Rapport 2024 sur la cyber-résilience
Ceci est une partie de l’article 12 sur 15 Dans ce rapport.
October 25, 2023 / 7 minutes de lecture
EMEA: Renforcer la résilience pour faire face à l’augmentation des cyber-risques
Face à la complexité croissante des cyber-risques, les organisations basées dans la région EMEA doivent continuer à se concentrer sur la résilience, les nouvelles réglementations et l’évolution des profils de risque.
Points essentiels
- En réponse à l’augmentation des risques et des réglementations, la cyber-maturité des clients est passée de « basique » à « gérée », mais les organisations sont toujours en retard en matière de résilience.
- Les clients ont fait état d’une augmentation légère mais perceptible de la maturité dans les principaux groupes de contrôle, y compris la sécurité des points de terminaison, le contrôle d’accès et le travail à distance.
- Le secteur de l’extraction minière, exploitation en carrière, et extraction de pétrole et de gaz, qui était le secteur le moins performant en 2020, est devenu l’un des plus performants en 2022.
Il est impossible de bloquer tous les cyber-événements, mais il est possible de les gérer. La gouvernance, les tensions géopolitiques et l’augmentation des cyber-incidents en Europe, au Moyen-Orient et en Afrique (EMEA) ont entraîné une légère hausse de la cyber-maturité en 2022. Selon les données du cyberquotient1 (CyQu) d’Aon, les clients ont en moyenne déclaré être passés d’une maturité basique (2,17 sur 4,0) à une sécurité gérée (2,45 sur 4,0) entre 2020 et 2022. Bien qu’incrémentiel, ce mouvement est encourageant et témoigne d’un changement d’état d’esprit qui s’éloigne de la croyance que « cela n’arrive qu’aux autres ».
Les clients se sont concentrés sur l’amélioration de la sécurité des données et la protection des données d’entreprise en 2022, en partie en raison du conflit entre l’Ukraine et la Russie. De nombreuses entreprises européennes et multinationales de premier plan sont fortement touchées par cette situation et s’inquiètent vivement de la manière dont leurs activités pourraient être affectées par les attaques émanant de la région. Les organisations se sont efforcées d’atteindre le bon niveau de visibilité quant aux contrôles opérationnels de sécurité (SOC) et de renforcer les contrôles d’accès, en mettant davantage l’accent sur la prévention de l’entrée et du déplacement latéral des pirates dans le réseau. Les données du CyQu d’Aon ont confirmé cette tendance. En effet, les clients ont fait état d’une augmentation légère mais perceptible de la maturité dans les principaux groupes de contrôle, y compris la sécurité des points de terminaison, le contrôle d’accès et le travail à distance.
En revanche, en moyenne, les clients n’ont pas fait état d’une amélioration profonde de la sécurité des applications (score de 1,8 à 2,1) ou de la résilience des entreprises (score de 1,9 à 2,2) et se situent toujours à un niveau de maturité « de base » et loin d’être « géré ». Il est important de noter que si les entreprises américaines ont surpassé leurs homologues de la région EMEA en matière de sécurité des points de terminaison et des réseaux. Les deux régions ont du mal à assurer la résilience des entreprises, en particulier en ce qui concerne la gestion des risques liés aux tiers. Les organisations doivent accorder une attention accrue à la correction de cette faiblesse, d’autant plus que le risque systémique a été catapulté au sommet de la liste des priorités du secteur des assurances2 et que la sécurité des tiers est au cœur de ce risque.
