April 30, 2025
Surfer sur la vague : la région EMEA approche de la maturité cyber
Points essentiels
- En 2024, les organisations se sont montrées plus engagées et résilientes, approchant la maturité dans les principaux domaines de risques cyber. Cependant, elles étaient moins bien préparées en matière de risques liés aux tiers et de résilience opérationnelle.
- Les attaques par ransomware ont été plus fréquentes, mais grâce à des contrôles informatiques renforcés, leur gravité a diminué. À l'échelle mondiale, le ratio paiement/montant de la demande a diminué à 28%.
- Le marché de l'assurance cyber n'a jamais été aussi accessible, notamment pour les entreprises de taille moyenne. L'arrivée de nouveaux entrants et l'afflux de nouveaux capitaux ont entraîné une baisse des prix et une grande marge de manœuvre pour les renouvellements.
Bien que des différences persistent entre les pays, l’Europe a progressé vers la maturité en matière de sécurité cyber en 2024. Le marché s’est éloigné des réglementations centrées sur les données pour privilégier la résilience et une attention accrue portée à la capacité des organisations à résister aux attaques et à s’en remettre, ainsi qu’à éviter les interruptions d’activité. Nous avons constaté une amélioration du déploiement efficace des contrôles de sécurité, notamment en matière de gestion et de reprise après les attaques par ransomware, une maturation du marché de l’assurance cyber, tant en termes de capacité de souscription que de couverture, et une meilleure compréhension de l’influence des cadres réglementaires sur la résilience.
Des événements cybers systémiques majeurs ont impacté l’Europe en 2024, et les tensions géopolitiques se sont intensifiées, entraînant volatilité et risques accrus. Le Service national de santé britannique a subi de multiples attaques tout au long de l’année, notamment l’attaque par ransomware de juin contre un prestataire de services de pathologie. Cette faille a entraîné l’annulation de rendez-vous et de procédures, ainsi que des perturbations dans les transfusions sanguines et les résultats des analyses.1 La panne de CrowdStrike en juillet 2024 a rappelé à point nommé la gravité potentielle des pertes liées à l’interconnexion des chaînes d’approvisionnement numériques. Cet incident a provoqué la panne de plus de 8,5 millions de systèmes, perturbant les opérations dans le monde entier pendant plusieurs jours et impactant les vols commerciaux, les hôpitaux et les services financiers.2
La volatilité a également donné naissance à des acteurs de type État-nation plus agressifs et pernicieux, qui interviennent directement ou par l’intermédiaire d’organismes auxiliaires. Les infrastructures critiques ont été une cible clé et, entre janvier 2023 et janvier 2024, elles ont subi plus de 420 millions d’attaques cyber, soit 13 attaques par seconde, avec des niveaux de gravité variables.3 Ces attaques ont eu lieu dans le monde entier, les États-Unis étant le pays le plus fréquemment ciblé, suivis du Royaume-Uni et de l’Allemagne.4 Alors que les États-Unis et la Chine se font concurrence sur le plan commercial, nous prévoyons une augmentation de l’espionnage de type commercial, qui aura probablement un impact sur l’Europe. De nombreux assureurs réagissent déjà à cette volatilité. Il existe un consensus croissant sur le marché selon lequel si une attaque est soutenue par un État et provoque des perturbations importantes ou majeures dans un pays, les pertes pourraient être exclues, à condition que ces perturbations soient d’une ampleur suffisante pour être non assurables.
Les contrôles techniques se renforcent mais les risques liés aux tiers augmentent.
Cette année a vu l’émergence d’une clientèle plus engagée et résiliente, les organisations ayant réalisé des progrès significatifs dans la mise en œuvre de contrôles techniques et le renforcement des domaines numériques. Les clients d’Aon en Europe ont enregistré un score de risque global Aon – un indicateur clé mesurant le niveau de préparation dans six domaines critiques de sécurité cyber – de 2,53 sur quatre. Les organisations ont obtenu les meilleurs résultats en matière de sécurité des terminaux, de sécurité réseau et de contrôle d’accès, tandis que, sans surprise, elles étaient les moins bien préparées à gérer les risques liés aux tiers et à renforcer la résilience de l’entreprise.e.
