Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 12 de 17 Dans le présent rapport.
August 17, 2023 / 7 minute(s) de lecture
Amérique du Nord : La cyberrésilience progresse, mais
il y a encore des progrès à réaliser
Partout en Amérique du Nord, les organisations se sont améliorées dans des domaines critiques de la cyberrésilience. Il est toutefois possible de faire encore mieux dans des domaines clés comme la stratégie de sauvegarde et l’utilisation de l’AFM, en particulier pour les petites et moyennes entreprises.
Principaux points à retenir
- Le nombre moyen d’échecs des contrôles de cyberrésilience critiques effectués par les clients a diminué en 2022 par rapport à 2021.
- Les tarifs de l’assurance cyberrisques pour tous les secteurs devraient continuer de baisser en 2023 à la suite d’améliorations de la cyberrésilience, de diminutions de la fréquence des réclamations et d’une réduction des ratios sinistres-primes des assureurs1.
- Alors que les tendances mondiales indiquent que les attaques par rançongiciel sont en hausse2, les entreprises et les assureurs semblent se concentrer sur la façon dont l’IA peut changer les tendances en matière d’attaques et de protection des renseignements personnels.
Les chefs d’entreprise en Amérique du Nord continuent de lutter contre les cyberattaques en investissant dans des outils, des technologies et des procédures. Les données d’Aon mettent en évidence cette tendance. Elles indiquent que, en moyenne, 10 contrôles critiques sur 33 ont échoué en 2022, contre 12 sur 33 en 2021. Nous avons également constaté des améliorations marquées dans les secteurs de la gestion de l’accès (baisse de 7,19 % du taux d’échec), de l’authentification à facteurs multiples (AFM) (baisse de 11,29 % du taux d’échec) et de la résilience de l’entreprise (baisse de 6,08 % du taux d’échec). La fréquence des réclamations a diminué en 2022 et le ratio de sinistres-primes s’est amélioré en conséquence. Jumelés à la réduction de la fréquence des réclamations et à l’amélioration des ratios sinistres-primes des assureurs, ces investissements devraient contribuer à réduire les primes d’assurance cyberrisques en 2023 tout en améliorant la cyberrésilience globale de l’organisation.
Malgré les améliorations moyennes pour toutes les entreprises de la région d’Amérique du Nord, il reste des secteurs clés où des investissements supplémentaires pourraient être ciblés, et la différence en matière de résilience est marquée entre les entreprises et clients mondiaux d’une part et le marché intermédiaire et les petites et moyennes entreprises d’autre part. Les données de l’évaluation complémentaire liée aux rançongiciels montrent qu’en moyenne, les contrôles portant sur la sécurité des sauvegardes se sont améliorés de 6 % sur l’ensemble des secteurs. Toutefois, 90 % des entreprises ont déclaré ne pas stocker de sauvegarde dans le nuage, et 70 % ne stockent pas de sauvegardes hors site ou n’ont pas de sauvegardes immuables. Dans l’ensemble, les données de 2022 montrent que les lacunes en matière de contrôle de la résilience du marché intermédiaire et des petites et moyennes entreprises étaient 10 % plus élevées que celles des entreprises et des clients mondiaux. Les organisations dont les revenus sont inférieurs à 2 milliards de dollars continuent de déclarer des lacunes plus importantes relativement à l’AFM que les autres organisations, ce qui demeure une préoccupation majeure pour les souscripteurs d’assurance cyberrisques.
Après plusieurs trimestres de recul, la fréquence des attaques par rançongiciel à l’échelle mondiale a augmenté au premier trimestre et en 20233, rappelant aux organisations pourquoi les rançongiciels demeurent une préoccupation majeure en matière de cyberrésilience. De plus, l’utilisation d’outils d’IA pour créer et affiner des modèles d’attaque est une préoccupation croissante tant pour les entreprises que pour les souscripteurs d’assurance cyberrisques. Grâce à la puissance et à la facilité d’utilisation de ces outils d’IA, nous pouvons nous attendre à une augmentation de l’hameçonnage et de l’hameçonnage ciblé. La protection des renseignements personnels est aussi remise à l’ordre du jour, particulièrement dans le domaine des soins de santé4. Les poursuites au motif de violations de la vie privée [comme la California Invasion of Privacy Act (CIPA) et la Video Privacy Protection Act (VPPA)] résultant de l’utilisation de la technologie de suivi des pixels sont devenues un outil apprécié des avocats des plaignants en fin 2022 et cette tendance se poursuit en 2023.
Perspectives par secteur
Cette année, nous avons examiné de façon plus approfondie trois secteurs : la production manufacturière, les soins de santé ainsi que la finance et l’assurance. Alors que les améliorations dans ces trois secteurs sont dans la moyenne générale, des nuances propres aux besoins et aux activités de chacun d’eux montrent des écarts par rapport aux moyennes dans des domaines clés.
Les clients de la production manufacturière ont apporté des améliorations importantes à l’AFM et à la gestion de l’accès. Toutefois, la sécurité des sauvegardes, la résilience de l’entreprise et la sécurité des données affichaient le pourcentage le plus élevé de lacunes moyennes5 et demeurent donc les principales sources d’inquiétude. La prévalence d’outils anciens et l’augmentation des fusions et acquisitions dans ce secteur sont deux facteurs de l’exposition accrue aux vulnérabilités des technologies de l’information (TI) et des technologies opérationnelles (TO). Les entreprises de ce secteur affichent toujours un taux d’échec moyen de 40 % pour les contrôles des TO6. Nous constatons que ces résultats sont attribuables à l’absence de couverture des rançongiciels dans les exercices sur maquette, à l’absence de plans de continuité des opérations actualisés ou testés et/ou à l’insuffisance des capacités de surveillance et de correction dans l’environnement des TO.
