan de résilience d’entreprise.

Les risques émergents tels que l’intégration de la blockchain et des « installations intelligentes », les perturbations de la chaîne d’approvisionnement mondiale, l’Internet industriel des objets (IIoT) et le vol de propriété intellectuelle peuvent représenter un défi de taille pour les fabricants. Un récent projet du MIT a démontré l’impact des perturbations de la chaîne d’approvisionnement sur les chaînes d’approvisionnement en semi-conducteurs, en constatant qu’une perturbation de 10 jours dans la production d’une entreprise entraîne en moyenne un délai d’au moins 300 jours avant que son stock ne revienne à la normale.1

Le secteur manufacturier est l’un des principaux moteurs de l’économie mondiale. La Chine est une superpuissance manufacturière et les États-Unis, le Japon et l’Allemagne sont les premiers pays en termes de valeur ajoutée par l’industrie au produit intérieur brut (PIB).2 Aux États-Unis, l’industrie manufacturière a contribué à hauteur de 2 300 milliards de dollars au PIB du pays au quatrième trimestre 2022.3 La taille et l’interconnexion de l’industrie manufacturière signifient qu’il existe un grand potentiel pour un cyber-incident important – comme en témoigne le fait qu’elle soit reconnue comme l’industrie la plus touchée par les attaques de rançongiciel en 2022.4

Les grands fabricants s’appuient sur un vaste réseau de petites entreprises dans la chaîne d’approvisionnement. Ces petites entreprises ne parviennent généralement pas à atteindre le niveau de sophistication de leurs homologues de plus grande taille en matière de cyber-maturité. Aux États-Unis, 98,6 % des entreprises manufacturières sont des petites entreprises et la plupart d’entre elles comptent moins de 20 employés.5 D’après notre expérience, les opérations de fusion et d’acquisition (F&A) comportent également des risques, certains des cyber-événements les plus importants dans l’industrie manufacturière résultant d’une intégration limitée ou médiocre des entreprises acquises dans l’ensemble.

À cela s’ajoute un environnement économique et opérationnel difficile. Notre expérience nous a montré que l’industrie manufacturière mondiale a connu deux années difficiles pendant la pandémie de COVID-19, en proie à des coûts d’expédition élevés, à des pénuries de personnel et à des problèmes de chaîne d’approvisionnement. Avec un budget limité, les dirigeants ont relevé des défis sous tous les angles et ont été contraints de prendre des décisions basées sur le retour sur investissement pour chaque dépense.

Rapport des clients d’Aon : Industrie manufacturière et risques

Les demandes d’indemnisation liées aux rançongiciels pour l’industrie manufacturière ont diminué de 32 % entre 2020 et 2022, les organisations ayant fait état d’une amélioration constante de leur cyber-maturité globale. Le pourcentage médian du budget informatique consacré à la sécurité a également augmenté au niveau mondial, les entreprises déclarant consacrer 8,5 % de leur budget informatique à la sécurité. Selon l’étude E&O Cyber Insurance Broking 2023 H1 Snapshot d’Aon, du point de vue des tendances en matière de sinistres dans la région APAC, l’industrie manufacturière était particulièrement visée en raison de l’importance des centres de production dans la région, la technologie opérationnelle demeurant une préoccupation majeure en matière de risques pour les marchés régionaux.6

Les données CyQu d’Aon7 montrent que le score de risque global s’est amélioré de 2,2 à 2,5 en 2022 pour les clients du marché intermédiaire. Cependant, 56 % des entreprises ont déclaré des scores de risque inférieurs à 2,5 en 2022. Nous prévoyons que la maturité des risques dans les petites et moyennes entreprises continuera d’augmenter à mesure que des fabricants plus importants imposeront à leurs chaînes d’approvisionnement des exigences supplémentaires en matière de cyber-maturité. En conséquence, les petits fabricants peuvent également être tenus de faire preuve de résilience pour obtenir des polices de cyber-assurance.

Pour les entreprises mondiales, les scores se sont légèrement améliorés, passant de 2,7 à 2,8, mais 80 % des entreprises ont déclaré des scores supérieurs à 2,5, ce qui montre que ce secteur de revenus dans son ensemble se rapproche d’un profil de risque « géré ».

