Rapport 2023 sur la cyberrésilience

Cela fait partie de l’article 5 de 17 Dans le présent rapport.

August 01, 2023 / 4 minute(s) de lecture

Étapes pour minimiser l’incidence des cyberattaques sur le risque systémique

Étapes pour minimiser l’incidence des cyberattaques sur le risque systémique

Le risque systémique survient à l’interne et à l’externe pour une organisation et il représente un effet multiplicateur sur l’envergure et la portée d’un cyberincident.

Principaux points à retenir

  1. La tâche de gérer le risque systémique a été propulsée en tête de liste des priorités du secteur de l’assurance.
  2. Aon prévoit qu’une seule cyberattaque importante et réussie pourrait toucher jusqu’à 20 % des organisations dans le monde.
  3. La modélisation de cyberincidents extrêmes peut exposer le risque global et prédire la probabilité d’une attaque.

Les attaques de SolarWinds en 2020 et de Kronos en 2021 ont tiré la sonnette d’alarme en prouvant que le risque systémique est considérable. Des milliers d’entreprises de tous les secteurs ont été touchées lorsqu’une attaque par rançongiciel a compromis le nuage privé de Kronos. Ces répercussions étendues ont soulevé la question cruciale concernant la responsabilité de Kronos et des personnes responsables des pertes subies à la suite de cet incident.

Le risque systémique a une grande portée et provient principalement de deux sources : l’utilisation généralisée des technologies standards et la nature intégrée de nos économies mondiales. Les organismes de réglementation prudents sont préoccupés par les risques systémiques associés à l’agrégation et à l’accumulation.1 Le risque global survient lorsque l’ensemble d’un secteur dépend d’un nombre limité de fournisseurs de technologie, ce qui conduit à un scénario dans lequel une seule panne peut paralyser simultanément plusieurs entités. Par exemple, si une technologie critique devait cesser de fonctionner, de nombreuses banques qui comptent sur elle pourraient être paralysées. En revanche, le risque d’accumulation fait référence à des vulnérabilités systémiques communes en raison de l’adoption de technologies courantes dans un secteur. Un exemple serait les multiples banques exposées à la même vulnérabilité du jour zéro qui, si elle était exploitée, pourrait causer des dommages considérables.

Le risque systémique survient à l’interne et à l’externe pour une organisation et il représente un effet multiplicateur sur l’envergure et la portée d’un cyberincident. Cela signifie que les organisations individuelles peuvent subir des pertes financières importantes si les risques systémiques ne sont pas gérés efficacement.2 Il n’est donc pas surprenant que la tâche de gérer le risque systémique a été propulsée en tête de liste des priorités du secteur de l’assurance. À mesure que les cybermenaces évoluent, les modèles de quantification des risques et la planification de scénarios sont améliorés afin de déterminer avec précision le profil de risque d’une organisation. Cela détermine l’étendue de la couverture de cyberassurance nécessaire pour se protéger contre les pertes potentielles découlant de risques systémiques. Comme suivre la trajectoire d’une tempête, la modélisation de cyberincidents extrêmes peut exposer le risque global et prédire la probabilité d’une attaque. L’intelligence économique, y compris une carte détaillée de la gamme de technologies d’une organisation (la gamme des technologies internes et de celles des fournisseurs tiers), permettent de mieux comprendre le niveau de connectivité, le niveau de sophistication des acteurs de menace et la prise en compte des mécanismes de sécurité standards à la base des modèles de risque.

