Perspectives par secteur
Énergie, services publics et ressources naturelles
Le rôle de l’énergie dans les infrastructures essentielles et son poids financier en font une cible attrayante pour les États étrangers, l’espionnage économique et les cybermilitants. L’évolution numérique, la dépendance à l’égard de tiers et l’essor des dispositifs intelligents et des réseaux intelligents IdO font du secteur de l’énergie une cible attrayante.
Quelle est la situation du secteur de l’énergie, des services publics et des ressources naturelles?
2,4 (niveau de base)
Le cyberquotient (CyQu) moyen des organisations dans le secteur de l’énergie, des services publics et des ressources naturelles à l’échelle mondiale est de 2,4/4 (niveau de base).
Ce que cela signifie
Cette cote indique que la maturité en matière de cybersécurité se situe au niveau de base. Les technologies et les pratiques de gestion des risques liés à la cybersécurité de l’organisation ne sont pas officialisées et les risques sont gérés de façon ponctuelle et parfois réactive. Les technologies et les pratiques de gestion des risques ne sont pas établies à l’échelle de l’organisation.
Explorez les cyberrisques les plus pertinents pour les organisations du secteur de l’énergie, des services publics et des ressources naturelles et reliez-les aux principaux contrôles de cybersécurité afin de déterminer les mesures que votre organisation peut prendre pour combler ses lacunes en matière de cybersécurité.
Poursuivez votre lecture (+) pour en savoir plus
*Le cyberquotient (CyQu) d’Aon est une évaluation complète des cyberrisques permettant d’évaluer le cyberrisque dans neuf domaines critiques, répartis en 35 points de contrôle essentiels.
Reposant sur des données exclusives et des connaissances d’experts, explorez quatre thèmes clés en matière de risque qui retiennent l’attention des organisations du secteur de l’énergie, des services publics et des ressources naturelles à l’heure actuelle.
Poursuivez votre lecture pour en savoir plus
Composer avec l’exposition à de nouvelles menaces :
L’évolution rapide du numérique
Il existe un écart important entre les organisations de ce secteur. Bien que la majorité d’entre elles se situent au-dessus de l’indice mondial de référence, 24 % des organisations n’entreprennent aucune forme régulière de tests d’intrusion. À l’inverse, 27 % emploient des pratiques exemplaires et font régulièrement appel à des équipes de tests d’intrusion externes pour mettre à l’épreuve les environnements de contrôle.
Connaître vos partenaires :
Les risques liés à des tiers
Ce secteur semble détenir une bonne hygiène de base en matière de contrats conclus avec des tiers, avec le recours à des exigences minimales en matière d’assurance et à des accords sur les niveaux de service (ENS) prédéfinis en matière de cybersécurité. Cela dit, seulement 2 % des organisations imposent de tels contrôles pour tous les contrats, ce qui indique l’importance d’une évaluation rigoureuse des tiers et de contrôles hiérarchisés.
Mettre l’accent sur les contrôles :
Rançongiciels
Ce secteur est soumis à un nombre accru d’incidents portant sur le vol de données, l’espionnage et les fraudes liées à la facturation. Compte tenu de ces faits, il n’est pas surprenant que 21 % des organisations aient obtenu des résultats bien supérieurs à la moyenne mondiale des autres organisations du secteur en ce qui concerne l’intervention en cas d’incident. Toutefois, 41 % d’entre elles ont indiqué qu’elles avaient adopté une approche ponctuelle en matière d’intervention.
Perfectionner les principes de base :
La réglementation
Intégrer la gestion des cyberrisques à des cadres plus larges de gestion des risques est difficile pour de nombreuses organisations, 61 % d’entre elles ayant indiqué qu’elles n’avaient pas adopté les mesures de gouvernance, de gestion des risques ou de protection des données appropriées. La collaboration demeure faible avec d’autres fonctions de surveillance de la gestion des risques comme la vérification, la gestion du risque d’entreprise (GRE) et les fonctions juridiques, pour mesurer et gérer les cyberrisques. Cela a une incidence sur la capacité d’une organisation à prévoir la réglementation en matière de protection des renseignements personnels et à y répondre.