Rapport 2023 sur la cyberrésilience

Cela fait partie de l’article 16 de 17 Dans le présent rapport.

Perspective précédente Perspective suivante

August 01, 2023 / 5 minute(s) de lecture

Derrière les données : Méthodologie de recherche

Le présent rapport repose sur les indices d’évaluation du cyberquotient (CyQu) d’Aon recueillis auprès de 2 946 organisations clientes uniques d’Aon en Australie, au Canada, en Amérique latine, aux États-Unis, dans la zone EMOA et au Royaume-Uni, et est complété par des données d’évaluation supplémentaires recueillies auprès de 1,933 organisations clientes uniques d’Aon aux États-Unis et au Royaume-Uni.

Principaux points à retenir

L’évaluation autodéclarée CyQu d’Aon évalue le risque dans 35 contrôles essentiels dans neuf domaines de sécurité.
L’évaluation complémentaire liée aux rançongiciels cerne 33 lacunes potentielles dans les contrôles de sécurité essentiels qui peuvent limiter la couverture de cyberassurance ou déclencher un signal d’alarme.
Quant à elle, l’évaluation complémentaire liée aux technologies opérationnelles offre une meilleure visibilité sur 22 contrôles de sécurité des technologies opérationnelles considérés comme prioritaires par les assureurs.

Le rapport 2023 d’Aon sur la cyberrésilience repose sur des données exclusives de clients recueillies à partir de l’évaluation du cyberquotient (CyQu) d’Aon et des évaluations complémentaires d’Aon liées aux rançongiciels et aux technologies opérationnelles.

CyQu est une plateforme mondiale de soumission électronique et d’évaluation qui aide les organisations à mieux gérer les risques en offrant une visibilité des cyberrisques et des facteurs d’assurabilité. Elle comprend une méthodologie d’analyse en instance de brevet qui repose sur les normes ISO et le cadre du National Institute of Standards and Technology. Pour tenir compte des commentaires des souscripteurs de cyberassurance, le cadre est modifié régulièrement. Acceptés par tous les grands marchés américains, l’outil CyQu et les évaluations complémentaires contribuent à regrouper plus de 65 cyberassureurs autour d’un seul processus de soumission pour les clients.

L’outil d’auto-évaluation CyQu calcule le risque en fonction de 35 contrôles essentiels dans neuf domaines liés à la sécurité afin d’offrir une meilleure compréhension des risques les plus importants et de l’efficacité des contrôles d’une organisation.

Le rapport est fondé sur les évaluations CyQu de 2 946 organisations clientes d’Aon en Australie, au Canada, en Amérique latine, aux États-Unis, dans la zone EMOA et au Royaume-Uni. Tous les secteurs d’activité et toutes les catégories de revenus sont représentés. Les réponses des clients sont notées sur une échelle de 1 à 4 (4 étant la meilleure note). Pour dégager les tendances présentées dans le rapport, nous avons comparé les données CyQu de 2020 et de 2022.

Distribution sectorielle mondiale CyQu

*La catégorie « Autres secteurs » correspond aux réponses de clients qui appartiennent aux secteurs d’activité suivants : l’hébergement et les services alimentaires, l’agriculture, les arts, le divertissement et les loisirs, la gestion de sociétés et d’entreprises, l’administration publique, les services publics, les services de gestion des déchets, les services d’atténuation, l’administration et le soutien et le commerce de gros.