Les recherches menées par un groupe de pratique d’Aon concernant la cyberréassurance indiquent que l’incidence de l’attaque de NotPetya en 2017, qui est un excellent exemple d’un scénario d’accumulation, ne représente qu’une petite fraction de la dévastation potentielle qui pourrait être causée par des cyberattaques similaires, mais à plus grande échelle. Imaginez les conséquences potentielles : Aon prévoit qu’une seule cyberattaque importante et réussie pourrait toucher jusqu’à 20 % des organisations dans le monde. C’est une prévision qui donne froid dans le dos. Comme on pouvait s’y attendre, les assureurs réfléchissent davantage avant d’émettre des polices d’assurance et sont conscients de la possibilité de verser des indemnités à terme. Bien que le taux moyen de sinistres par secteur ait connu une légère baisse, passant de 67 % à 66 %, les trois quarts des 20 principaux assureurs ont vu leur taux de sinistres augmenter ou diminuer de plus de 5 %. En réponse à l’augmentation de la fréquence des réclamations au cours des années précédentes, les fournisseurs d’assurance ont commencé en 2022 à rendre obligatoires des contrôles de sécurité améliorés pour les entreprises assurées.3 En raison de l’augmentation de la fréquence des réclamations au cours des années précédentes, les fournisseurs d’assurance ont exigé des entreprises qu’elles améliorent leurs contrôles de sécurité en 2022. Les sociétés qui n’ont pas investi ni amélioré leur environnement de sécurité ont vu leurs clauses restrictives ou leur taux de refus augmenter.

Il existe davantage d’exclusions en matière de cyberrisques et le risque global entraîne un renforcement ou une souscription supplémentaire. La fréquence des sinistres continue de diminuer par rapport au sommet atteint en 2021, mais elle demeure plus élevée qu’en 2019. Fait préoccupant, la fréquence des attaques par rançongiciel a fortement augmenté de 49 % au premier trimestre 2023. Compte tenu de la fréquence accrue des réclamations et de l’environnement tarifaire sans précédent qui a émergé en 2022, nous prévoyons une croissance robuste du marché. Cela laisse entendre que la cyberassurance pourrait devenir un segment de produit très rentable au cours des prochaines années.4

75

%

Parmi les 20 principaux assureurs, le taux de sinistres a connu une hausse ou une baisse de plus de 5 %.

Ouvrages de référence

1 Systemic Cyber Risk. Comité européen du risque systémique (CERS). Report. Février 2020.

2 Cyber Risk Aggregation. DeNexus. Blog. 29 novembre 2021 https://blog.denexus.io/cyber-risk-aggregation | Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

3 2021 & 2022 Cyber Insurance Report by National Association of Insurance Commissioners (NAIC).

4 Buyer Friendly Cyber and E&O Market: How to Take Advantage | Aon

Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyberrisques et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.

75

%

Parmi les 20 principaux assureurs, le taux de sinistres a connu une hausse ou une baisse de plus de 5 %.

Gestion de la cybersécurité en six thèmes de risque.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes.

Les cyberattaques contre les chaînes d’approvisionnement ont des répercussions considérables

Les cybermenaces ajoutent une couche de complexité aux risques liés à la chaîne d’approvisionnement. La gestion des risques liés aux tiers, qui est essentielle à la protection de l’organisation, a obtenu la note CyQu la plus basse des neuf domaines notés.

Pour en savoir plus
Élaborer un plan pour faire face aux risques d’atteinte à la réputation

Les cyberattaques peuvent nuire à la valeur des actions d’une entreprise. Ce ne sont pas toutes les entreprises cependant qui perdent de la valeur en raison d’une cyberattaque. Les recherches ont révélé que 17 entreprises ont connu une incidence moyenne sur la valeur de leurs actions qui est supérieure à celle du marché de +18 % après un événement, soit une incidence totale sur la valeur des actions de 445 G$ à la suite d’un incident.

Pour en savoir plus
Prenez ces mesures pour atténuer les risques opérationnels

Les assureurs ont accordé la priorité aux contrôles liés aux risques opérationnels en 2022 et les clients ont répondu. Bien que les atteintes à la sécurité des données par rançongiciel ont diminué pendant une courte période, il y a eu une hausse au premier trimestre de 2023 et les stratagèmes d’hameçonnage et d’hameçonnage ciblé présentent de grands risques.

Pour en savoir plus
Les cybermenaces internes constituent un risque croissant pour les entreprises

Les individus malveillants savent que les humains sont faillibles. En 2022, deux entreprises sur cinq ont signalé un manque de contrôles du centre des opérations de sécurité, ce qui a intensifié les risques internes.

Pour en savoir plus
Comment le cyberrisque touche presque tous les aspects du risque d’entreprise

Une plus grande rigueur de souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle a contribué à la croissance de la maturité en matière de cyberrisque dans tous les secteurs d’activité et toutes les tranches de revenus en 2022.

Pour en savoir plus