Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 2 de 17 Dans le présent rapport.
August 01, 2023 / 5 minute(s) de lecture
Élaborer un plan pour faire face aux risques d’atteinte à la réputation
Les recherches sur la réputation d’Aon démontrent qu’une attaque majeure peut avoir une incidence à long terme sur le cours de l’action d’une entreprise, qu’elle soit négative ou positive.
Principaux points à retenir
- En moyenne, un cyberincident majeur a entraîné une diminution de 9 % de la valeur des actions* d’une entreprise dans l’année suivant l’événement.
- Les entreprises les moins bien protégées ont enregistré une incidence moyenne de -21 %*.
- 17 entreprises ont réussi à surmonter une cyberattaque, réalisant une augmentation de valeur moyenne de 18 % par rapport au marché.
*Supérieure au marché.
La nature intangible du risque d’atteinte à la réputation signifie qu’il s’agit de l’un des risques les plus difficiles à évaluer et à quantifier. Selon un sondage mondial semestriel d’Aon sur la gestion des risques, le risque d’atteinte à la réputation figure constamment parmi les cinq principales préoccupations depuis plus de 10 ans.1
Les organisations peuvent aborder le risque d’atteinte à la réputation de deux façons : elles peuvent le gérer de façon proactive ou elles peuvent réagir à un événement touchant la réputation seulement lorsqu’il survient. Une gestion réactive peut entraîner la perte de contrôle du récit de l’événement, exposant une organisation – et son évaluation – aux opinions mondiales par l’intermédiaire des canaux médiatiques.
Les crises de réputation incitent souvent les marchés financiers à réévaluer leurs prévisions de flux de trésorerie futurs, ce qui entraîne un ajustement de l’évaluation d’une entreprise. Le marché reçoit de nouveaux renseignements sur l’entreprise et sa direction en période de crise et se met généralement d’accord pour déterminer si l’incidence sur les flux de trésorerie futurs à long terme sera positive ou négative. L’élément central de cette évaluation est la prime de réputation, qui correspond à l’excédent de la capitalisation boursière sur la valeur comptable et la valeur de la marque de l’entreprise. Elle reflète la capacité de l’entreprise à générer des revenus que les investisseurs valorisent, mais qui n’est pas prise en compte dans la marque ou l’actif net.2
Lorsque la valeur actionnariale est affectée, la surveillance s’intensifie et des risques de responsabilité réglementaire et personnelle peuvent survenir pour les administrateurs et les dirigeants. L’ancien responsable de la sécurité des systèmes d’information (RSSI) d’une entreprise bien connue de mobilité des transports a été accusé et reconnu coupable par le gouvernement fédéral pour avoir dissimulé des paiements liés à une violation de données en 2016 au cours de laquelle les renseignements personnels de 57 millions d’utilisateurs ont été dérobés.3 Plus récemment, la Prudential Regulatory Authority du Royaume-Uni a infligé une amende à un ancien directeur d’une entreprise de technologie financière pour avoir enfreint les règles de conduite des cadres supérieurs.4
Au fur et à mesure que la spirale des conséquences d’une violation mal gérée s’aggrave, la confiance envers une entreprise peut diminuer et continuer à le faire. La confiance, ou l’état émotionnel du cerveau selon lequel une organisation est fiable et procure un sentiment de confiance et de sécurité, est au cœur de la prime de réputation. Une cyberattaque importante, si elle réussit, peut rapidement éroder la confiance du public, avoir un impact négatif sur le sentiment des clients, déprécier la valeur de la marque et affecter la prime de réputation d’une entreprise. Bien que l’événement lui-même puisse être limité dans le temps, les effets à long terme peuvent avoir une incidence sur une entreprise pendant beaucoup plus longtemps. Les organisations doivent gérer leur réputation comme tout autre actif essentiel. Les entreprises proactives qui planifient en prévision d’événements défavorables et qui communiquent de façon sincère pourraient constater que le marché peut non seulement pardonner, mais aussi récompenser celles qui adoptent des changements et y réagissent efficacement.
