Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X

RECHERCHES ET BULLETINS

Webémission : Étapes vers la résilience aux cyberrisques

 


Certaines entreprises ont déjà des plans et des processus en place pour gérer et atténuer l’évolution des cyberrisques, mais beaucoup ont encore un long chemin à parcourir avant d’atteindre la résilience aux cyberrisques, selon les panélistes de la webémission The New Reality of Risk® de Marsh.

Invités à classer les trois éléments les plus importants de leur stratégie de gestion des cyberrisques, près de la moitié des participants à la webémission ont sélectionné les plans d’intervention en cas d’incidents ainsi que la compréhension et la quantification des risques de perte d’exploitation liés au cyberespace. Par contre, seulement 29 % des répondants ont dit être convaincus que la planification de la gestion des cyberrisques de leur organisation les prépare pleinement à pouvoir faire face à une perte d’exploitation résultant d’un cyberévénement. Et moins de la moitié ont déclaré que la stratégie de leur organisation en matière de cyberrisques incluait des réglementations internationales sur la protection des données et des renseignements personnels.

La nature évolutive des cyberrisques met constamment les organisations au défi de suivre le rythme des risques. Ce fait a été souligné cette année dans les attaques de WannaCry et NotPetya, au cours desquelles de nombreuses organisations ont subi d’importantes pertes d’exploitation.

Les cyberattaques s’adaptent à l’évolution en matière d’utilisation des données par les organisations, a déclaré Steve Chabinsky, associé de White & Case LLP. « Nos réseaux et nos programmes de sécurité des réseaux sont de plus en plus complexes au fil du temps, et la complexité conduit toujours à une plus grande vulnérabilité », a-t-il indiqué. L’utilisation croissante des appareils de l’Internet des objets (IdO) crée également des vulnérabilités qui peuvent être exploitées par des attaquants, comme dans l’attaque de Mirai de 2016 au moyen d’un réseau d’objets connectés zombies.

Au même moment, le risque relatif à la confidentialité des données ne devrait pas être négligé, surtout alors que les organismes de réglementation continuent de renforcer les règles sur la protection des données, ont affirmé les panélistes de la webémission. Le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui entrera en vigueur en mai 2018, donne aux individus des droits accrus relativement à la protection de leurs renseignements personnels, y compris le « droit à l’oubli ». Les entreprises qui recueillent et utilisent des données — et les sous-traitants qui traitent les données — devront se conformer au RGPD, qui comprend une reddition de compte stricte et des conséquences financières pour les entreprises qui enfreignent le règlement.

Un récent sondage de Marsh a révélé que les deux tiers des organisations assujetties au RGPD affirment qu’elles se préparent aux nouvelles règles ou qu’elles s’y conforment déjà. Mais la préparation varie considérablement selon la taille de l’entreprise et d’autres facteurs.

Le mappage des données est l’une des façons dont les entreprises peuvent atteindre la résilience aux cyberrisques et respecter le RGPD et les autres réglementations clés. « Le mappage des données permet une analyse juridique significative des lois ou dispositions contractuelles applicables, et la meilleure façon de se conformer, a déclaré M. Chabinsky. La pratique exemplaire en matière de manipulation des données est de savoir ce que vous avez, l’utilisation que vous en faites et quelles sont les lois qui s’appliquent. »

En outre, les entreprises doivent examiner les cyberrisques de façon globale. « La cybersécurité ne se résume pas à une question technique : elle doit inclure la sécurité matérielle et la sécurité du personnel, a déclaré Jamie Saunders, consultante stratégique en cyberrisques, Marsh Évaluation des risques. Il est également essentiel de tenir pleinement compte de tous les fournisseurs tiers qui détiennent vos données ou des services desquels votre entreprise dépend. »

Les hauts dirigeants, y compris les conseils d’administration, devraient également être engagés dans la stratégie relative aux cyberrisques de leur organisation. « Trop de dirigeants d’entreprise ont été pris par surprise par l’ampleur de leur exposition au risque lié à la cybersécurité, et ont été surpris d’apprendre qu’ils étaient plus vulnérables qu’ils ne le croyaient, a déclaré Saunders. Les conseils devraient s’attendre à un niveau d’assurance correspondant à la gravité du risque. »

Et l’assurance devrait être considérée comme faisant partie de la stratégie relative aux cyberrisques. « Si nous examinons la cyberrésilience du point de vue du chef des services financiers ou du trésorier, elle implique la mise en œuvre de la bonne combinaison d’atténuation des cyberrisques, de quantification des risques et des stratégies de transfert de risques, a déclaré Bob Parisi, responsable des cyberproduits de Marsh. Le transfert de risques, au moyen d’une police commerciale ou d’une captive, fait partie intégrante de la cyberrésilience. »

Les assureurs gèrent la perte d’exploitation et les autres cyberrisques qui dépassent l’atteinte aux données et à la confidentialité, a indiqué M. Parisi. « Aujourd’hui, les souscripteurs en matière de cyberrisques n’incluent pas uniquement des souscripteurs d’assurance erreurs et omissions liées à la technologie, mais aussi du personnel ayant de l’expérience juridique, en sécurité des informations et même auprès du ministère de la Défense, a-t-il ajouté. Les assureurs ont également pris le temps de communiquer avec leurs collègues de l’assurance de biens et de dommages pour mieux comprendre la façon d’aborder et d’harmoniser les garanties. »

Écouter la rediffusion de la webémission.