**La catégorie « Autres services » est choisie par le client

Distribution à l’échelle mondiale de segment de clientèle CyQu

Segments de revenus de clients :
À l’échelle mondiale : Plus de 5 G$
Entreprise : De 2 G$ À 5 G$
Marché intermédiaire : De 100 M$ à 2 G$
PME : Moins de100 M$

Distribution régionale

Amérique : États-Unis, Canada

Royaume-Uni et zone EMOA Autriche, Belgique, Danemark, Finlande, France, Allemagne, Irlande, Italie, Luxembourg, Pays-Bas, Norvège, Pologne, Portugal, Espagne, Suède, Suisse, Turquie, Royaume-Uni

Amérique latine : Argentine, Brésil, Chili, Colombie, Équateur, Mexique, Pérou, Porto Rico

Asie-Pacifique : Australie

Ces données sont complétées par des renseignements exclusifs tirés des évaluations complémentaires d’Aon liées aux rançongiciels et aux technologies opérationnelles. L’évaluation complémentaire liée aux rançongiciels d’Aon cerne 33 lacunes potentielles dans les contrôles de sécurité essentiels qui peuvent limiter la couverture de cyberassurance ou déclencher un signal d’alarme. Quant à elle, l’évaluation complémentaire liée aux technologies opérationnelles offre une meilleure visibilité sur 22 contrôles de sécurité des technologies opérationnelles considérés comme prioritaires par les assureurs. Le rapport est basé sur des évaluations complémentaires recueillies auprès de 1 933 organisations clientes d’Aon aux États-Unis et au Royaume-Uni, dans tous les secteurs d’activité et toutes les catégories de revenus. S’appuyant sur nos principaux contrôles de souscription et sur l’analyse des signaux d’alarme que nous avons élaborée à partir des données fournies par les courtiers et les souscripteurs, il montre comment les clients peuvent utiliser les données pour hiérarchiser leurs investissements en matière de sécurité. Pour dégager les tendances présentées dans le rapport, nous avons comparé les données de 2021 et de 2022 des évaluations complémentaires d’Aon liées aux rançongiciels et aux technologies opérationnelles.

Distribution sectorielle – Évaluation complémentaire liée aux rançongiciels aux États-Unis

**La catégorie « Autres services » est choisie par le client.

Distribution de segment de clientèle – Évaluation complémentaire liée aux rançongiciels aux États-Unis

Distribution sectorielle complémentaire liée aux technologies opérationnelles aux États-Unis

Distribution de segment de clientèle – Évaluation complémentaire liée aux rançongiciels dans la zone EMOA et au Royaume-Uni

Distribution sectorielle – Évaluation complémentaire liée aux rançongiciels dans la zone EMOA et au Royaume-Uni

**La catégorie « Autres services » est choisie par le client.

Équipe de méthodologie des données

Arshi Ahmed
Leader, Données et analyses, Solutions de risques cybernétiques d’Aon

Nancy Eaves
Vice-présidente principale, Cheffe de produit, Solutions de risques cybernétiques d’Aon

Annie Fishbain
Vice-présidente, Gestion de produit, Solutions de risques cybernétiques d’Aon.

Explore Our Cyber Offerings

Glossaire

Thèmes de risque et définitions des contrôles

Cyberrisque

Le cyberrisque est le risque de pertes financières, d’interruption des activités ou de dommages causés à une organisation par une défaillance de ses systèmes d’information ou de ses technologies opérationnelles. Mais le cyberrisque va bien au-delà de la technologie. Il s’agit, entre autres, d’un risque global et d’entreprise qui représente une menace financière, opérationnelle, humaine, réglementaire et même catastrophique pour toutes les organisations, peu importe leur taille ou leur secteur d’activité. Ainsi, la compréhension des facteurs opérationnels d’une organisation et des décisions quotidiennes connexes s’avère souvent être le lien essentiel pour gérer le parcours vers l’atteinte d’une cyberrésilience globale et durable.

L’évaluation du cyberquotient (CyQu) d’Aon donne un aperçu de la cybermaturité d’une organisation en fonction de 35 contrôles essentiels dans neuf domaines de sécurité.

