S’engager sur la voie de la cybersécurité et de la résilience.

Rapport 2023 sur la cyberrésilience

Les entreprises de toutes tailles trouveront que ce rapport est une ressource et un outil qui les aideront à prendre des décisions éclairées en matière de cyberrisque en 2023 et au-delà. La cyberrésilience est un parcours qui repose sur le partenariat et le travail d’équipe.

En savoir plus

Mot de bienvenue de la direction

Les entreprises ont connu quatre années difficiles marquées par la hausse du nombre et de la gravité des cybermenaces et des attaques par rançongiciels, suivies d’un marché de la cyberassurance ponctué par une hausse des primes et des rétentions et un examen approfondi de la souscription. En travaillant avec les clients, nous avons constaté que les cadres supérieurs se sont soudainement rendu compte que les cyberincidents peuvent avoir des répercussions sur tous les aspects de leur entreprise. Par conséquent, l’atteinte de la cyberrésilience est un thème récurrent dans les discussions des conseils d’administration, et les cybermenaces sont enfin prises en compte dans une perspective de risque globale.

Entre 2020 et 2022, les assureurs ont réagi à l’énormité des cyberrisques et à la nécessité d’assurer la rentabilité.

Une plus grande rigueur de souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle a entraîné un examen plus approfondi des contrôles de sécurité, des lignes directrices plus rigides et une réévaluation globale des cyberrisques.1 À la lumière des données fournies par les clients d’Aon, les organisations ont réagi à cette rigueur accrue et ont commencé à se concentrer davantage sur l’amélioration de la maturité en matière de risque dans les contrôles désignés comme étant essentiels, ou des signaux d’alarme, par les assureurs.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque en vedette : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes. Le présent rapport se fonde sur des données recueillies à l’échelle mondiale auprès de plus de 2 000 clients d’Aon de toutes les régions, de tous les secteurs et de toutes les tranches de revenu au moyen de l’évaluation du cyberquotient (CyQu) d’Aon, une plateforme mondiale de soumission électronique et d’évaluation. Les données CyQu sont complétées par les résultats des évaluations complémentaires liées aux rançongiciels et aux technologies opérationnelles, offrant une visibilité accrue des contrôles de sécurité considérés comme prioritaires par les assureurs.2 Les résultats des clients ont ensuite été étoffés au moyen de renseignements sur le marché des réclamations de cyberassurance et enrichis des commentaires des équipes de conseils en matière de cybersécurité, d’expertise judiciaire numérique et d’intervention en cas d’incident d’Aon, ce qui nous a permis d’effectuer un examen complet de la cyberrésilience et des cyberrisques dans notre rapport. Les données CyQu aident à clarifier la compréhension générale selon laquelle le marché de l’assurance est un moteur essentiel des contrôles de maturité acceptés en matière de cybersécurité. Les clients ont indiqué que leur cybermaturité et leur état de préparation se sont améliorés, passant en moyenne du niveau « de base » au niveau « géré » entre 2020 et 2022, ce qui représente un virage mondial. En général, les entreprises ont pris des mesures pour renforcer les domaines et les contrôles de sécurité jugés essentiels par les assureurs, y compris un accent accru sur les stratégies de gestion des accès et d’authentification à facteurs multiples (AFM). Corrélativement, nous avons assisté à une baisse de 32 % des réclamations liées aux rançongiciels et de 14 % de la fréquence globale des réclamations de cyberassurance en 2022.3

En revanche, les données montrent que les organisations ont eu de la difficulté à gérer les risques liés aux tiers, aucun secteur n’affichant un profil « géré ». Bien que ce résultat ne soit pas surprenant, il tend à confirmer un thème de plus en plus répandu au sein du secteur de la cybersécurité, à savoir que le risque associé à la chaîne d’approvisionnement d’une entreprise est complexe, et que l’interconnexion accrue entre les piles technologiques fait augmenter de façon exponentielle les risques liés aux tiers. En raison de ce risque accru, illustré récemment dans le cas d’une atteinte à la protection des données d’une plateforme de transmission, nous nous attendons à ce que de nombreux assureurs se concentrent cette année sur l’exposition aux risques systémiques et corrélés ainsi que sur leur incidence.

Ces données préliminaires ne représentent qu’une petite partie des renseignements fournis dans le rapport. Le présent rapport est composé d’articles individuels. Des analyses sectorielles sont fournies pour les secteurs de la finance, de l’assurance, des soins de santé et de la production manufacturière, et des points de vue seront publiés pour l’Amérique du Nord, la zone EMOA, le Royaume-Uni, l’Amérique latine et l’Asie-Pacifique.

