Mot de bienvenue
Les entreprises sortent de quatre années difficiles marquées par l’augmentation du nombre et de la gravité des cyber-menaces et des attaques par ransomware, suivies d’un marché de l’assurance caractérisé par une hausse des primes et des rétentions et un examen approfondi de la souscription. En travaillant avec nos clients, nous avons constaté que les dirigeants ont pris conscience que les cyber-événements pouvaient avoir un impact sur tous les domaines de leur activité. En conséquence, la cyber-résilience est un thème récurrent dans les discussions des conseils d’administration et la menace est enfin prise en compte dans une perspective de risque holistique.
Entre 2020 et 2022, les assureurs ont réagi à l’énormité du cyber-risque et à la nécessité d’assurer leur rentabilité.
Une plus grande rigueur de souscription a été introduite sur le marché de l’assurance Erreurs et Omissions (E&O) et des cyber-risques, ce qui a entraîné un examen plus approfondi des contrôles de sécurité, des directives plus rigides et une réévaluation du cyber-risque dans son ensemble.1 D’après les données rapportées par les clients d’Aon, les organisations ont réagi à cette rigueur accrue et ont commencé à se concentrer davantage sur l’amélioration de la maturité des risques dans les contrôles désignés comme critiques, ou alertes, par les assureurs.
Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques. Ce rapport s’appuie sur des données recueillies à l’échelle mondiale auprès de plus de 2 000 clients d’Aon dans différentes régions, secteurs d’activité et tranches de revenus, à partir du cyberquotient d’Aon (CyQu), une plateforme mondiale de soumission en ligne et d’évaluation des risques. Ces données CyQu sont complétées par les données de l’application complémentaire ransomware et de l’application complémentaire Technologie Opérationnelle d’Aon, qui offrent une visibilité accrue des contrôles de sécurité prioritaires pour les assureurs.2 Ces données des clients ont ensuite été superposées aux informations sur le marché des cyber-sinistres et enrichies de commentaires des équipes Cyber Advisory et Digital Forensic Incident Response d’Aon, ce qui nous permet de fournir un examen complet de la résilience et des cyber-risques dans le présent rapport. Les données CyQu contribuent à clarifier l’idée générale selon laquelle le marché de l’assurance est un moteur essentiel des contrôles acceptés qui déterminent la maturité acceptée en matière de cyber-sécurité. Les clients ont indiqué que la maturité et la préparation cyber se sont améliorées entre 2020 et 2022, réalisant un passage moyen mondial d’une cyber-maturité « de base » à une cyber-maturité « gérée ». En général, les entreprises ont pris des mesures pour renforcer les domaines de sécurité et les contrôles jugés essentiels par les assureurs, notamment en mettant davantage l’accent sur la gestion de l’accès et les stratégies d’authentification multifacteur (AMF). Corrélativement, nous avons constaté une baisse de 32 % des sinistres liés aux ransomware et une baisse de 14 % de la fréquence globale des sinistres liés à la cyber-assurance en 2022.3
En revanche, d’après les données, les organisations de tous les secteurs ont eu du mal à gérer les risques liés aux tiers, et aucun secteur n’a fait état d’un profil « géré ». Si ce résultat n’est pas surprenant, il tend à valider un argument de plus en plus répandu dans le secteur du cyber, à savoir que le risque introduit dans la chaîne d’approvisionnement d’une entreprise est complexe et que l’interconnexion croissante entre les piles technologiques accroît de manière exponentielle le risque pour les tiers. En raison de ce risque accru, illustré récemment par la violation de données d’une plateforme de livraison, nous nous attendons à ce que de nombreux assureurs se concentrent cette année sur l’exposition et l’impact des risques systémiques et corrélés.
Ces données préliminaires ne sont que la partie émergée des informations fournies dans ce rapport. Ce rapport est composé d’articles individuels. Des analyses sectorielles sont fournies pour les secteurs de la finance et de l’assurance, de la santé et de l’industrie manufacturière, et des points de vue régionaux seront publiés pour l’Amérique du Nord, la région EMEA, le Royaume-Uni, l’Amérique latine et l’Asie-Pacifique.
Naviguer vers la voie de la cyber-résilience et, en fin de compte, de la résilience des entreprises au global, est un défi important pour toute organisation. La résilience est un élément essentiel pour aider à minimiser les risques d’un point de vue financier, opérationnel et de réputation. Elle exige une vision holistique qui relie la gestion proactive des risques, la préparation de la réponse et les mécanismes de transfert des risques. En effet, le transfert de risque est un élément fondamental de la résilience et ne se limite pas seulement au placement d’assurance traditionnel. Les captives et les capitaux alternatifs sont des options viables à considérer pour la protection du bilan. Que vous soyez à la tête d’une entreprise du Fortune 100 ou que vous dirigiez une petite ou moyenne entité confrontée à des risques similaires, mais qui se sent mal desservie par le marché, ce rapport sera une ressource et un outil qui vous aidera à prendre de meilleures décisions en 2023 et même au-delà. La cyber-résilience est un voyage, qu’il vaut mieux parcourir en partenariat et en équipe.
Christian E. Hoffman
Aon Global Cyber Leader
Références
1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com)
2 Voir l’article «Méthodologie» dans le rapport 2023 d’Aon sur la cyber-résilience
3 Source : Risk Based Security, analyse d’Aon. Données en date du 03/01/2023