Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 7 de 17 Dans le présent rapport.
August 01, 2023 / 7 minute(s) de lecture
Mesures pour améliorer la cyberrésilience dans les secteurs de la finance et de l’assurance
Les cybermenaces sont en constante évolution et constituent un domaine d’intérêt essentiel pour les organismes de réglementation, les clients, les actionnaires et les conseils d’administration des secteurs de la finance et de l’assurance.
Principaux points à retenir
- Des clients ont fait état d’une amélioration de l’indice de risque global en 2022, l’état du risque étant bien près d’être au niveau « géré ».
- La sécurité des sauvegardes demeure un domaine de vulnérabilité. Des entreprises américaines ont fait état de lacunes dans près de 40 % des contrôles informatiques critiques.
- Les réclamations d’assurance sont en hausse, avec une augmentation de 38 % des réclamations liées aux rançongiciels du T4 2022 au T1 2023.
Les gouvernements, les entreprises et les clients considèrent les institutions financières comme l’épine dorsale de l’économie mondiale.1 En raison du rôle vital qu’elles jouent, la sécurité du secteur est hautement réglementée et surveillée de près. Soulignant la nécessité de la cyberrésilience, la Securities and Exchange Commission des États-Unis a récemment présenté une proposition de gestion des risques liés à la cybersécurité. Cela exigerait que toutes les entités du marché mettent en œuvre des politiques et des procédures conçues pour gérer leurs risques et la cybersécurité. En outre, les organisations des secteurs de la finance et de l’assurance devront, au moins une fois par an, examiner et évaluer la conception et l’efficacité de leurs politiques et procédures en matière de cybersécurité, y compris si elles tiennent compte de l’évolution des cyberrisques au cours de la période couverte par l’examen.2 Dans l’Union européenne, les institutions financières disposent de deux ans pour gérer la résilience opérationnelle et se conformer à la Digital Operation Resilience Act; (DORA).3
De nouveaux risques et vulnérabilités sont détectés chaque jour. Les leaders des secteurs de la finance et de l’assurance ont classé la menace d’une cyberattaque ou d’une violation de données comme étant le principal risque, dans le plus récent sondage mondial sur la gestion des risques d’Aon.
Les secteurs font face à un environnement de risques complexes et interconnectés à l’échelle mondiale et les leaders devraient prendre des décisions qui exigent une analyse et une exécution rapides. Les technologies émergentes et les nouveaux modèles d’affaires modifient continuellement le terrain. Par exemple, les portefeuilles mobiles sont un développement fondamental. Les paiements hors ligne ou en ligne effectués au moyen d’un appareil mobile, d’un téléphone intelligent ou d’un appareil portable sont monnaie courante et les technologies financières font boule de neige. Ce nouveau secteur, celui des technologies financières, accroît de façon exponentielle la portée des attaques et introduit encore plus de vulnérabilités des tiers dans les grandes institutions financières qui se connectent à ces entreprises plus petites et moins sophistiquées. L’Asie arrive en tête des entreprises de technologies financières sur le plan des revenus, mais c’est l’Amérique du Nord qui compte le plus grand nombre de sociétés en démarrage dans ce secteur, avec des statistiques faisant état de 8 775 entreprises actuellement en activité. L’Europe, le Moyen-Orient et l’Afrique comptent 7 385 entreprises en démarrage dans le secteur des technologies financières4 et il y en a 4 765 dans la région Asie-Pacifique.5
Les changements apportés au secteur de l’assurance responsabilité ont également été importants au cours des deux dernières années. Des incidents tels que l’attaque par rançongiciel en 2021 d’un réseau de pipelines aux États-Unis ont altéré le marché et les assureurs ont pris conscience des risques considérables liés à l’interruption des activités et à l’interconnectivité. Les assureurs exigent désormais des institutions financières qu’elles fassent la preuve de leur cyberrésilience pour obtenir une police d’assurance abordable, ou n’importe quelle police. Au cours des discussions concernant le renouvellement d’une police d’assurance, certains assureurs font appel à des professionnels indépendants du secteur des technologies pour interroger le responsable de la sécurité de l’information d’une institution financière.
Cela montre qu’il est possible d’utiliser le processus de renouvellement d’une assurance comme un moyen de démontrer les contrôles et les systèmes que l’institution financière a mis en place. Une telle approche permet de s’assurer que le processus devient un complément au processus de gestion des risques de l’institution financière.
