En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Un nouveau cadre pour évaluer les cyberattaques

Visibilité360, version PDF à partager

par Kate McCaffery | 20 novembre 2024 09:12

Un nouveau cadre complet pour évaluer les événements cybernétiques, publié par Lloyd’s et l’Association of British Insurers (ABI), est le fruit d’une collaboration entre réassureurs visant à établir une définition uniforme de ce qui constitue un événement cybernétique majeur. Ce cadre fournit une carte des aspects critiques à considérer. « Cette perspective holistique est essentielle pour saisir toute l’ampleur d’un événement cybernétique majeur », indiquent les auteurs.

Intitulé Components of a major cyber event: a (re)insurance approach, le document, élaboré par les membres et affiliés du groupe de travail sur la cybersécurité de Lloyd’s et de l’ABI, se veut une photographie d’un moment précis dans le cadre d’une conversation plus large et continue sur la gestion des risques cybernétiques, précisent-ils.

Renforcer la sensibilisation

« Ce document peut être utilisé pour renforcer la sensibilisation, l’éducation et le développement de l’appétit pour le risque et des solutions de réassurance dans la gestion du cyberrisque. Bien que les praticiens du risque cybernétique reconnaissent les composantes d’un événement cybernétique majeur, c’est la première fois que ces éléments sont rassemblés de manière holistique et sous l’égide de la réassurance », peut-on lire dans le rapport.

Les auteurs soulignent également que déterminer les responsabilités ou les causes d’un événement cybernétique majeur peut s’avérer complexe. « Pourtant, ces questions sont essentielles lors des évaluations des pertes », ajoutent-ils. Les auteurs avertissent que toutes les composantes typiques d’un événement cybernétique majeur ne s’appliquent pas à tous les scénarios modélisés.

Par ailleurs, ils notent que plus les scénarios et les variables sont détaillés, moins il est probable que l’événement exact se produise, ce qui pourrait « créer un faux sentiment de confiance ».

Stratégies d’atténuation des risques

Rachel Turk, directrice de la souscription chez Lloyd’s, affirme que la cybercriminalité est la catégorie d’affaires qui connaît la croissance la plus rapide pour le consortium. « La prolifération des menaces cybernétiques a rendu nécessaire le développement de stratégies de gestion des risques, en particulier pour définir ce qui constitue un événement cybernétique majeur », écrit-elle, ajoutant que cet effort est crucial pour quantifier les risques et développer des stratégies d’atténuation.

De son côté, Mervyn Skeet, directeur de la politique d’assurance générale de l’ABI, affirme que les entreprises font face à un manque de sensibilisation et de préparation en matière de cybersécurité, ainsi qu’à l’absence de bonnes pratiques standardisées et de ressources adaptées.

« Les défis sont considérables, mais c’est précisément là que notre industrie, en tant que chef de file de la compréhension des risques cybernétiques, a un rôle clé à jouer », indique-t-il. « L’ampleur de la menace est telle que certains événements pourraient surpasser les capacités de réponse de l’industrie. La lutte contre la cybercriminalité ne peut pas reposer uniquement sur l’assurance ; nous devons collaborer. »

Le rapport identifie les principales parties prenantes, les types d’activités (modélisation des risques, compréhension) que ce document peut soutenir et détaille ensuite les événements cybernétiques majeurs en sept éléments distincts pour analyse. « Les réassureurs et leurs partenaires peuvent utiliser cet ensemble de composantes pour analyser méthodiquement des pertes d’assurance réelles ou simulées, ce qui pourrait les aider à définir leur appétit pour le risque. »

Mesures de réponse et de reprise

Dans l’introduction du groupe de travail sur les cyberrisques, les auteurs indiquent que « les événements cybernétiques manquent souvent de point de départ, de fin ou de progression rationnelle claire, se propageant de manière imprévisible d’un système à l’autre. Les résultats de ces événements varient considérablement selon la qualité des mesures de défense, de réponse et de reprise en place, ainsi que selon les actions humaines dans ces systèmes conçus par l’homme. Malgré le risque croissant, dû à la dépendance mondiale envers la technologie, il n’existe pas de définition globale et exhaustive d’un événement cybernétique majeur ».

« Par conséquent, les composantes du risque cybernétique peuvent être abordées de manière isolée, sans bénéficier d’un contexte combiné et collectif tout au long de la chaîne de gestion des risques, ou sans comprendre leur relation avec les questions adjacentes. Cela complique les efforts de modélisation, de suivi et de transfert des risques », ajoutent-ils.

Les plus populaires en Dommages

Radiée trois ans pour avoir soumis 174 fausses réclamations à l’assureur collectif