Rapport 2023 sur la cyberrésilience
Cela fait partie de l’article 1 de 17 Dans le présent rapport.
August 01, 2023 / 4 minute(s) de lecture
Comment le cyberrisque touche presque tous les aspects du risque d’entreprise
La rigueur accrue de la souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle en 2021 et au premier semestre de 2022 a probablement influencé les progrès des clients en matière de cybermaturité.
Principaux points à retenir
- En moyenne, les organisations de tous les secteurs d’activité et de toutes les tranches de revenus ont amélioré leur cybermaturité, passant du niveau « de base » au niveau « géré ».
- Les cinq domaines suivants ont connu la plus forte amélioration : la sécurité des données, la sécurité des applications, le télétravail, le contrôle des accès et la sécurité des points terminaux et des systèmes.
- Les équipes doivent constamment évaluer l’état de préparation des organisations face aux menaces en constante évolution et fournir des preuves quantifiables de l’efficacité des contrôles actuels.
Selon le sondage mondial sur la gestion des risques de 2021 d’Aon, les cybermenaces devraient rester le premier risque mondial en 2024, devançant la COVID-19 et les ruptures de chaînes d’approvisionnement.1 L’importance du travail hybride à long terme, les attaques liées à la chaîne d’approvisionnement, l’instabilité géopolitique et la connectivité numérique ont continué à susciter une attention accrue aux cyberrisques dans les entreprises du monde entier.2 En outre, le resserrement des exigences imposées par les assureurs de 2020 à 2022 ont rendu plus difficile l’obtention d’une cyberpolice et ont renforcé la nécessité pour les entreprises de démontrer l’existence de contrôles de sécurité adéquats et l’efficacité qui en découle. Dans ce contexte de menace accrue et de souscription plus stricte, les organisations ne peuvent plus espérer disposer d’un capital de cyberassurance pour se prémunir contre la volatilité financière qui découle du cyberrisque.
Le cyberrisque peut être défini comme le risque de pertes financières, d’interruptions d’exploitation ou de dommages subis par une organisation en raison d’une défaillance de connexion à ses systèmes informatiques ou technologiques opérationnels. Mais le cyberrisque va bien au-delà de la technologie. Il s’agit, entre autres, d’un risque global et d’entreprise qui représente une menace financière, opérationnelle, humaine, réglementaire et même catastrophique pour toutes les organisations, peu importe leur taille ou leur secteur d’activité. Ainsi, la compréhension des facteurs opérationnels d’une organisation et des décisions quotidiennes connexes s’avère souvent être le lien essentiel pour gérer le parcours vers l’atteinte d’une cyberrésilience globale et durable.
Données CyQu : Rapport sur les clients d’Aon
Les données sur les clients de CyQu de 2022 nous indiquent qu’en moyenne, les organisations de tous les secteurs d’activité et de toutes les tranches de revenu ont amélioré leur cybermaturité, passant du niveau « de base » au niveau « géré ». La moyenne mondiale des indices de risque CyQu, qui a augmenté en 2022 par rapport à 2020, reflète cette croissance. La rigueur accrue de la souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle en 2021 et au premier semestre de 2022 a entraîné un examen plus approfondi des contrôles de sécurité, des lignes directrices plus rigides, une réévaluation des risques et une réduction subséquente de la capacité du marché, ce qui a probablement influé sur les progrès réalisés en matière de cybermaturité.
Des clients de tous les secteurs d’activité et de toutes les tranches de revenus ont indiqué que le budget consacré à la cybersécurité avait augmenté entre 2020 et 2022 et représentait une moyenne de 10 % du budget des technologies de l’information consacré à la sécurité.
Indices de domaine CyQu
| Domaine des indices CyQu | 2020 | 2022 | Modifier |
|---|---|---|---|
| Sécurité des points terminaux et des systèmes | 2.5 | 2.9 | +0.4 |
| Télétravail | 2.5 | 2.8 | +0.4 |
| Sécurité des applications | 1.9 | 2.3 | +0.4 |
| Sécurité du réseau | 2.7 | 3.0 | +0.3 |
| Contrôle d’accès | 2.5 | 2.8 | +0.3 |
| Sécurité des données | 2.3 | 2.6 | +0.3 |
| Résilience de l’entreprise | 2.2 | 2.5 | +0.3 |
| Sécurité physique | 2.6 | 2.8 | +0.2 |
| Tiers | 2.0 | 2.2 | +0.2 |
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Du point de vue des contrôles, les cinq domaines suivants ont fait l’objet des améliorations les plus significatives, notamment par l’augmentation des budgets : la sécurité des données, la sécurité des applications, le télétravail, le contrôle des accès et la sécurité des points terminaux et des systèmes.