Constatations d’Aon : Risque d’atteinte à la réputation
Les recherches sur la réputation d’Aon2 mettent en lumière la gravité croissante des cyberattaques actuelles. Fait important, une cyberattaque majeure peut avoir une incidence à long terme sur le cours des actions d’une entreprise. Une analyse de 47 cyberincidents majeurs révèle qu’en moyenne, ces incidents ont entraîné une baisse de 9 % de la valeur actionnariale, en plus des effets du marché, dans l’année suivant l’événement. Cela se traduit par une incidence négative globale de 225 G$. Les entreprises les moins bien protégées (30) ont réalisé une incidence moyenne de -21 % supérieure à celle du marché, ce qui représente une perte de valeur totale de 670 G$.
Ce ne sont pas toutes les entreprises cependant qui perdent de la valeur en raison d’une cyberattaque. Certaines ont vu leur capital de réputation augmenter au cours de l’incident. Nos recherches ont déterminé que 17 entreprises avaient surmonté ces défis avec succès, enregistrant une augmentation moyenne de leur valeur de 18 % par rapport aux tendances du marché, ce qui a donné lieu à un gain de valeur combiné de 445 G$. Ces lauréates ont réagi rapidement et efficacement pour minimiser les dommages causés par l’incident et ont saisi l’occasion qui se présentait de contrôler le récit concernant la réputation et de minimiser les dommages à leur marque globale.
Cyberincidents
| Cyber | Quantité | Incidence sur la valeur finale ($) | Valeur finale (%) |
|---|---|---|---|
| Cumul | 47 | -228B | -6 |
| Gagnants | 17 | 437B | 19 |
| Perdants | 30 | -666B | -20 |
Les rançongiciels, qui sont généralement considérés comme une menace opérationnelle, peuvent également nuire considérablement à la réputation et avoir une incidence sur la valeur actionnariale. Lorsque nous comparons l’incidence des violations de données aux attaques de rançongiciel, notre étude à long terme de 12 incidents importants impliquant des rançongiciels montre qu’en moyenne, les attaques par rançongiciels ont eu une incidence inférieure de 12 % à celle des violations de données.
Cyberannées
| Violation de données | Quantité | Valeur finale ($) | Valeur finale (%) |
|---|---|---|---|
| 2010-2015 | 16 | -147B | -0.74 |
| 2016-2021 | 31 | -81B | -8.54 |
Dans l’ensemble, les cyberattaques sont plus dommageables aujourd’hui et notre recherche montre une augmentation perceptible de l’incidence sur la valeur des entreprises. L’incidence moyenne des 31 cyberattaques survenues entre 2016 et 2021 a été de 8 % inférieure à l’incidence moyenne des 16 cyberattaques survenues entre 2010 et 2015.
Types de cyberincidents
| Violation de données | Quantité | Valeur finale ($) | Valeur finale (%) |
|---|---|---|---|
| Violation de données | 31 | -356B | -5.73 |
| Rançongiciel | 12 | -93B | -12.32 |
La gestion des cyberrisques et la souscription d’une cyberassurance sont généralement perçues favorablement par les parties prenantes. Elles peuvent offrir une protection contre la volatilité financière et l’érosion de la valeur actionnariale (bénéfice par action), ainsi qu’aider à protéger les employés, les clients et les partenaires. Cinq caractéristiques du rétablissement de la valeur de la réputation peuvent aider les entreprises à atténuer le risque de répercussions sur leur réputation après une atteinte : la préparation, le leadership, la communication, l’action et le changement. Les entreprises doivent s’engager fermement dans la prévention et l’atténuation des cyberpertes en s’appuyant sur un solide plan de récupération ou d’intervention en cas d’incident. Un leadership fort et visible de la part du chef de la direction ainsi que des divulgations précises et bien coordonnées font partie du plan d’intervention critique. L’action doit être instantanée et globale. Et surtout, il faut des remords sincères et un engagement honnête en faveur d’un changement significatif.
Ouvrages de référence
Note de recherche : Les pourcentages d’incidence et les montants en dollars sont des chiffres modélisés dont nous avons éliminé les variations à l’échelle du marché.
1 “2021 Global Risk Management Report.” Aon. Report. 2021.
3 Former Chief Security Officer of Uber Convicted of Federal Charges for Covering Up Data Breach Involving Millions of Uber User Records. Bureau du procureur des États-Unis. Communiqués de presse. 5 octobre 2022.
4 Former CIO of TSB Bank Fined £81k by PRA over 2018 IT disruption. FinTech Futures. Article. 18 avril 2023.
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
Gestion de la cybersécurité en six thèmes de risque.
Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.
