S’engager sur la voie de la cybersécurité et de la résilience.

Rapport 2023 sur la cyberrésilience

Les entreprises de toutes tailles trouveront que ce rapport est une ressource et un outil qui les aideront à prendre des décisions éclairées en matière de cyberrisque en 2023 et au-delà. La cyberrésilience est un parcours qui repose sur le partenariat et le travail d’équipe.

En savoir plus

Mot de bienvenue de la direction

Les entreprises ont connu quatre années difficiles marquées par la hausse du nombre et de la gravité des cybermenaces et des attaques par rançongiciels, suivies d’un marché de la cyberassurance ponctué par une hausse des primes et des rétentions et un examen approfondi de la souscription. En travaillant avec les clients, nous avons constaté que les cadres supérieurs se sont soudainement rendu compte que les cyberincidents peuvent avoir des répercussions sur tous les aspects de leur entreprise. Par conséquent, l’atteinte de la cyberrésilience est un thème récurrent dans les discussions des conseils d’administration, et les cybermenaces sont enfin prises en compte dans une perspective de risque globale.

Entre 2020 et 2022, les assureurs ont réagi à l’énormité des cyberrisques et à la nécessité d’assurer la rentabilité.

Une plus grande rigueur de souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle a entraîné un examen plus approfondi des contrôles de sécurité, des lignes directrices plus rigides et une réévaluation globale des cyberrisques.1 À la lumière des données fournies par les clients d’Aon, les organisations ont réagi à cette rigueur accrue et ont commencé à se concentrer davantage sur l’amélioration de la maturité en matière de risque dans les contrôles désignés comme étant essentiels, ou des signaux d’alarme, par les assureurs.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque en vedette : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes. Le présent rapport se fonde sur des données recueillies à l’échelle mondiale auprès de plus de 2 000 clients d’Aon de toutes les régions, de tous les secteurs et de toutes les tranches de revenu au moyen de l’évaluation du cyberquotient (CyQu) d’Aon, une plateforme mondiale de soumission électronique et d’évaluation. Les données CyQu sont complétées par les résultats des évaluations complémentaires liées aux rançongiciels et aux technologies opérationnelles, offrant une visibilité accrue des contrôles de sécurité considérés comme prioritaires par les assureurs.2 Les résultats des clients ont ensuite été étoffés au moyen de renseignements sur le marché des réclamations de cyberassurance et enrichis des commentaires des équipes de conseils en matière de cybersécurité, d’expertise judiciaire numérique et d’intervention en cas d’incident d’Aon, ce qui nous a permis d’effectuer un examen complet de la cyberrésilience et des cyberrisques dans notre rapport. Les données CyQu aident à clarifier la compréhension générale selon laquelle le marché de l’assurance est un moteur essentiel des contrôles de maturité acceptés en matière de cybersécurité. Les clients ont indiqué que leur cybermaturité et leur état de préparation se sont améliorés, passant en moyenne du niveau « de base » au niveau « géré » entre 2020 et 2022, ce qui représente un virage mondial. En général, les entreprises ont pris des mesures pour renforcer les domaines et les contrôles de sécurité jugés essentiels par les assureurs, y compris un accent accru sur les stratégies de gestion des accès et d’authentification à facteurs multiples (AFM). Corrélativement, nous avons assisté à une baisse de 32 % des réclamations liées aux rançongiciels et de 14 % de la fréquence globale des réclamations de cyberassurance en 2022.3

En revanche, les données montrent que les organisations ont eu de la difficulté à gérer les risques liés aux tiers, aucun secteur n’affichant un profil « géré ». Bien que ce résultat ne soit pas surprenant, il tend à confirmer un thème de plus en plus répandu au sein du secteur de la cybersécurité, à savoir que le risque associé à la chaîne d’approvisionnement d’une entreprise est complexe, et que l’interconnexion accrue entre les piles technologiques fait augmenter de façon exponentielle les risques liés aux tiers. En raison de ce risque accru, illustré récemment dans le cas d’une atteinte à la protection des données d’une plateforme de transmission, nous nous attendons à ce que de nombreux assureurs se concentrent cette année sur l’exposition aux risques systémiques et corrélés ainsi que sur leur incidence.