Domaines cyber | Données EMEA 2024
Score de risque global: 2.53
Score le plus élevé
|
2.80
Sécurité des terminaux
|
Protection des terminaux
2.99
Configuration sécurisée
2.80
Journalisation et surveillance
2.79
|
|
2.76
Sécurité réseau
|
Environnement réseau
2.85
Test d'intrusion
2.84
Sans fil
2.63
|
|
2.74
Contrôle d'accès
|
Configuration du mot de passe
2.89
MFA
2.77
Gestion des accès
2.65
|
Score de maturité des risques du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Score le plus bas
|
2.01
Envers les tiers
|
Diligence raisonnable
1.81
Contrats avec des tiers
2.04
Inventaire des tiers
2.75
|
|
2.12
Sécurité des applications
|
Formation
1.84
Gestion logicielle
2.08
Développement sécurisé
2.21
|
|
2.33
Résilience de l'entreprise
|
GCA/DR
2.15
Réponse aux incidents
2.35
Sauvegarde
2.54
|
Score de maturité des risques du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Les attaques par ransomware ont persisté en Europe en 2024. Si les mesures prises par les forces de l’ordre ces dernières années pour démanteler les groupes d’acteurs de la menace par ransomware ont déstabilisé le secteur, elles ont également donné naissance à des dizaines de groupes dissidents.
Principaux groupes de ransomware
| Groupe | Nombre de victimes publiées |
|---|---|
|
LockBit 3.0
|
404
|
|
RansomHub
|
387
|
|
Play
|
308
|
|
Akira
|
250
|
|
Hunters international
|
195
|
Face à l’augmentation de la fréquence des attaques par ransomware, les groupes d’attaque ont élargi leurs actions et ciblé les petites organisations. Cependant, la gravité des attaques a diminué, en partie grâce au renforcement des contrôles de sécurité cyber et à la préparation aux ransomware. À l’échelle mondiale, le ratio paiement/montant de la demande est passé de 41% en 2023 à 28%, et le montant moyen des paiements pour ransomware a diminué de 77%. Si cette baisse de gravité est prometteuse, l’augmentation de la fréquence des attaques par ransomware nécessite des conseils en matière de signalement et de consultation des notifications.
Le risque lié aux tiers, qui désigne le risque potentiel lié aux fournisseurs, vendeurs ou partenaires, continue de poser problème. Ce score constitue un appel à l’action pour de nombreuses entreprises. Les événements de 2024 mettent en évidence l’impact potentiel en aval d’une violation de données par un tiers. Les organisations ont également sous-performé dans la gestion de la résilience de l’entreprise, notamment en matière de sauvegardes, de réponse aux incidents et de gestion de la continuité des activités. Les attaques par hameçonnage et par ingénierie sociale ont augmenté d’un tiers en 2024, représentant près d’un cinquième des principaux vecteurs d’incident lorsqu’elles sont associées à l’usurpation d’identité et au piratage de comptes. La majorité des grands opérateurs de télécommunications, de services financiers et de commerce électronique étudiés ont constaté une augmentation globale des attaques frauduleuses, notamment des vols d’identité et des piratages de comptes. Par conséquent, nous nous attendons à ce que les organisations consacrent davantage de temps et d’efforts à la prévention de la fraude et à la mise en place de politiques et de procédures de résilience afin de protéger l’environnement global.
L’assurance et la réglementation en matière de sécurité cyber contribuent à la maturité
En 2024, les réglementations en matière de sécurité cyber ont exigé qu’un plus grand nombre d’organisations identifient, évaluent et atténuent leurs risques cyber. La directive de l’Union européenne sur la sécurité des réseaux et de l’information (NIS2) a étendu la réglementation à 18 secteurs, dont l’énergie, les transports, la santé, la finance et les infrastructures numériques, englobant à la fois les entités essentielles et importantes de ces secteurs. Elle a également appelé les États membres de l’UE à définir leurs stratégies nationales de sécurité cyber et à collaborer sur la réaction et l’application transfrontalières. Un autre texte législatif de l’UE, le Digital Operational Resilience Act (DORA), se concentre sur la sécurité cyber des institutions financières telles que les banques, les compagnies d’assurance et les sociétés d’investissement, s’efforçant de garantir que le secteur financier européen soit plus résilient en cas de perturbation opérationnelle grave.
