Atteindre la cyberrésilience grâce à une stratégie cyclique en continu
Les cybermenaces sont désormais le risque principal auquel sont confrontées les entreprises, qui tentent de se défendre contre un nouveau niveau plus sophistiqué de cyberattaques.
Les acteurs de la cybermenace continuant à intensifier leurs crimes et à porter des coups records aux entreprises mondiales, il n'est pas surprenant que la cybersécurité se soit hissée en tête des risques auxquels les organisations sont confrontées aujourd'hui.[1]
Les attaques se poursuivent, les criminels exploitant la pandémie de COVID-19 en cours. Cela s'est traduit par une sophistication accrue et une intensification exponentielle du cyberrisque, principalement en raison de l'augmentation considérable des attaques par rançongiciels. Les attaques par rançongiciels ont augmenté de 400 % sur une période de deux ans, de 2018 à 2020, et devraient coûter environ 20 milliards $ aux organisations en 2021.[2][3]
Une perte informatique se fait sentir à l’échelle de toute l’entreprise en raison de l’interruption des activités et des coûts imprévus connexes, notamment les frais potentiels en matière d’informatique judiciaire et de défense, les coûts relatifs à l’atteinte à la vie privée, les frais de notification en cas d’atteinte à la vie privée, les amendes et pénalités, en plus des dommages à la réputation d’une entreprise. De plus, les organisations ont de la difficulté à composer avec les nouveaux risques découlant de l’évolution rapide du numérique :
- Le travail à distance est là pour de bon, mais seulement 40 % des organisations affirment avoir des stratégies de travail à distance adéquates pour gérer ces risques
- Seulement 17 % des organisations affirment avoir mis en place des mesures de sécurité adéquates pour les applications compte tenu du rythme rapide de l’évolution numérique
- Toutefois, dans une perspective plus positive, 60 % des organisations déclarent disposer de mesures de sécurité de réseau suffisantes pour gérer la nouvelle connectivité numérique[4]
Si l’on ajoute à cela les défis liés à la réduction des revenus et aux budgets limités, il n’est pas surprenant que de nombreuses organisations se retrouvent dans l’obligation de réagir rapidement pour atteindre la cyberrésilience[5].
Pour trouver un équilibre, il faut une prise de décisions meilleure et plus éclairée en matière de cybersécurité, un domaine qui évolue constamment tandis que de nouvelles menaces surviennent sans cesse. Voici une solution efficace à envisager : atteindre la cyberrésilience et atténuer l’exposition aux cyberrisques d’une entreprise en adoptant une perspective globale en matière de cybersécurité et une stratégie de cybersécurité circulaire plutôt que linéaire.
Renforcer la cyberrésilience à travers la boucle des cyberrisques
Les entreprises en quête de cyberrésilience passeront continuellement par les quatre étapes de ce que l’on appelle « la boucle des cyberrisques » : l’évaluation, la quantification, l’assurance et la préparation à l’intervention en cas d’incident[6]. La résilience est possible pour les entreprises qui adoptent cette approche en matière de cybersécurité, ce qui peut leur procurer un cyberécosystème plus vaste. La gestion des cyberrisques comme risque d’entreprise exige l’examen et l’amélioration de la cybergestion, en plus d’investissements continus. Ces éléments permettent d’optimiser le coût total des risques pour les entreprises.
La boucle des cyberrisques reconnaît que chaque organisation est unique et possède son propre cheminement numérique. Par conséquent, les organisations peuvent entrer dans la boucle des cyberrisques à l’une ou l’autre des quatre étapes, selon leur parcours actuel en matière de cybersécurité. Voici en quoi consistent les quatre points d’entrée :
Évaluation
Les résultats de l’évaluation permettent de prendre des décisions stratégiques dans le contexte de la culture de l’organisation, de sa tolérance aux risques et de l’atténuation des risques. Cela s’applique à votre organisation ainsi qu’à vos fournisseurs tiers. Seulement une organisation sur cinq déclare disposer de mesures de gestion par des tiers adéquates pour superviser les fournisseurs essentiels[7]. Les organisations qui ne gèrent pas adéquatement les risques liés à des tiers doivent tenir compte d’un éventail de services d’évaluation en matière de diligence raisonnable, d’intégration et de gestion des risques contractuels.
Plusieurs services d’évaluation sont offerts, allant d’analyses générales des points faibles d’un système à des évaluations plus détaillées comme des évaluations externes de la vulnérabilité et des tests d’intrusion. Certains fournisseurs permettent aux entreprises de comparer l’état de préparation à celui d’organisations comparables et de recevoir des recommandations de mesures correctives personnalisées.
Au cours d’une évaluation, de grandes quantités de données et de connaissances sont recueillies et analysées dans l’écosystème de la boucle des cyberrisques :
- Détermination des actifs, systèmes et opérations essentiels
- Évaluation des politiques et des procédures
- Confirmation du comportement de l’utilisateur
- Les vulnérabilités sont diagnostiquées et classées par priorité, les contrôles de cybersécurité sont comparés à des menaces précises et la préparation en matière de gouvernance et d’intervention est évaluée
Grâce à l’évaluation, les leaders peuvent prendre des décisions éclairées et gérer de façon stratégique le cyberrisque au moyen de quatre chemins : éviter, atténuer, accepter ou transférer le risque.
Quantification
Les rançongiciels entraînent des interruptions d’activité et des risques liés au bilan, mais seulement 31 % des organisations déclarent avoir mis en place des mesures adéquates en matière de résilience organisationnelle[8]. Réalisez une étude de quantification des pertes pour mieux comprendre l’incidence financière d’une cyberattaque sur l’entreprise.