Ces données préliminaires ne représentent qu’une petite partie des renseignements fournis dans le rapport. Le présent rapport est composé d’articles individuels. Des analyses sectorielles sont fournies pour les secteurs de la finance, de l’assurance, des soins de santé et de la production manufacturière, et des points de vue seront publiés pour l’Amérique du Nord, la zone EMOA, le Royaume-Uni, l’Amérique latine et l’Asie-Pacifique.

Naviguer sur la voie menant à la cyber-résilience et, à terme, à la résilience de l’entreprise, constitue un défi de taille pour toute organisation. La résilience est un élément essentiel pour aider à minimiser les risques d’un point de vue financier, opérationnel et de réputation. Cela nécessite une vision globale qui relie la gestion proactive des risques, la préparation de la réponse et les mécanismes de transfert des risques. Le transfert de risque est un élément fondamental de la résilience et ne se limite pas au seul placement d’assurance traditionnel. Les captives et les capitaux alternatifs sont des options viables à considérer pour la protection du bilan. Que vous dirigiez une entreprise Fortune 100 ou une petite ou moyenne entité confrontée à des risques similaires, mais vous sentant mal servi par le marché, j’espère que ce rapport sera une ressource et un outil pour vous aider à éclairer votre prise de décision pour 2023 et au-delà. La cyber-résilience est un voyage qu’il est préférable de parcourir en partenariat et grâce au travail d’équipe.

Christian E. Hoffman
Chef, Services des risques cybernétiques, à l’échelle mondiale

 

Ouvrages de référence

1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com) 

2 Voir l’article sur la ‘méthodologie‘ dans le Rapport 2023 d’Aon sur la cyberrésilience.

3 Sécurité fondée sur le risque, analyse par Aon. Données au 3 janvier 2023.

Passer à la section
  1. Histoires CyQu
  2. Thèmes clés de risques
  3. Secteurs
  4. Régions
  5. Méthodologie en matière de données

Notre parcours de cyberrésilience

L’histoire derrière l’évaluation du Cyber Quotient d’Aon (CyQu)

La cyberrésilience est un long parcours. Cet article explique comment CyQu a été repensé pour rationaliser le processus complexe de collecte d’informations de souscription d’année en année. En alignant un marché d’assureurs autour d’un processus unique de prise d’informations, CyQu encourage une plus grande efficacité, des décisions éclairées appuyées sur des données et une meilleure collaboration.

Pour en savoir plus

Gestion de la cybersécurité en six thèmes de risque.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.

Comment le cyberrisque touche presque tous les aspects du risque d’entreprise

Une plus grande rigueur de souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle a contribué à la croissance de la maturité en matière de cyberrisque dans tous les secteurs d’activité et toutes les tranches de revenus en 2022.

Pour en savoir plus
Les cybermenaces internes constituent un risque croissant pour les entreprises

Les individus malveillants savent que les humains sont faillibles. En 2022, deux entreprises sur cinq ont signalé un manque de contrôles du centre des opérations de sécurité, ce qui a intensifié les risques internes.

Pour en savoir plus
Prenez ces mesures pour atténuer les risques opérationnels

Les assureurs ont accordé la priorité aux contrôles liés aux risques opérationnels en 2022 et les clients ont répondu. Bien que les atteintes à la sécurité des données par rançongiciel ont diminué pendant une courte période, il y a eu une hausse au premier trimestre de 2023 et les stratagèmes d’hameçonnage et d’hameçonnage ciblé présentent de grands risques.

Pour en savoir plus
Élaborer un plan pour faire face aux risques d’atteinte à la réputation

Les cyberattaques peuvent nuire à la valeur des actions d’une entreprise. Ce ne sont pas toutes les entreprises cependant qui perdent de la valeur en raison d’une cyberattaque. Les recherches ont révélé que 17 entreprises ont connu une incidence moyenne sur la valeur de leurs actions qui est supérieure à celle du marché de +18 % après un événement, soit une incidence totale sur la valeur des actions de 445 G$ à la suite d’un incident.

Pour en savoir plus
Les cyberattaques contre les chaînes d’approvisionnement ont des répercussions considérables

Les cybermenaces ajoutent une couche de complexité aux risques liés à la chaîne d’approvisionnement. La gestion des risques liés aux tiers, qui est essentielle à la protection de l’organisation, a obtenu la note CyQu la plus basse des neuf domaines notés.

Pour en savoir plus
Étapes pour minimiser l’incidence des cyberattaques sur le risque systémique

La tâche de gérer le risque systémique a été propulsée en tête de liste des priorités du secteur de l’assurance, car d’importants cyberincidents ont sonné l’alarme, indiquant que le risque systémique est considérable et peut avoir une incidence généralisée.