En 2024, les organisations se sont conformées à la réglementation et ont également œuvré à la souscription et à l’assurance cyber, contribuant ainsi à la sécurité cyber. Parallèlement, les assureurs ont été confrontés à une concurrence accrue. Le marché européen de l’assurance n’a jamais été aussi accessible grâce à l’arrivée de nombreux nouveaux entrants et à l’afflux de nouveaux capitaux, ce qui a entraîné une baisse des prix, une plus grande marge de manœuvre et une plus grande ampleur pour les renouvellements et l’arrivée de nouveaux acheteurs.
Évolution des primes cyber par trimestre (2020-2025)
Variation moyenne d’une année sur l’autre (mêmes clients)
Tarification mensuelle Cyber, tous niveaux confondus
Variation moyenne annuelle (mêmes clients)
Un élargissement de la couverture a été observé dans des domaines inattendus, notamment le risque lié aux tiers. De nombreux agents généraux de gestion proposent désormais des solutions et des offres clés en main, telles que la recherche de menaces ou la détection et la réponse aux terminaux (EDR) avec une assurance cyber réactive substantielle, le tout dans une seule offre complète.
Face à la concurrence croissante, les assureurs innoveront davantage dans leurs produits et leurs couvertures. Concernant les incidents et les sinistres, ils devront gérer des sinistres plus complexes liés à la chaîne d’approvisionnement, faire face à une augmentation continue des notifications et procéder à des ajustements plus complexes en cas d’interruption d’activité.
Actions recommandées
- Réalisez une analyse basée sur les données de la situation de votre organisation face aux risques cyber. Renforcez la résilience de vos activités et de vos tiers.
- Effectuez une veille stratégique régulière et collaborer avec les pairs du secteur pour identifier les défis et les menaces spécifiques à chaque secteur. Œuvrez pour réduire la vulnérabilité à ces menaces.
- Souscrivez une police d’assurance cyber étendue qui prend en compte et couvre les risques liés à la chaîne d’approvisionnement. Utilisez les retours d’expérience du marché de l’assurance pour orienter votre planification en matière de sécurité cyber.
- Assurez-vous de disposer de contrôles rigoureux de sécurité et de gouvernance des données avant de déployer des technologies d’IA. Définissez clairement les cas d’utilisation de chaque déploiement d’IA et évaluez rigoureusement les risques associés afin de déterminer les stratégies d’atténuation appropriées.
- Élaborez des politiques d’utilisation de l’IA et traquez l’IA fantôme ou l’utilisation non autorisée d’outils et de technologies d’IA par les employés. Lancez une campagne interne de sensibilisation et de formation.
Références
[1] Update on Cyber Incident: Clinical impact in southeast London – Thursday 26 September 2024. NHS England. https://www.getronics.com/nhs-cyber-attack-2024/
[2] Raphael Yahalom. What the 2024 CrowdStrike Glitch Can Teach Us About Cyber Risk. Harvard Business Review. January 10, 2025.
[3] A growing geopolitical weapon. World Pipelines. Alfred Hamer. December 31, 2024. https://www.worldpipelines.com/
[4] ibid.
[5] Rapporto Clusit 2025. Sulla Cybersecurity in Italia e nel mondo. Clusit. https://www.cybertrends.it/rapporto-clusit-2025/
[6] Tackling evolving fraud threats. Experian, by Forrester Consulting. 2025. https://experianacademy.com/forrester-fraud-research-report-2024
[7] NIS2 Directive: new rules on cybersecurity of network and information systems. European Commission. January 15, 2025. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive#:~:text=The%20NIS2%20Directive%20establishes%20a,and%20cybersecurity%20education%20and%20awareness.
[8] Digital Operational Resilience Act (DORA). European Insurance and Occupational Pensions Authority. https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
Les renseignements et les énoncés contenus dans ce document sont de nature générale et ne visent pas la situation d’une personne ou d’une entité en particulier. Ils sont uniquement fournis à titre d’information. L’information ne remplace pas l’avis d’un conseiller juridique ou d’un professionnel en assurance cyber et ne doit pas être utilisée à cette fin. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.