Domaine	Définition
Sécurité des données	Gérer les mesures de protection pour protéger la confidentialité, l’intégrité et la disponibilité des renseignements.
Contrôle d’accès	Accorder aux utilisateurs autorisés le droit d’utiliser un service tout en empêchant l’accès aux utilisateurs non autorisés.
Sécurité des points terminaux et des systèmes	Assurer la prestation et l’administration des services d’infrastructure, de surveillance des systèmes, de protection des points terminaux, de gestion de la configuration, de gestion du stockage et d’exploitation des infrastructures.
Sécurité du réseau	Fournir des services d’infrastructure, y compris la défense de l’entreprise pour ce qui touche le réseau, l’informatique, la présence physique, l’infonuagique, la gestion du stockage et l’exploitation.
Sécurité physique	Protéger les installations, l’équipement, les ressources et le personnel contre l’accès non autorisé et les dommages.
Sécurité des applications	Protéger les applications des menaces en exigeant des mesures ou des vérifications à chaque étape du cycle de développement.
Tiers	Surveiller les relations avec les tiers pour s’assurer que les services fournis sont conformes aux politiques en vigueur en matière de sécurité.
Résilience de l’entreprise	Planification du maintien rapide et efficace des services essentiels à l’entreprise en cas de perturbation.
Télétravail	Permettre aux utilisateurs d’accéder aux systèmes et aux données de l’entreprise en toute sécurité afin qu’ils puissent s’acquitter de leurs rôles et responsabilités en dehors des environnements de travail de l’entreprise.

L’évaluation complémentaire liée aux rançongiciels d’Aon offre une visibilité sur les contrôles liés aux technologies de l’information (TI) d’une organisation afin d’évaluer sa vulnérabilité face à une attaque par rançongiciel.

Les « signaux d’alarme » associés aux rançongiciels se concentrent sur les lacunes en matière de contrôle basées sur les principales préoccupations techniques des souscripteurs.

Les principaux contrôles de souscription et les pondérations de risque d’Aon évoluent au même rythme que les risques. La liste ci-dessous présente une comparaison des contrôles d’une année à l’autre, mais n’est qu’un sous-ensemble des principales catégories de souscription et des signaux d’alarme qu’Aon aide les clients à prioriser aujourd’hui.

Technologies de l’information (TI)	Définition
Sécurité des sauvegardes	Capacités de sauvegarde des clients en ce qui concerne la robustesse, la fréquence, le lieu de stockage et la récupération.
Résilience de l’entreprise	Planification du maintien rapide et efficace des services essentiels à l’entreprise en cas de perturbation.
Sécurité du réseau et des données	Mesures prises pour protéger l’intégrité et la confidentialité du réseau et des données contre les attaques et les infiltrations.
Authentification à facteurs multiples (AFM)	Contrôles d’authentification pour l’accès à distance, les réseaux essentiels et les comptes d’accès privilégié avant l’accès aux données de l’organisation.
Contrôle d’accès	Accorder aux utilisateurs autorisés le droit d’utiliser un service tout en empêchant l’accès aux utilisateurs non autorisés.
Sécurité des points terminaux	Prestation et administration des services d’infrastructure, de surveillance des systèmes, de détection des terminaux, de gestion de la configuration, de gestion du stockage et d’opérations d’infrastructure.
Sécurité des courriels	Sécurité des courriels d’entreprise qui protège contre les attaques d’hameçonnage et empêche l’exfiltration des données.
Gestion des correctifs	Gestion des vulnérabilités par l’amélioration, la correction et la mise à jour des systèmes d’application.
Gestion des logiciels	Optimisation des licences de logiciels, des actifs matériels et de la plateforme infonuagique.
Technologies opérationnelles (TO)	Matériel et logiciels qui détectent ou provoquent un changement dans les processus ou événements physiques par la surveillance ou le contrôle direct des appareils physiques (p. ex., équipement industriel) au sein de l’entreprise.

Cette définition est tirée de la publication de Gartner intitulée Market Guide for Insider Risk Management Solutions

Le risque interne englobe les menaces malveillantes ou involontaires qui pèsent sur les comptes de confiance au sein de l’organisation. Ce risque est également accentué par les attaques menées par les États-nations et l’espionnage d’entreprise. La gestion des risques internes est axée sur les contrôles liés à la détection et à la réponse des points terminaux, à la surveillance des centres des opérations de sécurité, à la sécurité des données et à la formation de sensibilisation des utilisateurs.
Le risque lié à la chaîne d’approvisionnement comprend le risque continu et la vulnérabilité des organisations en ce qui a trait aux écosystèmes physiques et numériques des partenaires et à la chaîne d’approvisionnement. Les organisations évaluent les contrôles de la diligence à l’égard des tiers, l’harmonisation et l’examen des contrats conclus avec des tiers (ENS) ainsi que la gestion des stocks de systèmes d’application de tiers.

Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.

Équipe de méthodologie des données

Arshi Ahmed
Leader, Données et analyses, Solutions de risques cybernétiques d’Aon

Nancy Eaves
Vice-présidente principale, Cheffe de produit, Solutions de risques cybernétiques d’Aon

Annie Fishbain
Vice-présidente, Gestion de produit, Solutions de risques cybernétiques d’Aon.

Explore Our Cyber Offerings

Gestion de la cybersécurité en six thèmes de risque.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.

Étapes pour minimiser l’incidence des cyberattaques sur le risque systémique

La tâche de gérer le risque systémique a été propulsée en tête de liste des priorités du secteur de l’assurance, car d’importants cyberincidents ont sonné l’alarme, indiquant que le risque systémique est considérable et peut avoir une incidence généralisée.

Pour en savoir plus

Les cyberattaques contre les chaînes d’approvisionnement ont des répercussions considérables

Les cybermenaces ajoutent une couche de complexité aux risques liés à la chaîne d’approvisionnement. La gestion des risques liés aux tiers, qui est essentielle à la protection de l’organisation, a obtenu la note CyQu la plus basse des neuf domaines notés.

Pour en savoir plus

Élaborer un plan pour faire face aux risques d’atteinte à la réputation

Les cyberattaques peuvent nuire à la valeur des actions d’une entreprise. Ce ne sont pas toutes les entreprises cependant qui perdent de la valeur en raison d’une cyberattaque. Les recherches ont révélé que 17 entreprises ont connu une incidence moyenne sur la valeur de leurs actions qui est supérieure à celle du marché de +18 % après un événement, soit une incidence totale sur la valeur des actions de 445 G$ à la suite d’un incident.

Pour en savoir plus

Prenez ces mesures pour atténuer les risques opérationnels

Les assureurs ont accordé la priorité aux contrôles liés aux risques opérationnels en 2022 et les clients ont répondu. Bien que les atteintes à la sécurité des données par rançongiciel ont diminué pendant une courte période, il y a eu une hausse au premier trimestre de 2023 et les stratagèmes d’hameçonnage et d’hameçonnage ciblé présentent de grands risques.

Pour en savoir plus

Les cybermenaces internes constituent un risque croissant pour les entreprises

Les individus malveillants savent que les humains sont faillibles. En 2022, deux entreprises sur cinq ont signalé un manque de contrôles du centre des opérations de sécurité, ce qui a intensifié les risques internes.

Pour en savoir plus

Comment le cyberrisque touche presque tous les aspects du risque d’entreprise

Une plus grande rigueur de souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle a contribué à la croissance de la maturité en matière de cyberrisque dans tous les secteurs d’activité et toutes les tranches de revenus en 2022.

Pour en savoir plus

Derrière les données : Méthodologie de recherche

Équipe de méthodologie des données

Explore Our Cyber Offerings

Glossaire

Thèmes de risque et définitions des contrôles

Équipe de méthodologie des données

Explore Our Cyber Offerings

Gestion de la cybersécurité en six thèmes de risque.

Étapes pour minimiser l’incidence des cyberattaques sur le risque systémique

Les cyberattaques contre les chaînes d’approvisionnement ont des répercussions considérables

Élaborer un plan pour faire face aux risques d’atteinte à la réputation

Prenez ces mesures pour atténuer les risques opérationnels

Les cybermenaces internes constituent un risque croissant pour les entreprises

Comment le cyberrisque touche presque tous les aspects du risque d’entreprise

Parler à notre équipe