Naviguer sur la voie menant à la cyber-résilience et, à terme, à la résilience de l’entreprise, constitue un défi de taille pour toute organisation. La résilience est un élément essentiel pour aider à minimiser les risques d’un point de vue financier, opérationnel et de réputation. Cela nécessite une vision globale qui relie la gestion proactive des risques, la préparation de la réponse et les mécanismes de transfert des risques. Le transfert de risque est un élément fondamental de la résilience et ne se limite pas au seul placement d’assurance traditionnel. Les captives et les capitaux alternatifs sont des options viables à considérer pour la protection du bilan. Que vous dirigiez une entreprise Fortune 100 ou une petite ou moyenne entité confrontée à des risques similaires, mais vous sentant mal servi par le marché, j’espère que ce rapport sera une ressource et un outil pour vous aider à éclairer votre prise de décision pour 2023 et au-delà. La cyber-résilience est un voyage qu’il est préférable de parcourir en partenariat et grâce au travail d’équipe.

Christian E. Hoffman
Chef, Services des risques cybernétiques, à l’échelle mondiale

 

Ouvrages de référence

1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com) 

2 Voir l’article sur la ‘méthodologie‘ dans le Rapport 2023 d’Aon sur la cyberrésilience.

3 Sécurité fondée sur le risque, analyse par Aon. Données au 3 janvier 2023.

Notre parcours de cyberrésilience

L’histoire derrière l’évaluation du Cyber Quotient d’Aon (CyQu)

La cyberrésilience est un long parcours. Cet article explique comment CyQu a été repensé pour rationaliser le processus complexe de collecte d’informations de souscription d’année en année. En alignant un marché d’assureurs autour d’un processus unique de prise d’informations, CyQu encourage une plus grande efficacité, des décisions éclairées appuyées sur des données et une meilleure collaboration.

Pour en savoir plus

Gestion de la cybersécurité en six thèmes de risque.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.

Renforcement de la cyberrésilience dans tous les secteurs.

Les secteurs font souvent face à un environnement de risques complexes et interconnectés à l’échelle mondiale et les leaders doivent prendre des décisions qui exigent une analyse et une exécution rapides.

Finance et assurance

La sécurité des sauvegardes demeure un domaine de vulnérabilité pour le secteur. Des entreprises américaines ont fait état de lacunes dans près de 40 % des contrôles informatiques critiques. Ce domaine doit être au centre des préoccupations en 2023.

Soins de santé

Aucun autre secteur que celui des soins de santé ne prend des décisions en matière de sécurité qui pourraient avoir une incidence sur la sécurité et le bien-être des patients. Les clients du marché intermédiaire, des entreprises et du secteur mondial des soins de santé ont signalé une amélioration des profils contre le cyberrisque, la majorité passant de l’état « de base » à l’état « géré ».

Production manufacturière

Le profil global contre le cyberrisque des fabricants a connu une amélioration constante entre 2020 et 2022. Mais la résilience est encore un travail en cours, les fabricants américains manquant particulièrement de contrôles informatiques significatifs en matière de résilience des entreprises.

La cybermaturité par région

La cybermaturité des entreprises peut différer selon les régions. Apprenez-en davantage sur les manques ou absences, les défis et les opportunités, y compris les suggestions de mesures que les dirigeants peuvent prendre pour renforcer la cyberrésilience.

Rançongiciel résilience

Les attaques de rançongiciels sont à la hausse : Huit étapes pour accroître la résilience

Après plus d’une année de baisse de la fréquence des rançongiciels, les attaques ont augmenté au début de 2023. Les contrôles et les évaluations de souscription ont aidé à atténuer les attaques, mais une meilleure résilience est toujours nécessaire. Ces huit étapes peuvent contribuer à renforcer cette résilience.

En savoir plus

Two people collaborating over a single laptop by the bannister of the sixth floor.

Méthodologie en matière de données

Derrière les données : Méthodologie de recherche

Le rapport 2023 d’Aon sur la cyberrésilience repose sur des données exclusives de clients recueillies à partir de l’évaluation du cyberquotient (CyQu) d’Aon et des évaluations complémentaires d’Aon liées aux rançongiciels et aux technologies opérationnelles.

En savoir plus