Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 17 de 17 Dans le présent rapport.
November 09, 2023 / 4 minute(s) de lecture
Le chef de la sécurité comme partenaire essentiel et stratégique en cybersécurité
Joe Martinez, chef de la sécurité d’Aon, explore son rôle et les risques auxquels Aon fait face. Il parle de l’évolution du marché de l’assurance cyberrisques et du cyberenvironnement réglementaire, et offre des conseils sur la façon de démontrer la résilience opérationnelle aux clients et aux assureurs.
Principaux points à retenir
- Le cyberrisque va au-delà de la confidentialité des données. Il couvre les questions de résilience, de gouvernance et de surveillance.
- Les relations d’aujourd’hui sont transparentes. Les clients et les assureurs doivent voir que vous répondez aux attentes en matière de sécurité et de gestion des risques et que vous les dépassez.
- Exercez-vous et mesurez. Recueillez des preuves pour montrer que l’entreprise peut résister aux répercussions d’une atteinte à la cybersécurité et soulever des questions auxquelles vous n’aviez pas pensé auparavant.
Le présent rapport est axé sur six thèmes : Cyberrisque, risque opérationnel, risque lié à la chaîne d’approvisionnement, risque lié à la réputation et risque systémique. En ce qui concerne Aon en particulier, quels sont les risques essentiels?
Joe Martinez : L’accès, les données et la continuité des opérations sont trois des cinq principaux risques qu’Aon doit gérer à l’échelle mondiale. Comme nous sommes une entité axée sur les données, il est essentiel de protéger les données de nos clients et les connaissances d’Aon sur ces données. Bien sûr, tous les thèmes du risque sont pertinents et liés. Par exemple, si nous ne sommes pas en mesure de démontrer la continuité des opérations à la suite d’un cyberincident important, les risques opérationnels, les risques liés à la chaîne d’approvisionnement et les risques liés à la réputation sont tous accrus.
En trois ou quatre phrases, décrivez votre rôle en tant que chef de la sécurité.
Joe Martinez : Notre travail consiste à repérer les problèmes qui pourraient survenir, à y mettre un terme quand nous le pouvons et à intervenir de manière appropriée pour gérer les risques importants. Chaque menace doit être repérée afin de déterminer les risques les plus prévisibles et ceux que l’entreprise doit gérer. Nous harmonisons l’organisation en fonction des pratiques de contrôle, y compris le National Institute of Standards and Technology1 et le Center for Internet Security2. Nous structurons nos contrôles afin de nous assurer de disposer de capacités efficaces en matière de prévention et d’intervention, et nous nous autoévaluons constamment pour tester cela.
En quoi l’évolution de l’assurance cyberrisques en tant que solution clé de transfert des risques a-t-elle modifié le rôle du chef de la sécurité?
Joe Martinez : Bon nombre de nos clients proviennent des secteurs des services financiers et des soins de santé. La volonté d’assurer une conformité rigoureuse et la nécessité pour ces clients de faire preuve de résilience sur le marché de l’assurance nous reviennent à titre de tiers partenaire. Les relations d’aujourd’hui sont transparentes, et les clients et les assureurs veulent voir que nous répondons aux attentes en matière de sécurité et de gestion des risques et que nous les dépassons. L’authentification à facteurs multiples et le chiffrement sont les domaines dans lesquels les clients veulent voir une grande maturité. Mais cela ne s’arrête pas là. Les clients ont besoin de preuves pour montrer à leurs assureurs que leur risque est identifié et quantifié.
Comment démontrez-vous votre cyberrésilience aux clients?
Joe Martinez : Il n’existe pas encore de langage commun pour que les organisations se parlent au sujet du risque et de la résilience, mais il existe des cadres traditionnels et bien établis. Certains clients suivent un processus intense pour évaluer leur résilience. Le droit d’audit est inscrit dans de nombreux contrats, et certains clients se rendent sur place pour effectuer des tests. La visibilité des contrôles est primordiale. La plupart des questions posées ne sont pas nouvelles. Nous devons simplement prouver ce que nous pouvons faire et que le processus opérationnel peut résister aux répercussions d’une atteinte à la cybersécurité. Le cyberquotient3 d’Aon nous aide à mieux comprendre et à mesurer nos risques. Il nous permet de déterminer les lacunes dans notre efficacité en matière de contrôle. Il nous incombe alors de combler les lacunes et de veiller à ce que les contrôles soient configurés correctement et évalués rapidement.
Qu’est-ce qui se profile à l’horizon du point de vue de la réglementation en matière de cybersécurité?
Joe Martinez : Aujourd’hui, les cadres réglementaires se chevauchent. Le Règlement général sur la protection des données4 est devenu la Digital Operation Resilience Act5. Le département des services financiers de l’État de New York6 s’étend sous forme de mini-versions dans ce qui ressemble à des mini-résidences, créant des micro-environnements réglementaires auxquels les organisations doivent répondre. Le cyberrisque va au-delà de la confidentialité des données. Il traite, en gros, de la façon dont une organisation gère les contrôles. Il couvre les questions de résilience, de gouvernance et de surveillance.
En tant que chef de la sécurité, quels conseils pouvez-vous donner aux autres chefs de la sécurité?
Joe Martinez : Exercez-vous et mesurez. Exercez-vous non seulement sur les plans technique ou opérationnel, mais également au niveau de la direction. La question n’est pas de savoir si vous allez vivre un cyberincident important, mais quand. Vous ne pouvez pas résister à une attaque simplement en dépensant plus. Assurez-vous d’investir suffisamment dans la sécurité pour que le profil de risque de l’organisation se situe à un niveau que vous pouvez contrôler.
Mesurez et réévaluez tout ce que vous pouvez. Soulevez des questions auxquelles vous n’avez jamais pensé et n’hésitez pas à poser des questions qui vous mettent mal à l’aise. Par exemple, si nous devons fermer un bureau, qui en décide? Comment pouvons-nous soutenir et maintenir notre processus opérationnel si un fournisseur tiers subit une attaque et n’y survit pas? Si notre environnement se détériore, comment pouvons-nous maintenir notre clientèle, même au détriment des occasions d’affaires? Comment juger qu’une rançon est excessive?
Collaborez avec votre équipe de la haute direction et établissez des relations de travail avec les chefs de la sécurité de votre secteur. Le partage des connaissances est essentiel.
Ouvrages de référence
1 Extrait du site https://www.nist.gov/
2 Extrait du site https://www.cisecurity.org/
3 Source : Derrière les données : Research Methodology (aon.com)
4 Extrait du site https://gdpr-info.eu/
5 Extrait du site https://www.digital-operational-resilience-act.com/
6 Extrait du site https://www.dfs.ny.gov/industry_guidance/cybersecurity
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.