La quantification des cyberrisques est essentielle. Elle utilise la modélisation financière pour aider les entreprises à faire des choix intelligents et fondés sur les données en ce qui concerne la gestion des risques liés à la cybersécurité, et ce, dans le but de protéger le bilan et d’optimiser le coût total des risques. Dans une étude de quantification, des scénarios personnalisés sont élaborés pour comprendre les répercussions commerciales d’un cyberincident. Il faut repérer les actifs technologiques essentiels à l’entreprise tout au long de la chaîne de valeur commerciale, y compris les fournisseurs clés et les fournisseurs de TI.
En quantifiant les cyberrisques, on précise l’incidence sur le bilan. Les entreprises peuvent ainsi investir plus consciemment dans la sécurité de l’information, les programmes de continuité des activités, les stratégies de transfert des risques et la cyberassurance.
Assurance
Pour gérer les cyberrisques comme risque d’entreprise, l’entreprise doit déterminer si elle possède une stratégie efficace qui tient compte des risques, y compris ceux liés à des tiers, afin d’atténuer les pertes financières potentielles. Il faut réunir les différents intervenants afin de gérer le risque à l’unisson, notamment le chef des placements, le responsable de la sécurité de l’information, le chef de la reprise après sinistre, l’avocat général, le trésorier, le gestionnaire de risques et le gestionnaire des ressources humaines. Si l’on adopte une approche globale axée sur l’entreprise, le processus de cyberassurance et de transfert de risques peut servir de passerelle pour réunir les principaux intervenants.
Une fois cette phase de préparation à la cyberrésilience entamée, les entreprises trouveront de multiples façons de transférer et de gérer les cyberrisques quantifiés. Le transfert d’une partie des cyberrisques au marché de la cyberassurance pourrait s’avérer la solution appropriée, mais il se peut qu’une autre stratégie de rétention des risques ou une stratégie d’autoassurance soient également justifiées.
Le marché de la cyberassurance s’est considérablement durci, car les réclamations ont augmenté de 336 % de 2019 à 2020, principalement en raison de l’augmentation des pertes liées aux rançongiciels[9]. Par conséquent, les acheteurs de cyberassurance subissent des augmentations de tarifs supérieures à 10 %, un resserrement des modalités et une réduction de la capacité dans toutes les catégories[10]. Les gestionnaires de risques doivent travailler en étroite collaboration avec leur courtier pour gérer au mieux leurs occasions de transfert des cyberrisques.
Préparation à l’intervention en cas d’incident
Se lancer dans la boucle des cyberrisques à l’étape de la préparation à l’intervention en cas d’incident peut être soit proactif, avec une planification et des tests préalables, soit réactif, lorsque l’intervention des professionnels est nécessaire de façon urgente pour trouver, contenir et atténuer un incident. Il est beaucoup plus avantageux de disposer d’un plan d’intervention en cas d’incident établi, répété et mis à l’épreuve pour que l’organisation soit bien adaptée et qu’elle prenne les mesures essentielles pour atténuer les pertes liées aux cyberrisques en cas d’attaque. Pour prendre ces décisions, il n’est pas recommandé d’attendre qu’une attaque ait eu lieu, lorsque le stress est élevé et que chaque minute compte.
Le fait de disposer d’une stratégie d’intervention en cas d’incident bien établie, englobant le personnel, les processus et la technologie, peut faire la différence entre gérer une crise et perdre le combat contre les auteurs de menaces. Les services de conseillers en analyse statistique des données et en intervention en cas d’incident doivent être retenus avant un incident et doivent être validés par votre assurance cyberrisques – en fait, votre assureur aura préapprouvé des professionnels d’intervention tiers dans des domaines comme l’expertise judiciaire en cas d’incident, les conseils juridiques, les communications en cas de crise et les négociations et le paiement de rançons.
[1] Sondage mondial sur la gestion du risque 2021 (en anglais)
[2] Statistiques sur les rançongiciels (en anglais)
[3] « Aperçu des erreurs, des omissions et de la cyberassurance pour 2021 : une vue précise des défis liés aux risques et aux assurances » (en anglais)
[4] [5] Rapport 2021 d’Aon sur les risques liés à la cybersécurité (en anglais)
[6] Boucle des cyberrisques : la gestion des cyberrisques exige une stratégie circulaire (en anglais)
[7] [8] Rapport 2021 d’Aon sur les risques liés à la cybersécurité (en anglais)
[9] Rapport 2021 d’Aon sur les risques liés à la cybersécurité (en anglais)
[10] Assurance erreurs et omissions d’Aon | Aperçu de la cyberassurance (en anglais)
À propos d’Aon : Aon plc (NYSE : AON) est le principal fournisseur mondial d’une vaste gamme de solutions pour la gestion du risque, des régimes de retraite et des programmes de santé. Nos 50 000 employés de 120 pays génèrent des résultats pour les clients grâce à des données et à des analyses exclusives produisant des points de vue permettant de réduire la volatilité et d’améliorer le rendement.
Ce document a été préparé à des fins d’information seulement et ne doit pas être considéré pour toute autre fin. Vous devez consulter vos propres conseillers juridiques et responsables des technologies et de la sécurité de l’information avant de mettre en œuvre toute recommandation ou orientation fournie dans les présentes.
Les services de cybersécurité sont offerts par Stroz Friedberg Inc. et ses sociétés affiliées. Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
© 2021 Aon plc. Tous droits réservés.