Naviguez vers la cyber-résilience et la résilience globale des entreprises.

Rapport 2023 sur la cyber-résilience

Quelle que soit la taille de votre entreprises, vous trouverez dans ce rapport une ressource et un outil qui vous aideront à prendre des décisions éclairées en matière de cyber-risques en 2023, et même au-delà. La cyber-résilience est un voyage, qu’il vaut mieux parcourir en partenariat et en équipe.

En savoir plus

Mot de bienvenue

Les entreprises sortent de quatre années difficiles marquées par l’augmentation du nombre et de la gravité des cyber-menaces et des attaques par ransomware, suivies d’un marché de l’assurance caractérisé par une hausse des primes et des rétentions et un examen approfondi de la souscription. En travaillant avec nos clients, nous avons constaté que les dirigeants ont pris conscience que les cyber-événements pouvaient avoir un impact sur tous les domaines de leur activité. En conséquence, la cyber-résilience est un thème récurrent dans les discussions des conseils d’administration et la menace est enfin prise en compte dans une perspective de risque holistique.

Entre 2020 et 2022, les assureurs ont réagi à l’énormité du cyber-risque et à la nécessité d’assurer leur rentabilité.

Une plus grande rigueur de souscription a été introduite sur le marché de l’assurance Erreurs et Omissions (E&O) et des cyber-risques, ce qui a entraîné un examen plus approfondi des contrôles de sécurité, des directives plus rigides et une réévaluation du cyber-risque dans son ensemble.1 D’après les données rapportées par les clients d’Aon, les organisations ont réagi à cette rigueur accrue et ont commencé à se concentrer davantage sur l’amélioration de la maturité des risques dans les contrôles désignés comme critiques, ou alertes, par les assureurs.

Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques. Ce rapport s’appuie sur des données recueillies à l’échelle mondiale auprès de plus de 2 000 clients d’Aon dans différentes régions, secteurs d’activité et tranches de revenus, à partir du cyberquotient d’Aon (CyQu), une plateforme mondiale de soumission en ligne et d’évaluation des risques. Ces données CyQu sont complétées par les données de l’application complémentaire ransomware et de l’application complémentaire Technologie Opérationnelle d’Aon, qui offrent une visibilité accrue des contrôles de sécurité prioritaires pour les assureurs.2 Ces données des clients ont ensuite été superposées aux informations sur le marché des cyber-sinistres et enrichies de commentaires des équipes Cyber Advisory et Digital Forensic Incident Response d’Aon, ce qui nous permet de fournir un examen complet de la résilience et des cyber-risques dans le présent rapport. Les données CyQu contribuent à clarifier l’idée générale selon laquelle le marché de l’assurance est un moteur essentiel des contrôles acceptés qui déterminent la maturité acceptée en matière de cyber-sécurité. Les clients ont indiqué que la maturité et la préparation cyber se sont améliorées entre 2020 et 2022, réalisant un passage moyen mondial d’une cyber-maturité « de base » à une cyber-maturité « gérée ». En général, les entreprises ont pris des mesures pour renforcer les domaines de sécurité et les contrôles jugés essentiels par les assureurs, notamment en mettant davantage l’accent sur la gestion de l’accès et les stratégies d’authentification multifacteur (AMF). Corrélativement, nous avons constaté une baisse de 32 % des sinistres liés aux ransomware et une baisse de 14 % de la fréquence globale des sinistres liés à la cyber-assurance en 2022.3

En revanche, d’après les données, les organisations de tous les secteurs ont eu du mal à gérer les risques liés aux tiers, et aucun secteur n’a fait état d’un profil « géré ». Si ce résultat n’est pas surprenant, il tend à valider un argument de plus en plus répandu dans le secteur du cyber, à savoir que le risque introduit dans la chaîne d’approvisionnement d’une entreprise est complexe et que l’interconnexion croissante entre les piles technologiques accroît de manière exponentielle le risque pour les tiers. En raison de ce risque accru, illustré récemment par la violation de données d’une plateforme de livraison, nous nous attendons à ce que de nombreux assureurs se concentrent cette année sur l’exposition et l’impact des risques systémiques et corrélés.

