Rapport 2023 sur la cyberrésilience

Cela fait partie de l’article 9 de 17 Dans le présent rapport.

August 01, 2023 / 6 minute(s) de lecture

Comment la fabrication intelligente intensifie les risques pour les entreprises

Les nouveaux risques, tels que l’intégration de la chaîne de blocs et des installations intelligentes, les perturbations de la chaîne d’approvisionnement mondiale, l’Internet des objets industriels (IIoT) et le vol de propriété intellectuelle, représentent un défi de taille pour les fabricants.

Principaux points à retenir

  1. Le profil global contre le cyberrisque des fabricants a connu une amélioration constante entre 2020 et 2022.
  2. Les réclamations liées aux rançongiciels pour le secteur manufacturier ont diminué de 32 % au cours de cette période.
  3. La résilience demeure un objectif à atteindre. En effet, les fabricants américains et 65 % des entreprises ont signalé que les exercices sur maquette ne faisaient pas partie de leur plan de résilience.

Les nouveaux risques, tels que l’intégration de la chaîne de blocs et des installations intelligentes, les perturbations de la chaîne d’approvisionnement mondiale, l’Internet des objets industriels (IdOI et le vol de propriété intellectuelle peuvent représenter un défi de taille pour les fabricants. Un récent projet du MIT a démontré les répercussions des perturbations de la chaîne d’approvisionnement dans le secteur des semi-conducteurs, révélant qu’une perturbation de 10 jours dans la production d’une entreprise entraîne en moyenne un retard d’au moins 300 jours avant que ses stocks ne reviennent à la normale.1

Le secteur manufacturier est l’un des principaux moteurs de l’économie mondiale. La Chine est une superpuissance manufacturière et les États-Unis, le Japon et l’Allemagne sont les premiers pays en termes de valeur ajoutée par le secteur au produit intérieur brut (PIB)2 Aux États-Unis, le secteur de la production manufacturière a contribué à hauteur de 2,3 billions de dollars au PIB du pays au quatrième trimestre de 2022.3 La taille et l’interconnexion du secteur signifient qu’il existe un grand potentiel de cyberincident important. En effet, le secteur manufacturier est reconnu comme le principal secteur frappé par des attaques par rançongiciel en 2022.4

Les grands fabricants comptent sur un vaste réseau de petites entreprises dans la chaîne d’approvisionnement. Ces petites entreprises ne parviennent généralement pas à atteindre le niveau de sophistication de leurs homologues plus importants en matière de cybermaturité. Aux États-Unis, 98,6 % des entreprises manufacturières sont des petites entreprises et la plupart comptent moins de 20 employés.5 D’après notre expérience, les fusions et acquisitions comportent également des risques, certains des plus importants cyberincidents du secteur manufacturier résultant d’une intégration limitée ou médiocre des sociétés acquises.

À cela s’ajoute un environnement économique et opérationnel difficile. Notre expérience nous a montré que le secteur manufacturier mondial a connu deux années éprouvantes pendant la pandémie de COVID-19, aux prises avec des coûts d’expédition élevés, des pénuries d’employés et des problèmes liés à la chaîne d’approvisionnement. Avec un budget limité, les dirigeants se sont attaqués aux défis sous tous leurs angles et ont été forcés de prendre des décisions en fonction du rendement des investissements pour chaque dépense.

Rapport sur les clients d’Aon : Secteur de la production manufacturière et risque

Les réclamations liées aux rançongiciels dans le secteur manufacturier ont diminué de 32 % entre 2020 et 2022, les organisations ayant fait état d’une amélioration constante de leur cybermaturité globale. Le pourcentage médian du budget de TI consacré à la sécurité a également augmenté à l’échelle mondiale, les entreprises déclarant consacrer 8,5 % de leur budget de TI à la sécurité. Selon l’aperçu de l’assurance erreurs et omissions et de la cyberassurance du premier semestre de 2023 d’Aon, du point de vue des tendances en matière de pertes de la région Asie-Pacifique, le secteur manufacturier a été particulièrement visé en raison de l’importance des centres de fabrication dans la région, les technologies opérationnelles demeurant une préoccupation clé en matière de risque pour les marchés régionaux.6

Les données CyQu7 d’Aon montrent que l’indice de risque global des clients du marché intermédiaire s’est amélioré en 2022, passant de 2,2 à 2,5. Toutefois, 56 % des entreprises ont affiché un résultat inférieur à 2,5 en 2022. Nous nous attendons à ce que la maturité en matière de risque des petites et moyennes entreprises continue de s’améliorer à mesure que les grands fabricants imposeront des exigences supplémentaires en matière de cybermaturité au sein de leurs chaînes d’approvisionnement. Par conséquent, les petits fabricants pourraient également être tenus de démontrer leur résilience pour obtenir des polices de cyberassurance.

