Selon l'édition 2018 du Rapport sur les prévisions de cybersécurité réalisée par les spécialistes des solutions cybernétiques d'Aon, la menace croissante des cyberattaques sur tous les aspects de l'entreprise et sa croissance en termes de récurrence et de portée obligeront les entreprises à mettre en œuvre de nouvelles mesures pour faire face au cyber-risque "holistique", en les intégrant pleinement dans les politiques de gestion des risques.
Il Rapport sur les prévisions de cybersécurité 2018 indique quels seront les changements significatifs, dérivant précisément de l'augmentation de la taille et de l'impact des cyberattaques, associés à la plus grande responsabilité que les entreprises sont appelées à assumer dans le domaine de la cybersécurité.
Principaux faits saillants du « Rapport sur les prévisions de cybersécurité 2018 »:
- Les entreprises stipuleront des polices d'assurance « autonomes », puisque les conseils d'administration et les dirigeants prendront davantage conscience de leurs responsabilités également dans le domaine de la cybersécurité.
Alors que les membres du conseil d'administration et les dirigeants subissent de première main l'impact des cyberattaques, y compris par exemple la réduction des bénéfices, la perturbation des activités et les poursuites contre les administrateurs et les dirigeants, les entreprises auront de plus en plus recours à des polices d'assurance sur mesure contre les cyberrisques, plutôt que de s'appuyer sur des assurances silencieuses. composantes d'autres politiques. En outre, l'adoption de cyberpolitiques s'étendra bien au-delà des secteurs dans lesquels elles ont été traditionnellement élaborées - comme le commerce de détail, la finance et la santé - et impliquera d'autres secteurs vulnérables aux perturbations commerciales causées par des problèmes liés à la cybersécurité, comme la fabrication, le transport, les services publics et le pétrole.
- Les Chief Risk Officers joueront un rôle central dans la gestion du cyber-risque, qui sera de plus en plus traité comme un risque commercial à mesure que les mondes réel et numérique convergeront.
Alors que les cyberattaques avancées génèrent des conséquences réelles, avec un impact croissant sur les opérations commerciales, les cadres supérieurs seront plus conscients de la pertinence du cyber-risque. En 2018, les CRO devraient s'impliquer dans la gestion des cyber-problèmes, en étroite collaboration avec les responsables de la sécurité de l'information (CISO), pour aider les organisations à comprendre l'impact du cyber-risque sur les entreprises.
- L'attention des Autorités s'élargit à des dynamiques de plus en plus complexes, générant des demandes d'harmonisation. L'Union européenne demande aux entreprises internationales de signaler toute violation du règlement général sur la protection des données (RGPD) ; aux États-Unis, les agrégateurs de mégadonnées seront audités.
En 2018, les autorités aux niveaux international, national et local appliqueront plus strictement les réglementations existantes en matière de cybersécurité et augmenteront la pression sur les entreprises pour faire respecter les règles, en introduisant également de nouvelles. À l'avenir, les autorités européennes devraient tenir les grandes entreprises américaines et mondiales responsables des violations du RGPD. Outre-Atlantique, les entreprises du « big data » (qu'elles les collectent ou qu'elles les vendent) seront soumises à un contrôle sur la manière dont elles collectent, utilisent et protègent les données. Sous le poids des pressions réglementaires croissantes, les organisations du secteur demanderont aux autorités d'harmoniser diverses réglementations en matière de cybersécurité.
- Les pirates sont prêts à attaquer les entreprises actives sous leInternet des Objets (IoT), en particulier les petites et moyennes entreprises qui fournissent des services aux entreprises mondiales.
En 2018, les entreprises mondiales seront confrontées à des complexités accrues dans l'utilisation deInternet des Objets (IoT), relatives à la gestion des risques tiers. Le rapport prédit que les grandes entreprises seront touchées et mises au défi par des attaques dirigées contre leur petit fournisseur ou sous-traitant, qui cibleront l'IoT pour pénétrer leurs réseaux. Cela représentera un signal d'alarme, amenant d'une part les entreprises à revoir leur approche de la gestion des risques tiers et, d'autre part, cela poussera les petites et moyennes entreprises à mettre en place de meilleures mesures de sécurité, afin de ne pas subir des pertes commerciales.
- Le piratage continu des mots de passe et le contournement des systèmes de reconnaissance biométrique augmenteront l'importance des systèmes d'authentification multifacteur.
Au-delà des mots de passe, les entreprises introduisent de nouvelles méthodes d'authentification, de la reconnaissance faciale aux empreintes digitales. Cependant, ces technologies sont encore vulnérables et, pour cette raison, le rapport Aon prédit qu'une nouvelle vague d'entreprises adoptera l'authentification multifactorielle pour contrer l'assaut contre les mots de passe et les attaques contre les systèmes biométriques. Les personnes devront alors fournir plusieurs informations au dispositif d'authentification. Une utilisation croissante de la biométrie comportementale est donc attendue.