Ces données préliminaires ne sont que la partie émergée des informations fournies dans ce rapport. Ce rapport est composé d’articles individuels. Des analyses sectorielles sont fournies pour les secteurs de la finance et de l’assurance, de la santé et de l’industrie manufacturière, et des points de vue régionaux seront publiés pour l’Amérique du Nord, la région EMEA, le Royaume-Uni, l’Amérique latine et l’Asie-Pacifique.

Naviguer vers la voie de la cyber-résilience et, en fin de compte, de la résilience des entreprises au global, est un défi important pour toute organisation. La résilience est un élément essentiel pour aider à minimiser les risques d’un point de vue financier, opérationnel et de réputation. Elle exige une vision holistique qui relie la gestion proactive des risques, la préparation de la réponse et les mécanismes de transfert des risques. En effet, le transfert de risque est un élément fondamental de la résilience et ne se limite pas seulement au placement d’assurance traditionnel. Les captives et les capitaux alternatifs sont des options viables à considérer pour la protection du bilan. Que vous soyez à la tête d’une entreprise du Fortune 100 ou que vous dirigiez une petite ou moyenne entité confrontée à des risques similaires, mais qui se sent mal desservie par le marché, ce rapport sera une ressource et un outil qui vous aidera à prendre de meilleures décisions en 2023 et même au-delà. La cyber-résilience est un voyage, qu’il vaut mieux parcourir en partenariat et en équipe.

Christian E. Hoffman
Aon Global Cyber Leader

 

Références

1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com) 

2 Voir l’article «Méthodologie» dans le rapport 2023 d’Aon sur la cyber-résilience

3 Source : Risk Based Security, analyse d’Aon. Données en date du 03/01/2023

Aller à la section
  1. L’histoire du Cyber Quotient d’Aon (Cyqu)
  2. Principaux thèmes de risque
  3. Secteurs
  4. Régions
  5. Méthodologie des données

La gestion du cyber à travers six thèmes de risque.

Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques.

Comment le cyber-risque touche presque tous les aspects du risque d’entreprise

Une plus grande rigueur dans la souscription sur le marché de l'assurance Erreurs et Omissions (E&O) et des cyber-risques dans tous les secteurs d'activité et toutes les tranches de revenus en 2022.

En savoir plus
Les cyber-menaces internes constituent un risque croissant pour les entreprises.

Les acteurs malveillants savent que les humains sont faillibles. En 2022, deux entreprises sur cinq ont signalé un manque de contrôles au niveau du centre des opérations de sécurité (COS), ce qui intensifie le risque d’intrusion.

En savoir plus
Prendre des mesures pour atténuer les risques opérationnels

Les assureurs ont donné la priorité aux contrôles liés au risque opérationnel en 2022, et les clients ont réagi. Si les violations de données par ransomware ont diminué pendant une courte période, on a observé une hausse au premier trimestre 2023 et les systèmes de phishing (hameçonnage) et de spear phishing (hameçonnage ciblé) présentent un risque important.

En savoir plus
Élaborer un plan pour faire face aux risques de réputation

Les cyber-attaques peuvent nuire à la valeur actionnariale. Mais toutes les entreprises ne perdent pas de valeur à cause d’une attaque. L’étude a révélé que 17 entreprises ont réalisé un impact de valeur moyen de +18 %, supérieur à celui du marché, après l’événement, soit un impact total de 445 milliards de dollars à la suite d’un incident.

En savoir plus
Les cyber-attaques contre les chaînes d’approvisionnement ont un impact généralisé

Les cyber-menaces ajoutent une couche de complexité aux risques liés à la chaîne d’approvisionnement. La gestion des risques liés aux tiers, essentielle à la protection de l’organisation, a reçu le score le plus bas des neuf domaines évalués par le CyQu.

