Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 10 de 17 Dans le présent rapport.
August 16, 2023 / 7 minute(s) de lecture
Amérique latine : trois points de contrôle critiques qui sont à risque
La cybermaturité globale des entreprises d’Amérique latine se rapproche de celle des entreprises de la zone EMOA et du Royaume-Uni, mais trois importantes lacunes ont été mises en évidence : la gestion des tiers, la résilience opérationnelle et la sécurité des applications.
Principaux points à retenir
- Dans l’ensemble, les entreprises de l’Amérique latine présentent une cybermaturité moyenne semblable à celle des organisations du Royaume-Uni et de la zone EMOA. Elles semblent toutefois accuser du retard par rapport à celles des États-Unis.
- La gestion des tiers est le domaine le moins performant. Les organisations devraient mieux modéliser l’incidence commerciale des cyberrisques introduits par ces fournisseurs.
- La sécurité des applications doit encore être gérée. Les dirigeants d’entreprise voudront peut-être rendre obligatoire la formation sur la sécurité pour tous les développeurs, y compris des mises à jour régulières pour rester au fait des menaces émergentes.
Bien que tous les pays du monde semblent égaux en ce qui concerne la menace de cyberattaques, leur niveau de préparation diffère parfois. Nos données démontrent que l’Amérique latine a réalisé des progrès inégaux en ce qui a trait à la gestion des cyberrisques1. Pourtant, selon les rapports de clients tirés de l’évaluation du cyberquotient (CyQu) 2022 d’Aon2, la cybermaturité globale des entreprises de l’Amérique latine est comparable à celle des organisations de la zone EMOA et du Royaume-Uni. Les données indiquent toutefois que les entreprises de l’Amérique latine accusent du retard par rapport à celles des États-Unis dans certains secteurs essentiels.
En ce qui concerne la cybermaturité globale, les entreprises de l’Amérique latine font face à des lacunes dans trois points de contrôle critiques : la gestion des tiers, la résilience opérationnelle et la sécurité des applications. Ces trois domaines présentent un niveau de maturité « de base ».
Selon les données CyQu, seulement 15 % des entreprises déclarent un niveau de maturité à l’égard du risque supérieur au niveau « de base » pour ce qui est de la vérification préalable des tiers, et seulement 17 % déclarent un indice de risque supérieur à 2,5 (sur un maximum de 4,0) lorsqu’il s’agit de gérer le risque lié aux tiers au moyen d’une entente juridique. Selon les données, il se peut que les entreprises omettent de lier les tiers par des ententes de niveau de service, de mettre en place des politiques officielles visant à déterminer les stratégies de cybersécurité pour les tiers, d’intégrer les tiers à la vérification de la continuité des activités et de la reprise après sinistre et d’évaluer les répercussions commerciales découlant des risques liés aux tiers.
En ce qui concerne la résilience opérationnelle, seulement le quart des entreprises ont déclaré avoir un profil de risque plus élevé que le niveau « de base » en matière de continuité des activités ou avoir mis en place un plan de reprise après sinistre axé sur le rétablissement qui quantifie les répercussions financières. Seulement 35 % des entreprises ont fait état d’un profil de risque plus élevé que le niveau « de base » en ce qui a trait au plan d’intervention en cas d’incident et aux exercices sur maquette.
Les clients ont également signalé des lacunes dans un autre domaine de contrôle critique, soit la sécurité des applications. Moins de 35 % des entreprises ont indiqué avoir un profil de risque plus élevé que le niveau « de base », et les organisations gèrent de façon inadéquate le processus d’autorisation des applications logicielles, de formation des développeurs de logiciels sur la sécurité et d’exécution d’analyses dynamiques et de tests d’intrusion pour les applications.
Perspectives par secteur
Cette année, nous avons examiné de façon plus approfondie trois secteurs dans le monde : les finances et l’assurance, les soins de santé et la production manufacturière. Selon les données CyQu déclarées par les clients, les entreprises d’Amérique latine dans les trois secteurs ont connu une plutôt bonne performance comparativement à celles de la zone EMOA, du Royaume-Uni et des États-Unis. Les clients font état pour 2022 d’une situation globale « gérée » en matière de cyberrisques.
Les sociétés financières et d’assurance de l’Amérique latine affichent un indice moyen global de 2,7, ce qui correspond au niveau « géré », indiquant qu’elles ont mis en place des technologies et des pratiques de gestion des risques à l’échelle de l’organisation. Ce niveau de gestion des risques reflète le contexte réglementaire dans lequel le secteur exerce ses activités. Au sein de ce secteur, les pratiques exemplaires et les indicateurs prédictifs orientent les pratiques de cybersécurité dans la majeure partie de l’entreprise. Les politiques, les processus et les procédures sont également définis, mis en œuvre de la façon prévue et révisés. Des méthodes uniformes sont en place pour réagir efficacement à l’évolution des risques. Pour atteindre le niveau de sécurité de leurs homologues aux États-Unis, les sociétés financières et d’assurance d’Amérique latine sont encouragées à se concentrer sur les domaines dans lesquels elles ont enregistré des rendements inférieurs, y compris le contrôle des accès, la résilience opérationnelle, la sécurité des points terminaux et des systèmes et la gestion des tiers.
La plupart des sociétés financières et d’assurance ont des environnements réseau plus matures; ainsi, même si le volume d’applications patrimoniales est beaucoup plus élevé, il existe une architecture robuste, de solides mécanismes de défense contre les intrusions et une hygiène vitale exercée en matière de sécurité des réseaux. Toutefois, de nombreuses institutions financières doivent encore mettre en place un processus complet de vérification préalable des tiers. Cette vérification diligente constitue une étape essentielle compte tenu des récents événements très médiatisés concernant des tiers.