En ce qui concerne les entreprises mondiales, les indices se sont légèrement améliorés, passant de 2,7 à 2,8. Cependant, 80 % des entreprises ont déclaré des indices supérieurs à 2,5, ce qui montre que le secteur dans son ensemble se rapproche de plus en plus d’un profil de risque « géré ».

Indices de risque CyQu pour les segments de clientèle de la production manufacturière

Revenus annuels (groupe) 2020 2022 Modifier
À l’échelle mondiale
2.7
2.8
+0.1
Entreprise
2.6
2.7
+0.1
Marché intermédiaire
2.2
2.5
+0.3
PME
2.1
2.3
+0.2

Indice de maturité en matière de risque du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Du côté des États-Unis, les fabricants ont fait état d’une amélioration de la mise en œuvre des contrôles liés aux technologies de l’information (TI) entre 2021 et 2022. Selon les données relatives aux contrôles des signaux d’alarme de l’évaluation complémentaire liée aux rançongiciels, 90 % des clients ont signalé en 2022 une amélioration de la mise en œuvre des contrôles de gestion des accès axés sur les identifiants uniques pour les administrateurs du système. En moyenne, en 2022, les clients ont mis en œuvre 75 % des contrôles clés d’authentification à facteurs multiples (AFM) comparativement à 58 % en 2021. Les progrès réalisés dans ces domaines ne sont pas surprenants. Le travail à domicile n’était pas répandu dans le secteur manufacturier avant la pandémie, et le passage au télétravail, combiné à de nouvelles exigences en matière d’assurance liées à l’AFM, a probablement favorisé ces progrès.

Les fabricants américains ont également indiqué que la résilience des entreprises n’était pas encore acquise. Fait frappant, en 2022, 65 % des entreprises ont signalé que les exercices sur maquette ne faisaient pas partie de leur plan de résilience. Cette statistique semble confirmer le fait que les entreprises ont tendance à se concentrer davantage sur l’obtention de technologies plutôt que sur les personnes, les politiques et les procédures lorsqu’il s’agit de répondre aux incidents et d’y remédier.


Pourcentage d’absence de contrôles informatiques essentiels pour un secteur donné aux États-Unis (signaux d’alarme)


Bien que les données sur les tendances ne soient pas encore accessibles, nous pouvons voir 2022 comme une année de référence pour le Royaume-Uni. Les fabricants britanniques ont fait état de la plus grande maturité en matière de gestion des accès. Leurs résultats sont toutefois plus faibles que ceux de leurs homologues américains en ce qui concerne la maturité de tous les contrôles liés aux TI en 2022, à l’exception de la gestion des accès, pour laquelle ils ont obtenu des résultats semblables.


Pourcentage d’absence de contrôles essentiels pour un secteur donné dans la zone EMOA et au Royaume-Uni (signaux d’alarme)


Pour ce qui est des technologies opérationnelles (TO), les secteurs manufacturiers américain et britannique ont, en moyenne, déclaré une plus grande maturité que les autres secteurs. Dans le passé, le secteur manufacturier mettait l’accent sur la résilience en matière de TO; nous nous attendions donc à ce que les indices soient plus élevés. Toutefois, les organisations manufacturières ont encore beaucoup à faire en matière de contrôles et de segmentation. Les clients ont signalé un manque à gagner de 41 % dans les contrôles essentiels liés aux TO, une lacune qui doit être comblée.


Pourcentage d’absence de contrôles de technologies opérationnelles pour un secteur donné aux États-Unis


Pourcentage d’absence de contrôles de technologies opérationnelles pour un secteur donné dans la zone EMOA et au Royaume-Uni


Qu’allez-vous faire? Mesures pour les organisations manufacturières

Ouvrages de référence

1 Fixing the US Semiconductor Supply Chain. Levi, David Simchi-Levi, Zhu, Feng, Loy, Matthew. Article. Harvard Business Review. 25 octobre 2022.

2 Value added by the manufacturing industry to GDP in 2020 by country: Data Chart. Statista. Extrait du site https://www.statista.com/statistics/456342/realtive-comparison-of-value-added-in-manufacturing-of-leading-countries/ 

3 United States GDP From Manufacturing. Data Chart. US Census Bureau.

4 2023 X-Force Threat Intelligence Index. Report. IBM. 2023.

5 Manufacturing and Small Business. SCORE. Infographic. 24 mai 2022.

Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

7 Aon’s Cyber Quotient. Patent-pending technology.

8 NIST Cybersecurity Framework 2.0. Extrait du site https://www.nist.gov/system/files/documents/2022/10/03/NIST_CSF_update_Fact_Sheet.pdf

9 Loi sur la cybersécurité de l’Union européenne (ENISA). Extrait de La loi sur la cybersécurité de l’UE | Bâtir l’avenir numérique de l’Europe (europa.eu)


Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.