- Les pirates cibleront les transactions qui utilisent les points de fidélité comme monnaie, stimulant ainsi l'utilisation généralisée des programmes de "bug bounty", c'est-à-dire des programmes de récompense promus par des entreprises dédiées à toute personne qui traque et signale des vulnérabilités de systèmes ou d'appareils.
Les entreprises également en dehors des secteurs de la technologie, du gouvernement, de l'automobile et des services financiers introduiront des plates-formes de « bug bounty » dans leurs systèmes de sécurité. Alors que les criminels ciblent les transactions en utilisant les points de fidélité comme monnaie d'échange, les entreprises qui adoptent des programmes de fidélité offrant des récompenses et des récompenses - telles que les compagnies aériennes, les détaillants et les chaînes hôtelières - contribueront à la nouvelle vague d'adoption de programmes "bug bounty". Au fur et à mesure de l'adoption de ces programmes par de nouvelles entreprises, le soutien d'experts externes sera recherché, afin d'éviter l'émergence de nouveaux risques dus à une mauvaise configuration des programmes.
- Les attaques de rançongiciels deviendront plus ciblées ; les crypto-monnaies contribueront à l'expansion des ransomwares.
En 2018, les attaquants de ransomwares changeront de tactique. Le rapport indique que les pirates, utilisant diverses formes de logiciels malveillants « bénins » - tels que des logiciels conçus pour lancer des attaques DDoS (Distributed Denial of Service) - attaquent les serveurs de l'entreprise qui rendent les services, les données ou les ressources d'une entreprise indisponibles pendant une certaine période de temps. organisation) ou pour diffuser de la publicité sur des milliers de systèmes - provoquera des vagues massives d'attaques de ransomwares. Alors que les attaques de «tapis» visant à toucher autant de systèmes que possible se poursuivront, le rapport estime également une augmentation des attaques ciblées sur des entreprises spécifiques et visant à exiger des paiements de ransomware proportionnels à la valeur des actifs cryptés. Les crypto-monnaies continueront de soutenir le développement des ransomwares, malgré une capacité accrue des forces de l'ordre à suivre les attaques, par exemple via des portefeuilles bitcoin.
- Le « risque interne » menace les entreprises, qui sous-estiment leur vulnérabilité, tandis que les attaques majeures passent totalement inaperçues.
Les entreprises n'ont pas suffisamment investi dans des stratégies proactives pour atténuer les risques internes en 2017 et ce phénomène se répétera en 2018. Selon le rapport Aon, le manque de formation dans le domaine de la sécurité et des contrôles techniques, combiné aux nouvelles tendances de travail (travail intelligent, consultants externes, indépendants), signifiera que l'ampleur réelle des attaques et des problèmes informatiques causés par les travailleurs ne sera pas être dans le domaine public. De nombreuses entreprises continueront à répondre de manière réactive aux incidents « à huis clos » et ne seront pas conscientes du véritable coût et de l'impact du risque interne sur leur organisation.
Jason J. Hogg, PDG d'Aon Cyber Solutions il a déclaré: «En 2017, les cyber-attaquants ont créé des dégâts importants en utilisant différents leviers, de phishing qui ont influencé les campagnes électorales, aux « cryptoworms ransomware » qui ont infiltré les systèmes à l'échelle mondiale. En 2018, les entreprises seront de plus en plus exposées au risque cyber, compte tenu de l'utilisation accrue des technologies et de la valeur croissante des actifs incorporels. Il faudra donc adopter une approche intégrée de la cybersécurité, tant au sein de la culture d'entreprise que des politiques de gestion des risques, qui permette d'évaluer et d'atténuer les risques dans toutes les fonctions de l'entreprise ».
Enrico Vanin, PDG d'Aon SpA et d'Aon Hewitt Risk&Consulting il a commenté : « En Italie, la plupart des entreprises sont conscientes de l'impact des cyberattaques sur les affaires, mais il y a encore peu d'entreprises vertueuses qui ont déjà adopté des stratégies adéquates d'évaluation des risques et de transfert vers le marché de l'assurance. Le RGPD, qui entrera en vigueur en mai, avec ses implications sur la responsabilité en matière de protection des données, sera l'outil qui obligera dans une certaine mesure les entreprises à évaluer leur vulnérabilité et à définir l'adoption d'une politique partagée de gestion des risques cyber. D'autre part, le marché de l'assurance est appelé à répondre à de nouveaux besoins en développant de nouveaux produits et solutions ».