En savoir plus
Mesures visant à minimiser l’impact du cyber sur le risque systémique

La gestion du risque systémique est devenue une priorité pour le secteur de l’assurance, les cyber-événements ayant tiré la sonnette d’alarme : le risque systémique est considérable et peut avoir des conséquences étendues.

En savoir plus

Renforcer la cyber-résilience dans tous les secteurs d’activité.

Les secteurs sont souvent confrontés à un paysage complexe de risques interconnectés à l’échelle mondiale et les dirigeants doivent prendre des décisions qui exigent une analyse et une exécution rapides.

Finances et assurances

La sécurité des sauvegardes reste un domaine de vulnérabilité pour le secteur, et les entreprises américaines ont signalé des lacunes dans près de 40 % des contrôles informatiques critiques. Ce domaine doit faire l’objet d’une attention particulière en 2023.

En savoir plus

Santé

Aucun secteur ne doit prendre des décisions en matière de sécurité qui pourraient avoir un impact sur la sécurité et le bien-être des patients autant que le secteur de la santé. Les clients du marché intermédiaire, des entreprises et du secteur mondial de la santé ont fait état d’une amélioration de leur profil de cyber-risque, la majorité d’entre eux passant d’un profil « de base » à un profil « géré ».

En savoir plus

Industrie manufacturière

Les fabricants ont bénéficié d’une amélioration constante de leur profil de cyber-risque global entre 2020 et 2022. Mais la résilience est encore en cours de développement, les fabricants américains manquant particulièrement de contrôles informatiques significatifs en matière de résilience des entreprises.

En savoir plus

La cyber-maturité par région

La cyber-maturité globale des entreprises peut varier d’une région à une autre. Consultez nos articles pour en savoir plus sur les lacunes, les défis et les opportunités, ainsi que sur les mesures que les dirigeants peuvent prendre pour renforcer la cyber-résilience et la résilience de l’entreprise.

Amérique du Nord : Le niveau de cyber-résilience est en hausse, mais il reste une marge de progression

Les organisations nord-américaines ont enregistré des améliorations considérables dans des domaines essentiels de la cyber-résilience. Toutefois, il existe des possibilités d’amélioration dans des domaines clés tels que la stratégie de sauvegarde et l’authentification multifacteur, en particulier pour les petites et moyennes entreprises.

En savoir plus
Amérique latine : Atteindre la maturité

La cyber-maturité globale des entreprises latino-américaines est proche de celle des entreprises de la région EMEA et du Royaume-Uni, toutefois trois lacunes importantes ressortent : la gestion des tiers, la résilience des entreprises et la sécurité des applications.

En savoir plus
Asie-Pacifique : Evolution du paysage des menaces

Pour la première fois, le cyber figure dans la liste des cinq premiers risques d'entreprise de la région d'Asie-Pacifique. Les entreprises font état d'une amélioration de leurs niveaux de maturité en matière de cyber, l'accent étant mis sur la gouvernance, la protection des données et les contrôles de la chaîne d'approvisionnement.

En savoir plus
Europe, Moyen-Orient et Afrique : Les avancées témoignent d’un changement d’état d’esprit

Les entreprises de la région EMEA se sont concentrées sur l’amélioration de la sécurité des données et la protection des données d’entreprise en 2022, en partie en raison du conflit entre l’Ukraine et la Russie.

En savoir plus
UK : Evolution du paysage des menaces

Le fait d’être conscient de l’existence d’un risque ne signifie pas que l’on est prêt à y faire face. La maturité globale des organisations britanniques en matière de cyber-risques a légèrement diminué entre 2020 et 2022 : certains domaines de sécurité s’en tirent exceptionnellement bien tandis que d’autres ont régressé.

En savoir plus
Two people collaborating over a single laptop by the bannister of the sixth floor.

Méthodologie des données

Au-delà des données : Méthodologie de recherche

Le rapport 2024 sur la cyber-résilience est basé sur des données clients exclusives collectées à partir de l’évaluation du cyberquotient (CyQu) d’Aon, de l’application complémentaire Ransomware et de l’application complémentaire Technologie Opérationnelle d’Aon.

En savoir plus