Pour en savoir plus

Renforcement de la cyberrésilience dans tous les secteurs.

Les secteurs font souvent face à un environnement de risques complexes et interconnectés à l’échelle mondiale et les leaders doivent prendre des décisions qui exigent une analyse et une exécution rapides.

Finance et assurance

La sécurité des sauvegardes demeure un domaine de vulnérabilité pour le secteur. Des entreprises américaines ont fait état de lacunes dans près de 40 % des contrôles informatiques critiques. Ce domaine doit être au centre des préoccupations en 2023.

Pour en savoir plus

Soins de santé

Aucun autre secteur que celui des soins de santé ne prend des décisions en matière de sécurité qui pourraient avoir une incidence sur la sécurité et le bien-être des patients. Les clients du marché intermédiaire, des entreprises et du secteur mondial des soins de santé ont signalé une amélioration des profils contre le cyberrisque, la majorité passant de l’état « de base » à l’état « géré ».

Pour en savoir plus

Production manufacturière

Le profil global contre le cyberrisque des fabricants a connu une amélioration constante entre 2020 et 2022. Mais la résilience est encore un travail en cours, les fabricants américains manquant particulièrement de contrôles informatiques significatifs en matière de résilience des entreprises.

Pour en savoir plus

La cybermaturité par région

La cybermaturité des entreprises peut différer selon les régions. Apprenez-en davantage sur les manques ou absences, les défis et les opportunités, y compris les suggestions de mesures que les dirigeants peuvent prendre pour renforcer la cyberrésilience.

Europe, Moyen-Orient et Afrique : le progrès démontre l’évolution des mentalités

En 2022, les entreprises de la zone EMOA ont concentré leurs efforts sur l’amélioration de la sécurité des données et la protection des données organisationnelles, en partie en raison du conflit entre l’Ukraine et la Russie.

Pour en savoir plus
Asie-Pacifique : des menaces changeantes

Pour la première fois, les cyberrisques se sont taillé une place sur la liste des cinq principaux risques opérationnels de l’Asie-Pacifique. Les entreprises signalent une amélioration de leur niveau de cybermaturité, en particulier relativement à la gouvernance, à la protection des données et aux contrôles de la chaîne d’approvisionnement.

Pour en savoir plus
Amérique du Nord : La cyberrésilience progresse, mais
il y a encore des progrès à réaliser

Partout en Amérique du Nord, les organisations ont enregistré de nettes améliorations dans des domaines critiques de la cyberrésilience. Toutefois, il est possible de faire encore mieux dans des domaines clés comme la stratégie de sauvegarde et l’AFM, en particulier pour les petites et moyennes entreprises.

Pour en savoir plus
Amérique latine : trois points de contrôle critiques qui sont à risque

La cybermaturité globale des entreprises d’Amérique latine se rapproche de celle des entreprises de la zone EMOA et du Royaume-Uni, mais trois importantes lacunes ont été mises en évidence : la gestion des tiers, la résilience opérationnelle et la sécurité des applications.

Pour en savoir plus
UK: Des menaces changeantes

La conscience d’un risque n’est pas synonyme de préparation. Dans l’ensemble, la maturité des organisations du Royaume-Uni en matière de cyberrisques a légèrement diminué entre 2020 et 2022, certains domaines de sécurité s’en étant très bien tirés, tandis que d’autres ont reculé.

Pour en savoir plus

Rançongiciel résilience

Les attaques de rançongiciels sont à la hausse : Huit étapes pour accroître la résilience

Après plus d’une année de baisse de la fréquence des rançongiciels, les attaques ont augmenté au début de 2023. Les contrôles et les évaluations de souscription ont aidé à atténuer les attaques, mais une meilleure résilience est toujours nécessaire. Ces huit étapes peuvent contribuer à renforcer cette résilience.

En savoir plus

Two people collaborating over a single laptop by the bannister of the sixth floor.

Méthodologie en matière de données

Derrière les données : Méthodologie de recherche

Le rapport 2023 d’Aon sur la cyberrésilience repose sur des données exclusives de clients recueillies à partir de l’évaluation du cyberquotient (CyQu) d’Aon et des évaluations complémentaires d’Aon liées aux rançongiciels et aux technologies opérationnelles.

En savoir plus