Dans toutes les tranches de revenus, les clients des moyennes entreprises ont signalé les améliorations les plus importantes de la cybermaturité globale. En revanche, les organisations du segment mondial et des entreprises ont fait état d’améliorations, mais elles sont restées à un niveau de maturité « géré ». L’amélioration de la planification des interventions en cas d’incident, de la protection des données, de la consignation et de la surveillance des points terminaux, ainsi que de la vulnérabilité et de la surveillance du télétravail a été à l’origine de l’amélioration du profil de sécurité sur le marché des moyennes entreprises. Ces contrôles sont passés du niveau « de base » au niveau « géré » en 2022. Les données des clients montrent que les contrôles d’accès, les données, la sécurité, ainsi que la résilience de l’entreprise ont été les domaines d’amélioration pour la plupart des tranches de revenus. Parallèlement, les indices de risque liés à la diligence raisonnable à l’égard des contrats conclus avec des tiers et à la gestion des stocks sont demeurés stables.
Changements des indices de segment de clientèle CyQu
| Revenus annuels (groupe) | 2020 | 2022 | Modifier |
|---|---|---|---|
| À l’échelle mondiale | 2.8 | 2.9 | +0.1 |
| Entreprise | 2.6 | 2.9 | +0.3 |
| Marché intermédiaire | 2.4 | 2.7 | +0.3 |
| PME | 2.2 | 2.5 | +0.3 |
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
D’un point de vue sectoriel, tous les secteurs d’activité ont fait état d’une amélioration de leur indice global de risque CyQu. Les secteurs des soins de santé et de l’aide sociale, du commerce de détail et de l’immobilier ont fait état d’une amélioration considérable dans leur passage d’un profil de risque de sécurité « de base » à un profil « géré ».
Changements des indices de secteur CyQu
| Secteur d’activité | 2020 | 2022 | Modifier |
|---|---|---|---|
| Production manufacturière | 2.2 | 2.5 | +0.3 |
| Autres secteurs* | 2.3 | 2.5 | +0.2 |
| Autres services** | 2.3 | 2.7 | +0.4 |
| Information, logiciel et technologie | 2.6 | 2.9 | +0.3 |
| Finance et assurance | 2.7 | 2.9 | +0.2 |
| Soins de santé et aide sociale | 2.4 | 2.7 | +0.3 |
| Services professionnels, scientifiques et techniques | 2.6 | 2.9 | +0.3 |
| Commerce de détail | 2.3 | 2.6 | +0.3 |
| Transport et entreposage | 2.2 | 2.5 | +0.3 |
| Construction | 2.1 | 2.4 | +0.3 |
| Services éducatifs | 2.4 | 2.5 | +0.1 |
| Immobilier et location | 2.3 | 2.7 | +0.4 |
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
*La catégorie « Autres secteurs » correspond aux réponses de clients qui appartiennent aux secteurs d’activité suivants : l’hébergement et les services alimentaires, l’agriculture, les arts, le divertissement et les loisirs, la gestion de sociétés et d’entreprises, l’administration publique, les services publics, les services de gestion des déchets, les services d’atténuation, l’administration et le soutien et le commerce de gros.
**La catégorie « Autres services » est choisie par le client
L’augmentation la plus significative des indices de risque CyQu pour le secteur des soins de santé a été l’authentification à facteurs multiples (de 1,9 en 2020 à 2,6 en 2022) et la protection des données (de 2,4 en 2020 à 3,0). Le secteur a toutefois continué à faire état d’une évolution marginale des profils de risque liés aux tiers, à la gestion des logiciels et à la sécurité des applications. Dans le secteur du commerce de détail, 74 % des entreprises ont obtenu un indice supérieur à 2,5 pour la formation à la sensibilisation des utilisateurs, et plus de la moitié ont obtenu des indices similaires pour les capacités de journalisation et de surveillance, ce qui a permis d’améliorer le profil de risque global du secteur.
Dans le secteur de l’immobilier, l’évolution des indices dans le développement de la sécurité des applications (de 1,8 en 2021 à 2,5 en 2022), dans la gestion des logiciels (de 1,9 en 2021 contre 2,3 en 2022), dans la gestion des risques (de 1,9 en 2021 à 2,4 en 2022) et dans la sensibilisation des utilisateurs (de 2,5 en 2021 à 3,2 en 2022) a entraîné une amélioration globale du profil.
En résumé :
Il a toujours été difficile de naviguer dans ce contexte de risques tout en essayant de comprendre la corrélation entre les cyberrisques et les risques d’entreprise. La pression est forte non seulement pour bloquer les attaques en continu, corriger les systèmes vulnérables et comprendre les points de connexion à travers les piles technologiques hautement intégrées, mais aussi pour rester au fait des répercussions potentielles des menaces émergentes et des changements réglementaires. Il en résulte que les équipes chargées de la sécurité et de la technologie doivent constamment évaluer l’état de préparation de l’organisation face à l’évolution des menaces et fournir aux assureurs et au marché des preuves quantifiables de l’efficacité des contrôles actuels. Il est prudent de s’aligner sur les normes de contrôle des meilleures pratiques, telles que celles spécifiées par le National Institute of Standards and Technology (NIST) ou le Center for Internet Security (CIS). Les équipes responsables de la sécurité devraient évaluer régulièrement les contrôles afin de déterminer leur efficacité à l’échelle de la cybermaturité en matière de prévention et d’intervention.
Ouvrages de référence
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.
Gestion de la cybersécurité en six thèmes de risque.
Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.