Score régional du risque Cyqu
| Régions | 2022 |
|---|---|
| Amérique du nord | 2.7 |
| UK & EMEA | 2.4 |
| Amérique latine | 2.5 |
| Asie-Pacifique | 2.7 |
Score de maturité des risques du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Les assureurs et les régulateurs ont également favorisé la maturité en matière de sécurité dans la région, et l’évolution de la réglementation devrait être un facteur de changement continu. Les mesures de la directive de l’Union Européenne sur la sécurité des réseaux et de l’information (NIS2) prendront effet en octobre 2024, et beaucoup plus d’entreprises entreront dans son champ d’application3. Les effets de la directive NIS2, notamment l’expansion des exigences en matière d’infrastructures essentielles4, sont déjà visibles dans les scores du secteur dans l’évaluation CyQu. Le secteur de l’extraction minière, l’exploitation en carrière et l’extraction de pétrole et de gaz, qui était le secteur le moins performant en 2020 (score de maturité de 1,8) est devenu l’un des plus performants en 2022, les clients rapportant un score de maturité de 2,8 et s’approchant du niveau « géré ». Ce score place le secteur de l’énergie au même niveau que les secteurs historiquement plus performants de l’assurance et de la finance et des services publics, déjà fortement réglementés. Au-delà des exigences accrues imposées aux secteurs, la directive NIS2 étend la gestion des risques liés à la cyber-sécurité à la sécurité de la chaîne d’approvisionnement. Ainsi, la gestion des tiers deviendra de plus en plus cruciale pour la planification des activités et la sécurité globale.
Les régulateurs pourraient examiner de plus près la dépendance croissante à l’égard des technologies numériques et l’adoption de plus en plus large de l’intelligence artificielle (IA). La façon dont les entreprises exploitent, traitent et utilisent les données pourrait changer rapidement au cours des douze prochains mois. C’est pourquoi les dirigeants sont encouragés à adopter une approche basée sur les risques. Avec l’émergence de nouveaux modèles d’entreprise, il est essentiel que les données soient protégées et que les organisations se concentrent sur la gestion des risques à l’échelle de l’entreprise.
Enfin, il faut tenir compte de l’impact des ransomware. Ces menaces sont toujours à l’ordre du jour et constituent une préoccupation majeure, notamment pour les acheteurs d’assurance. Au cours du premier trimestre 2023, nous avons constaté une augmentation significative des incidents liés aux ransomware dans le monde entier, avec une hausse de 63 %. Le nombre d’incidents a atteint un pic au cours du deuxième trimestre.5 Les pirates continueront d’exploiter le maillon le plus faible : les personnes. Les organisations sont encouragées à examiner à la loupe leur maturité en matière de résilience des entreprises.
Coup d’œil sur les secteurs
Comme indiqué plus haut, l’élément le plus frappant dans les données industrielles issues de l’évaluation CyQu est la progression du secteur de l’énergie. Un deuxième changement, tout aussi notable, concerne l’amélioration de la maturité moyenne globale du secteur de la construction (de 1,9 à 2,4). Ce score reflète l’évolution de notre manière de construire aujourd’hui ou le passage d’un environnement essentiellement physique à un environnement de plus en plus numérisé. Compte tenu de la complexité entraînée par les pertes d’exploitation dans le secteur de la construction, on peut s’attendre à ce que les assureurs prennent également note de ce changement. Le secteur continuera de renforcer la gestion des tiers et d’intégrer les fournisseurs de premier et deuxième rangs dans le plan de gestion des risques de l’entreprise.
Dans son rapport sur la cyber-résilience en 2023 6, Aon a examiné plus en détail trois secteurs : la production manufacturière, la finance et l’assurance, ainsi que les soins de santé. Dans la région EMEA, les entreprises des trois secteurs se sont approchées d’un état de sécurité globale « gérée » ou d’un score de 3,0, sans toutefois l’atteindre. Le secteur de la finance et de l’assurance a atteint le plus haut niveau de maturité (2,8), suivi de la production manufacturière (2,5) et des soins de santé et services sociaux (2,4). L’impact du règlement DORA (Digital Operational Resilience Act)7 sur le secteur de la finance et de l’assurance sera un facteur de maturité notable à l’approche de la date d’applicabilité (17 janvier 2025).
En ce qui concerne le secteur des soins de santé, le règlement européen relatif aux dispositifs médicaux (EU MDR)8 est entré en vigueur en 2021. Depuis sa mise en œuvre, nous avons constaté une augmentation de la cyber-maturité, en particulier dans le domaine de la MedTech. La protection de l’environnement est également une préoccupation majeure dans le sous-segment des sciences de la vie, en particulier pour les entreprises pharmaceutiques. Alors que les entreprises investissent des milliards dans la recherche et le développement de nouveaux médicaments, le coût des fuites de propriété intellectuelle peut être dévastateur, les entreprises craignant d’être contraintes d’abandonner des cycles de développement de produits, ce qui entraînerait la perte de sommes importantes investies.