Rapport sur les clients d’Aon : Secteurs de la finance et de l’assurance et cyberrisque
Les données agrégées du cyberquotient (CyQu) d’Aon montrent que les clients ont signalé une amélioration de l’indice de risque global de 2,7 à 2,9 (les clients se rapprochent d’un niveau « géré ») en 2022 dans l’ensemble des sociétés financières et d’assurance. Les petites et moyennes entités ont déclaré que leur profil de risque était passé du niveau « de base » au niveau « géré » et 64 % d’entre elles ont déclaré des indices de risque supérieurs à 2,5. Cette forte croissance de la maturité se poursuivra probablement, car les assureurs continuent de se concentrer sur ces organisations émergentes qui sont essentielles à l’écosystème des services financiers.
Le pourcentage médian du budget des TI consacré à la sécurité a également augmenté à l’échelle mondiale, les sociétés financières et d’assurance ayant déclaré que 8 % du budget des TI était consacré à la sécurité en 2022.
Indices de risque CyQu pour les segments de clientèle de la finance et de l’assurance
Revenus annuels (groupe) | 2020 | 2022 | Modifier |
---|---|---|---|
À l’échelle mondiale | 3.4 | 3.0 | -0.4 |
Entreprise | 2.9 | 3.2 | +0.3 |
Marché intermédiaire | 2.8 | 3.0 | +0.2 |
PME | 2.5 | 2.7 | +0.2 |
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Nous assistons actuellement à une résurgence de groupes d’acteurs agressifs qui ciblent les sociétés de services financiers. Et ces attaques réussissent dans la majorité des cas. Les réclamations d’assurance sont en hausse, avec une augmentation de 38 % des réclamations liées aux rançongiciels du T4 2022 au T1 2023, même si les tranches de revenus ont fait état d’une amélioration constante du profil global contre le cyberrisque. Les sociétés financières et d’assurance ont amélioré la mise en œuvre des contrôles des technologies de l’information entre 2021 et 2022 et ont insisté sur le renforcement des contrôles par l’authentification à facteurs multiples (AFM). Les entreprises américaines ont signalé une amélioration importante des contrôles essentiels par l’AFM, avec un déploiement de 80 %, comparativement à 65 % en 2021. Toutefois, même avec cette amélioration, Aon note que de nombreuses entreprises n’ont pas encore déployé ces solutions de manière approfondie, ce qui pourrait expliquer la hausse des attaques que nous connaissons actuellement.
Aux États-Unis, les sociétés financières et d’assurance ont signalé une amélioration constante de l’état de préparation des contrôles informatiques entre 2021 et 2022. Les données de contrôle des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels d’Aon indiquent que l’amélioration la plus importante a été l’AFM, avec une amélioration de 15 %, et la résilience de l’entreprise, avec une amélioration de 8 % dans la mise en œuvre des contrôles de souscription essentiels. Comparativement aux secteurs des soins de santé et de la production manufacturière, le secteur des services financiers semble beaucoup plus mature en ce qui concerne la résilience des entreprises. Toutefois, la sécurité des sauvegardes continue d’être considérée comme un domaine de vulnérabilité, les organisations indiquant toujours avoir besoin de près de 40 % de contrôles informatiques. Ce domaine de contrôle devrait faire l’objet d’une attention particulière tout au long de 2023, car les menaces liées aux rançongiciels s’intensifient de nouveau.
Bien que les données sur les tendances ne soient pas encore disponibles pour le Royaume-Uni, en 2022, les organisations des secteurs de la finance et de l’assurance du pays ont fait état de la plus grande maturité en matière de gestion des accès, de sécurité des courriels et de gestion des correctifs, enregistrant des écarts de 20 % ou moins dans chaque domaine de contrôle. Les clients ont signalé des lacunes importantes dans la gestion des logiciels et dans les contrôles de sécurité des données et des réseaux. À l’instar de leurs homologues américains, la protection des sauvegardes semble également nécessiter une attention particulière.
Qu’allez-vous faire? Mesure pour les organisations des secteurs de la finance et de l’assurance
Ouvrages de référence
1 “How Financial Institutions Reshape the Agenda in a Volatile Environment.” Aon’s Finance and Insurance Industry Primer. Aon 2023
2 “SEC Introduces New Requirements to Address Cybersecurity Risks to the US Securities Market.” Press Release. Securities and Exchange Commission (SEC). 15 mars 2023.
3 Digital Operation Reslience Act (DORA) – Regulation (EU) 2022/2054. Extrait du site https://www.digital-operational-resilience-act.com
4 “The Importance of Better Decision Making Amid Increased Volatility.” Aon’s 2021 Global Risk Management Survey. Report. 2021. Cover – 2021 Global Risk Management Survey (aon.com)
5 FinTech Statistics. Article. Balancing Everything. 03 mars 2023.
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
Publications connexes
Gestion de la cybersécurité en six thèmes de risque.
Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.