Scores de risque CyQu pour les segments client de l’industrie manufacturière

Revenus annuels (groupe) 2020 2022 Changement
Mondial
2.7
2.8
+0.1
Entreprise
2.6
2.7
+0.1
Marché intermédiaire
2.2
2.5
+0.3
PME
2.1
2.3
+0.2

Score de maturité des risques du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Aux États-Unis, les fabricants ont fait état d’une amélioration de la mise en œuvre des contrôles des technologies de l’information (TI) entre 2021 et 2022. Selon les données sur les contrôles des alertes des applications complémentaires Ransomware, 90 % des clients en 2022 ont signalé une amélioration dans la mise en œuvre des contrôles de la gestion de l’accès axé sur des informations d’identification uniques pour les administrateurs système. En moyenne, en 2022, les clients ont mis en œuvre 75 % des contrôles clés d’authentification multifacteur (AMF) pour la souscription, contre 58 % en 2021. Les progrès réalisés dans ces domaines ne sont pas surprenants. L’industrie manufacturière n’était pas un secteur de travail à domicile avant la pandémie, et le passage au travail à distance, associé aux nouvelles exigences en matière d’assurance concernant l’AMF, a probablement été à l’origine de cette progression.

Les fabricants américains ont également indiqué que la résilience des entreprises n’était pas encore acquise. Il est frappant de constater qu’en 2022, 65 % des entreprises ont signalé l’absence d’exercices de simulation dans le cadre d’un plan de résilience d’entreprise. Cette statistique semble confirmer le fait que les entreprises ont tendance à se concentrer davantage sur la sécurisation de la technologie plutôt que sur les personnes, les politiques et les procédures lorsqu’il s’agit de répondre aux incidents et d’y remédier.


Pourcentage de manque de contrôles informatiques critiques pour un secteur donné aux États-Unis (alertes)


Bien que les données sur les tendances ne soient pas encore disponibles, nous pouvons considérer 2022 comme une année de référence pour le Royaume-Uni. Les fabricants britanniques ont signalé une plus grande maturité en matière de gestion des accès. Les fabricants britanniques sont toutefois moins avancés que leurs homologues américains en ce qui concerne la maturité de tous les contrôles informatiques en 2022, à l’exception de la gestion des accès, pour laquelle ils ont obtenu les mêmes résultats.


Pourcentage de manque de contrôles critiques pour un secteur donné dans l’EMEA et au Royaume-Uni (alertes)


Dans l’environnement des Technologies Opérationnelles (TO), les industries manufacturières des États-Unis et du Royaume-Uni ont, en moyenne, fait preuve d’une plus grande maturité que les autres secteurs. Historiquement, l’industrie manufacturière s’est concentrée sur la résilience TO ; nous nous attendions donc à ces scores plus élevés. Toutefois, les entreprises manufacturières ont encore beaucoup à faire en matière de contrôles et de segmentation. Les clients ont fait état d’un manque de 41 % dans les contrôles TO critiques, une lacune qui doit être comblée.


Pourcentage de manque de contrôles TO pour un secteur donné aux États-Unis


Pourcentage de manque de contrôles TO pour un secteur donné dans l’EMEA et au Royaume-Uni


Et maintenant ? Actions pour les organisations manufacturières

Références

1 « Fixing the US Semiconductor Supply Chain. » Levi, David Simchi-Levi, Zhu, Feng, Loy, Matthew. Article. Harvard Business Review. 25 octobre 2022.

2 « Value added by the manufacturing industry to GDP in 2020 by country. » Graphique de données. Statista. Extrait de https://www.statista.com/statistics/456342/realtive-comparison-of-value-added-in-manufacturing-of-leading-countries/ 

3 « United States GDP From Manufacturing. » Graphique de données. Bureau du recensement des États-Unis.

4 « 2023 X-Force Threat Intelligence Index. » Rapport. IBM. 2023.

5 « Manufacturing and Small Business. » SCORE. Infographie. 24 mai 2022.

Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

7 Le cyberquotient d’Aon. Technologie en instance de brevet.

8 NIST Cybersecurity Framework 2.0. Extrait de https://www.nist.gov/system/files/documents/2022/10/03/NIST_CSF_update_Fact_Sheet.pdf

9 EU Cybersecurity Act (ENISA). Extrait de The EU Cybersecurity Act | Shaping Europe’s digital future (europa.eu)


Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.