Mot de bienvenue de la direction

Les entreprises ont connu quatre années difficiles marquées par la hausse du nombre et de la gravité des cybermenaces et des attaques par rançongiciels, suivies d’un marché de la cyberassurance ponctué par une hausse des primes et des rétentions et un examen approfondi de la souscription. En travaillant avec les clients, nous avons constaté que les cadres supérieurs se sont soudainement rendu compte que les cyberincidents peuvent avoir des répercussions sur tous les aspects de leur entreprise. Par conséquent, l’atteinte de la cyberrésilience est un thème récurrent dans les discussions des conseils d’administration, et les cybermenaces sont enfin prises en compte dans une perspective de risque globale.

Entre 2020 et 2022, les assureurs ont réagi à l’énormité des cyberrisques et à la nécessité d’assurer la rentabilité.

Une plus grande rigueur de souscription sur le marché de la cyberassurance et de l’assurance responsabilité civile professionnelle a entraîné un examen plus approfondi des contrôles de sécurité, des lignes directrices plus rigides et une réévaluation globale des cyberrisques.1 À la lumière des données fournies par les clients d’Aon, les organisations ont réagi à cette rigueur accrue et ont commencé à se concentrer davantage sur l’amélioration de la maturité en matière de risque dans les contrôles désignés comme étant essentiels, ou des signaux d’alarme, par les assureurs.

Le rapport de cette année est un guide qui permet aux leaders de comparer la maturité de leur organisation en matière de gestion des risques à celle d’entreprises comparables et de prendre de meilleures décisions relativement à la gestion des cyberrisques dans le cadre de six thèmes de risque en vedette : cybersécurité, opérations, chaîne d’approvisionnement, initiés, réputation et systèmes. Le présent rapport se fonde sur des données recueillies à l’échelle mondiale auprès de plus de 2 000 clients d’Aon de toutes les régions, de tous les secteurs et de toutes les tranches de revenu au moyen de l’évaluation du cyberquotient (CyQu) d’Aon, une plateforme mondiale de soumission électronique et d’évaluation. Les données CyQu sont complétées par les résultats des évaluations complémentaires liées aux rançongiciels et aux technologies opérationnelles, offrant une visibilité accrue des contrôles de sécurité considérés comme prioritaires par les assureurs.2 Les résultats des clients ont ensuite été étoffés au moyen de renseignements sur le marché des réclamations de cyberassurance et enrichis des commentaires des équipes de conseils en matière de cybersécurité, d’expertise judiciaire numérique et d’intervention en cas d’incident d’Aon, ce qui nous a permis d’effectuer un examen complet de la cyberrésilience et des cyberrisques dans notre rapport. Les données CyQu aident à clarifier la compréhension générale selon laquelle le marché de l’assurance est un moteur essentiel des contrôles de maturité acceptés en matière de cybersécurité. Les clients ont indiqué que leur cybermaturité et leur état de préparation se sont améliorés, passant en moyenne du niveau « de base » au niveau « géré » entre 2020 et 2022, ce qui représente un virage mondial. En général, les entreprises ont pris des mesures pour renforcer les domaines et les contrôles de sécurité jugés essentiels par les assureurs, y compris un accent accru sur les stratégies de gestion des accès et d’authentification à facteurs multiples (AFM). Corrélativement, nous avons assisté à une baisse de 32 % des réclamations liées aux rançongiciels et de 14 % de la fréquence globale des réclamations de cyberassurance en 2022.3

En revanche, les données montrent que les organisations ont eu de la difficulté à gérer les risques liés aux tiers, aucun secteur n’affichant un profil « géré ». Bien que ce résultat ne soit pas surprenant, il tend à confirmer un thème de plus en plus répandu au sein du secteur de la cybersécurité, à savoir que le risque associé à la chaîne d’approvisionnement d’une entreprise est complexe, et que l’interconnexion accrue entre les piles technologiques fait augmenter de façon exponentielle les risques liés aux tiers. En raison de ce risque accru, illustré récemment dans le cas d’une atteinte à la protection des données d’une plateforme de transmission, nous nous attendons à ce que de nombreux assureurs se concentrent cette année sur l’exposition aux risques systémiques et corrélés ainsi que sur leur incidence.

Ces données préliminaires ne représentent qu’une petite partie des renseignements fournis dans le rapport. Le présent rapport est composé d’articles individuels. Des analyses sectorielles sont fournies pour les secteurs de la finance, de l’assurance, des soins de santé et de la production manufacturière, et des points de vue seront publiés pour l’Amérique du Nord, la zone EMOA, le Royaume-Uni, l’Amérique latine et l’Asie-Pacifique.

Naviguer sur la voie menant à la cyber-résilience et, à terme, à la résilience de l’entreprise, constitue un défi de taille pour toute organisation. La résilience est un élément essentiel pour aider à minimiser les risques d’un point de vue financier, opérationnel et de réputation. Cela nécessite une vision globale qui relie la gestion proactive des risques, la préparation de la réponse et les mécanismes de transfert des risques. Le transfert de risque est un élément fondamental de la résilience et ne se limite pas au seul placement d’assurance traditionnel. Les captives et les capitaux alternatifs sont des options viables à considérer pour la protection du bilan. Que vous dirigiez une entreprise Fortune 100 ou une petite ou moyenne entité confrontée à des risques similaires, mais vous sentant mal servi par le marché, j’espère que ce rapport sera une ressource et un outil pour vous aider à éclairer votre prise de décision pour 2023 et au-delà. La cyber-résilience est un voyage qu’il est préférable de parcourir en partenariat et grâce au travail d’équipe.

Christian E. Hoffman
Chef, Services des risques cybernétiques, à l’échelle mondiale

Ouvrages de référence

1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com) 

2 Voir l’article sur la ‘méthodologie‘ dans le Rapport 2023 d’Aon sur la cyberrésilience.

3 Sécurité fondée sur le risque, analyse par Aon. Données au 3 janvier 2023.

Passer à la section

1. Histoires CyQu
2. Thèmes clés de risques
3. Secteurs
4. Régions
5. Méthodologie en matière de données