Les assureurs imposent depuis longtemps au secteur de la production manufacturière certaines exigences en matière de cyber-sécurité (en particulier dans le domaine des technologies opérationnelles). Il n’est donc pas surprenant que les clients fassent état d’une augmentation continue de la maturité globale. Alors que les chaînes d’approvisionnement continuent de voir leurs dimensions et leur complexité augmenter, les fabricants devront se concentrer sur le renforcement de la gestion des tiers et de la résilience des entreprises : deux des domaines de contrôle les plus complexes à gérer.
Étapes suivantes : Actions suggérées pour les dirigeants dans la région EMEA
Bien que nous ayons déjà constaté une augmentation des niveaux de maturité en matière de cyber-sécurité dans l’ensemble de la région EMEA, nous nous attendons à ce que les augmentations futures soient plus prononcées. Alors que les divers secteurs continuent d’investir dans l’innovation et les nouvelles technologies, la complexité accrue des risques se traduira probablement par un environnement de cyber-menaces plus dynamique et plus problématique. Dans cette optique, nous recommandons aux organisations de poursuivre l’examen et la remise en question de leur approche en suivant ces trois étapes :
- Garder la cyber-résilience au coeur des préoccupations :
Les attaques contre les infrastructures et les technologies sont inévitables et il restera extrêmement important que la capacité des organisations à faire face de manière appropriée aux événements détermine dans quelle mesure elles sont bien équipées pour gérer les incidents et les événements matériels. La combinaison d’une stratégie transparente de gestion des risques de l’entreprise, d’une stratégie de cyber-sécurité et d’une stratégie d’assurance fonctionnant en tandem permettra d’atteindre cet objectif. - Intégrer les nouvelles exigences réglementaires dans les processus habituels :
Les nouvelles réglementations telles que la directive NIS29 et le règlement DORA10 visent à créer une résilience et une protection systémiques. L’intégration des nouvelles règles dans vos activités quotidiennes contribuera à créer un environnement plus sûr pour les entreprises et, potentiellement, un avantage concurrentiel. - Effectuer une analyse de l’évolution du profil basée sur les risques :
Il est important que nous évoluions en même temps que le paysage des cyber-menaces. Dans un contexte d’évolution et de numérisation des entreprises, notamment lié à l’impact de l’intelligence artificielle, les organisations devraient continuer à se demander si leurs pratiques de gestion des risques et de sécurité restent adaptées à leurs objectifs. Nous recommandons aux entreprises de vérifier, au moins une fois par an, que les contrôles en place sont appropriés et proportionnés pour gérer un profil de risques et d’opportunités en constante évolution.dsd
Références
1 Cyberquotient d’Aon (CyQu). Brevet en instance.
2 Steps to Minimize Cyber’s Impact on Systemic Risk (aon.com)
3 Get Your Organisation Cyber Ready for NIS2. Aon. Article. March 2023.
4 “Essential Entity: Energy Sector.” NIS2 Directive. 2022.
5 Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon
6 Rapport sur la cyberrésilience en 2023 (en anglais) (aon.com)
7 “The Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2054.” Notice. Cyber Risk GMBH.
8 “The European Medical Device Regulation. Regulation EU 2017/745 (EU MDR).” Information Sheet.
9 Get your Organization Cyber Ready for NIS2. Aon. Article. Mars 2023
10 « The Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2054. » Avis. Cyber Risk GMBH.
Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.
Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.
Cyber-maturité par région
La cyber-maturité globale des entreprises peut varier d’une région à l’autre. En savoir plus sur les lacunes, les défis et les opportunités, ainsi que sur les mesures que les dirigeants peuvent prendre pour renforcer la cyber-résilience et la résilience de l’entreprise.