Les clients du secteur des soins de santé semblent avoir apporté des améliorations importantes en 2022 par rapport à 2021 dans les domaines de l’AFM et de la résilience de l’entreprise7. Cette situation est en partie attribuable au fait que les assureurs se concentrent sur des contrôles clés qui aident à limiter la probabilité et la gravité d’une attaque par rançongiciel. Toutefois, les lacunes en matière de sécurité des données, de gestion des logiciels et de sécurité des terminaux ont augmenté au cours de la même période. En raison de la numérisation accrue et de la pression exercée dans le secteur des soins de santé pour automatiser certains processus, les données montrent que de nombreuses entreprises ont externalisé leurs activités de TI en 2022 ou ont embauché des employés chevronnés en sécurité. Toutefois, il est possible que cette hausse des lacunes ne reflète pas un recul réel de la cyberrésilience, mais plutôt une amélioration de l’exactitude des rapports.
Les clients du secteur de la finance et de l’assurance ont apporté des améliorations importantes à l’AFM, à la gestion des accès et à la résilience de l’entreprise8. Les tendances en matière de réclamations et de renseignements cybernétiques indiquent que les acteurs malveillants sont toujours en mesure de contourner l’AFM et d’utiliser des prises de contrôle à distance pour compromettre l’environnement réseau dans ce secteur. Les données de l’évaluation complémentaire liée aux rançongiciels d’Aon suggèrent que les clients du secteur de la finance et de l’assurance mettent davantage l’accent sur des règles d’AFM plus strictes et sur des capacités de gestion de correctifs pour lutter contre ces tendances. Les domaines de la sécurité des données et de la sécurité des terminaux demeurent particulièrement pertinents pour le secteur de la finance et de l’assurance, compte tenu de la nature plus élevée des risques liés aux tiers et aux initiés auxquels ces organisations font face. Enfin, de nouvelles règles de la SEC concernant la production de rapports d’exercices sur maquette dans le cadre de la planification de la continuité des activités et de la reprise après sinistre devraient entraîner une augmentation des tests d’intrusion et des mesures correctives proactives9.
Et maintenant? Quelques suggestions de mesures aux leaders nord-américains
- Mettre à jour et renforcer les cadres de gouvernance et les stratégies de gestion des risques concernant les cyberrisques. Dans toute la région, la réglementation en matière de protection des renseignements personnels continue d’aller au-delà des lois sur la notification des atteintes à la protection des données et envisage de nouveaux types de renseignements (p. ex., données biométriques) ainsi que les concepts de consentement éclairé au moment de la saisie des données. Par conséquent, il est primordial que la haute direction consigne et divulgue adéquatement son adoption d’une bonne gouvernance et de la gestion des risques liés aux cybermenaces, conformément aux pratiques exemplaires et aux exigences réglementaires. Cette mesure permettra non seulement d’améliorer le profil de risque de l’entreprise, mais aussi d’atténuer les potentielles mesures réglementaires et actions des actionnaires en cas de cyberincident ou d’atteinte à la vie privée.
- Rester vigilant face aux menaces par rançongiciel. Bien que les entreprises de la région aient obtenu de bons résultats dans la lutte contre les menaces posées par les rançongiciels, les tendances mondiales indiquent une augmentation de ce type d’attaques (hausse de 38 % au premier trimestre 2023 par rapport au quatrième trimestre 2022)10. Continuer de mettre l’accent sur les contrôles de sécurité qui atténuent les conséquences des attaques par rançongiciel, en particulier ceux qui font partie intégrante du processus de souscription d’assurance.
- Continuer d’être tourné vers l’avenir pour ce qui est des stratégies d’atténuation des cyberrisques et de résilience. Il est essentiel pour toutes les organisations de passer en revue les outils, les technologies et les procédures nécessaires pour lutter contre les cybermenaces, car elles sont influencées par les tensions géopolitiques et les nouveaux vecteurs d’attaque. Veiller à ce que les plans de continuité des opérations et de reprise après sinistre soient mis à jour et mis à l’essai en fonction des changements apportés aux outils, aux technologies et aux procédures, ainsi qu’aux activités actuelles est un aspect essentiel d’une stratégie de gestion de crise. La mise à l’essai des limites d’assurance et de la couverture au moyen de la quantification périodique des risques et de graphiques des points chauds basés sur le risque garantira que la souscription d’une assurance demeure un aspect important de la stratégie globale d’atténuation des cyberrisques d’une entreprise.
Ouvrages de référence
1 “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Rapport. Aon. Mai 2023.
2 Meta Pixel: A New Target for Privacy Litigation | Buchanan Ingersoll & Rooney PC (bipc.com).
3 How Smart Manufacturing is Intensifying Business Risk (aon.com)
4 How Smart Manufacturing is Intensifying Business Risk (aon.com)
5 Healthcare Cyber Profile Improved, but Resilience Work Remains (aon.com)
6 Actions to Improve Cyber Resilience in Finance and Insurance Sector (aon.com)
7 Proposed rule: Regulation Systems Compliance and Integrity (sec.gov)
8 “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon” Rapport. Aon. Mai 2023.
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
La cybermaturité par région
La cybermaturité des entreprises peut différer selon les régions. Apprenez-en davantage sur les manques ou absences, les défis et les opportunités, y compris les suggestions de mesures que les dirigeants peuvent prendre pour renforcer la cyberrésilience.