La classification des données est une exigence du Code. Les données doivent être classées et protégées d’une manière proportionnelle à leur sensibilité, leur valeur et leur criticité. Malgré les directives de la BMA, la classification des données reste un défi, puisque seulement 75 % des entités terminent ce processus, ce qui est en deçà des attentes réglementaires. La gestion des risques tiers est un autre sujet de préoccupation, avec seulement 87 % des entités ayant procédé à des évaluations des risques en 2023. Les prestataires de services tiers doivent être soumis à des examens des risques par des tiers par l’entité. La surveillance des fonctions externalisées et l’inclusion de clauses contractuelles complètes avec les prestataires de services doivent être encore renforcées.
Les entités affichent des performances mitigées dans des domaines critiques tels que la prévention des pertes de données (DLP), les contrôles, les pratiques de chiffrement et les tests annuels des plans de continuité des activités et de reprise après sinistre. Les contrôles DLP sont mis en œuvre par 84 % des entités, tandis que la conformité aux tests de reprise après sinistre est tombée à 85 %. Les contrôles de sécurité du réseau, y compris l’analyse régulière des vulnérabilités et les tests d’intrusion, restent incohérents, soulignant la nécessité d’une approche plus rigoureuse. Tout nouveau service accessible sur Internet doit être soumis à un test d’intrusion avant d’entrer en production.
Les attaques de phishing et les mauvaises pratiques d’authentification sont identifiées comme des risques majeurs. Le rapport souligne l’importance d’adopter des contrôles tels que l’authentification à deux facteurs, des cadres de développement de logiciels sécurisés et une sécurité robuste de la chaîne d’approvisionnement pour les services tiers. Le Code exige également que les événements de cyber-signalement importants – ceux susceptibles de perturber les opérations commerciales ou de compromettre des données sensibles – soient signalés à la BMA dans les 72 heures suivant leur détermination ou leur confirmation. Les entités doivent soumettre un rapport d’incident détaillé dans les 14 jours, couvrant la cause profonde, les mesures prises et l’évaluation de l’impact. Lorsque la cause fondamentale n’est pas initialement connue, des rapports intermédiaires doivent être fournis, suivis d’un rapport final une fois l’enquête terminée. La BMA traite ces incidents avec la plus stricte confidentialité et utilise les données pour affiner les profils de risque des déclarants et du secteur au sens large.
Le rapport reconnaît que des améliorations ont été apportées, mais souligne la nécessité d’une gouvernance plus forte, d’une surveillance des risques liés aux tiers et de mesures proactives pour atténuer les cybermenaces émergentes. Il confirme l’engagement de la BMA à assurer une surveillance continue, à faire respecter le Code et à améliorer les processus de reporting pour aider le secteur à maintenir sa résilience face aux cyber-risques.
#prémunir #contre #tempête #numérique #cybersécurité #dans #lassurance #des #Bermudes