Selon des rapports de clients CyQu, la maturité des entreprises de soins de santé de l’Amérique latine en matière de cyberrisques semble être la même que celle de leurs homologues aux États-Unis. Toutefois, les pratiques et les technologies de gestion des risques en matière de cybersécurité au sein de ce secteur doivent encore être officialisées. Le risque semble être géré de façon ponctuelle et parfois réactive, alors que les techniques et les technologies doivent être établies plus clairement à l’échelle de l’organisation.
Pour parvenir à une maturité plus avancée, les entreprises de soins de santé de la région devraient améliorer la sécurité de leurs applications, leur résilience, leur sécurité physique et leur gestion des tiers. Pour la plupart des entreprises de soins de santé, le pire scénario serait un auteur de menaces dans l’environnement des technologies opérationnelles (TO). La mise en œuvre d’un système efficace d’authentification multifacteur dans les réseaux de technologies de l’information peut être essentielle, car la compromission d’un mot de passe peut tout de même mettre en péril les données sensibles ou favoriser une première intrusion.
Une vérification préalable rigoureuse des tiers aide à prévenir et à détecter les risques pour les données confidentielles, les systèmes de la chaîne d’approvisionnement et l’infrastructure de TO essentielle, car elle permet de réduire l’exposition des systèmes de pharmacovigilance, des systèmes de distribution et des processus opérationnels de production.
Les entreprises manufacturières de l’Amérique latine obtiennent des résultats semblables à celles des États-Unis dans la plupart des domaines lorsqu’il est question de gestion des cyberrisques. Cependant, comme c’est le cas des entreprises du secteur de la santé, les technologies et les pratiques organisationnelles de gestion des risques liés à la cybersécurité ne sont en général pas officialisées en plus d’avoir une portée limitée, et le risque est géré de façon ponctuelle et parfois réactive.
Les enjeux les plus critiques pour les entreprises manufacturières de l’Amérique latine sont la gestion des tiers, la sécurité des applications et la résilience opérationnelle. Les fabricants dépendent probablement de nombreux tiers pour soutenir leur chaîne de valeur. Toutefois, bon nombre de ces entreprises continuent d’effectuer des déploiements ponctuels et semblent avoir besoin d’une approche plus cohérente en matière de vérification préalable à l’échelle de l’organisation.
Les données CyQu des clients démontrent que l’authentification et le chiffrement demeurent des pratiques relativement peu courantes chez les fabricants de l’Amérique latine. Les organisations ont besoin d’aide pour la consignation et la surveillance des points terminaux, ce qui nuit à la visibilité des systèmes de contrôle industriel et des réseaux opérationnels essentiels. La mise en œuvre de plans d’intervention en cas d’incident et de continuité des activités doit également être plus robuste dans l’ensemble du secteur.
Et maintenant? Mesures suggérées aux dirigeants d’Amérique latine
Gestion des tiers. Réaliser des vérifications préalables des fournisseurs tiers pour que ceux-ci cadrent davantage avec les politiques d’entreprise et les pratiques exemplaires du secteur, y compris des évaluations et réévaluations lorsque des changements sont apportés aux ententes de services. Effectuer des vérifications de la continuité des activités et de la reprise après sinistre auprès des fournisseurs tiers, surtout après des changements organisationnels. Prévoir l’incidence commerciale des cyberrisques associés aux fournisseurs tiers au moyen d’une analyse officielle qui simule les éventuelles répercussions financières. Mettre en œuvre et définir des seuils et des processus de recours hiérarchique qui aident à déterminer l’application des stratégies de cybersécurité pour les fournisseurs tiers désignés. Utiliser plusieurs indicateurs et des stratégies de gestion uniformes et faire appel à la haute direction.
Résilience opérationnelle. S’assurer que des plans de continuité des activités et de reprise après sinistre technique sont mis en œuvre et qu’une simulation est effectuée au moins une fois par année, ou plus souvent si nécessaire. Inclure tous les membres clés du personnel, couvrir toutes les opérations requises pour reprendre les activités et envisager de produire des rapports après l’atelier pratique avec des recommandations d’amélioration. S’assurer que les plans de continuité des activités et de reprise après sinistre de l’entreprise permettent le rétablissement après une défaillance technologique ou logicielle critique, un problème critique lié à un fournisseur de technologie ou à un service public, la perte ou la corruption de renseignements essentiels et la divulgation de renseignements critiques et sensibles. Inclure l’incidence financière du coût de renonciation, des coûts accrus du travail et des dépenses, de la réduction des revenus ou d’une valeur équivalente de la production, de l’inefficacité et de la rentabilité, du remplacement des actifs non assurés, de la valeur du capital, ainsi que de la viabilité financière dans votre plan de continuité des activités et de reprise après sinistre.
Sécurité des applications. S’assurer que tous les développeurs suivent une formation sur la sécurité régulièrement ou au moins une fois par année et inclure des mises à jour régulières pour rester au fait des nouvelles menaces. Tenir un inventaire des applications, supprimer rapidement tous les logiciels non autorisés et s’assurer que la liste des applications autorisées comprend les fichiers exécutables, les bibliothèques de codes et les scripts, p. ex., les macrocommandes et les fichiers .ps1.
Ouvrages de référence
1 “Raising the Political Priority of Cybersecurity in Latin America.” Hurel, Louise Marie and Devanny, Joe. Council on Foreign Relations. Blog Post. March 16, 2023.
2 Aon’s Cyber Quotient (CyQu). Patent-pending technology.
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
La cybermaturité par région
La cybermaturité des entreprises peut différer selon les régions. Apprenez-en davantage sur les manques ou absences, les défis et les opportunités, y compris les suggestions de mesures que les dirigeants peuvent prendre pour renforcer la cyberrésilience.