Connectons-nous

Parlez-nous de vous et de la manière dont nous pouvons aider votre entreprise à prendre de meilleures décisions.

Je suis intéressé par

Cyber-risque

À propos de vous

Prénom (Obligatoire)

Ce champ est obligatoire

Nom de famille (Obligatoire)

Ce champ est obligatoire

Intitulé du poste (Obligatoire)

Ce champ est obligatoire

Téléphone professionnel (Obligatoire)

Ce champ est obligatoire

Courriel professionnel (Obligatoire)

Ce champ est obligatoire

Localisation (Obligatoire)

Ce champ est obligatoire

À propos de votre entreprise

Organisation (Obligatoire)

Ce champ est obligatoire

Industry

Ce champ est obligatoire

Annual Revenue

Ce champ est obligatoire

Employee Headcount

Ce champ est obligatoire

Comment pouvons-nous vous aider ?

Comment pouvons-nous vous aider ? (Obligatoire)

Ce champ est obligatoire

En nous fournissant vos informations personnelles dans ce formulaire, vous acceptez qu’Aon et d’autres sociétés du groupe Aon utilisent vos informations personnelles pour vous contacter de temps en temps au sujet d’autres produits, services et événements susceptibles de vous intéresser. Toutes les informations personnelles sont collectées et utilisées conformément à notre Politique de confidentialité.

Cliquez ici pour gérer vos préférences en matière de communication.

Naviguez vers la cyber-résilience et la résilience globale des entreprises.

Rapport 2023 sur la cyber-résilience

Quelle que soit la taille de votre entreprises, vous trouverez dans ce rapport une ressource et un outil qui vous aideront à prendre des décisions éclairées en matière de cyber-risques en 2023, et même au-delà. La cyber-résilience est un voyage, qu’il vaut mieux parcourir en partenariat et en équipe.

Mot de bienvenue

Les entreprises sortent de quatre années difficiles marquées par l’augmentation du nombre et de la gravité des cyber-menaces et des attaques par ransomware, suivies d’un marché de l’assurance caractérisé par une hausse des primes et des rétentions et un examen approfondi de la souscription. En travaillant avec nos clients, nous avons constaté que les dirigeants ont pris conscience que les cyber-événements pouvaient avoir un impact sur tous les domaines de leur activité. En conséquence, la cyber-résilience est un thème récurrent dans les discussions des conseils d’administration et la menace est enfin prise en compte dans une perspective de risque holistique.

Entre 2020 et 2022, les assureurs ont réagi à l’énormité du cyber-risque et à la nécessité d’assurer leur rentabilité.

Une plus grande rigueur de souscription a été introduite sur le marché de l’assurance Erreurs et Omissions (E&O) et des cyber-risques, ce qui a entraîné un examen plus approfondi des contrôles de sécurité, des directives plus rigides et une réévaluation du cyber-risque dans son ensemble.1 D’après les données rapportées par les clients d’Aon, les organisations ont réagi à cette rigueur accrue et ont commencé à se concentrer davantage sur l’amélioration de la maturité des risques dans les contrôles désignés comme critiques, ou alertes, par les assureurs.

Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques. Ce rapport s’appuie sur des données recueillies à l’échelle mondiale auprès de plus de 2 000 clients d’Aon dans différentes régions, secteurs d’activité et tranches de revenus, à partir du cyberquotient d’Aon (CyQu), une plateforme mondiale de soumission en ligne et d’évaluation des risques. Ces données CyQu sont complétées par les données de l’application complémentaire ransomware et de l’application complémentaire Technologie Opérationnelle d’Aon, qui offrent une visibilité accrue des contrôles de sécurité prioritaires pour les assureurs.2 Ces données des clients ont ensuite été superposées aux informations sur le marché des cyber-sinistres et enrichies de commentaires des équipes Cyber Advisory et Digital Forensic Incident Response d’Aon, ce qui nous permet de fournir un examen complet de la résilience et des cyber-risques dans le présent rapport. Les données CyQu contribuent à clarifier l’idée générale selon laquelle le marché de l’assurance est un moteur essentiel des contrôles acceptés qui déterminent la maturité acceptée en matière de cyber-sécurité. Les clients ont indiqué que la maturité et la préparation cyber se sont améliorées entre 2020 et 2022, réalisant un passage moyen mondial d’une cyber-maturité « de base » à une cyber-maturité « gérée ». En général, les entreprises ont pris des mesures pour renforcer les domaines de sécurité et les contrôles jugés essentiels par les assureurs, notamment en mettant davantage l’accent sur la gestion de l’accès et les stratégies d’authentification multifacteur (AMF). Corrélativement, nous avons constaté une baisse de 32 % des sinistres liés aux ransomware et une baisse de 14 % de la fréquence globale des sinistres liés à la cyber-assurance en 2022.3

En revanche, d’après les données, les organisations de tous les secteurs ont eu du mal à gérer les risques liés aux tiers, et aucun secteur n’a fait état d’un profil « géré ». Si ce résultat n’est pas surprenant, il tend à valider un argument de plus en plus répandu dans le secteur du cyber, à savoir que le risque introduit dans la chaîne d’approvisionnement d’une entreprise est complexe et que l’interconnexion croissante entre les piles technologiques accroît de manière exponentielle le risque pour les tiers. En raison de ce risque accru, illustré récemment par la violation de données d’une plateforme de livraison, nous nous attendons à ce que de nombreux assureurs se concentrent cette année sur l’exposition et l’impact des risques systémiques et corrélés.

Ces données préliminaires ne sont que la partie émergée des informations fournies dans ce rapport. Ce rapport est composé d’articles individuels. Des analyses sectorielles sont fournies pour les secteurs de la finance et de l’assurance, de la santé et de l’industrie manufacturière, et des points de vue régionaux seront publiés pour l’Amérique du Nord, la région EMEA, le Royaume-Uni, l’Amérique latine et l’Asie-Pacifique.

Naviguer vers la voie de la cyber-résilience et, en fin de compte, de la résilience des entreprises au global, est un défi important pour toute organisation. La résilience est un élément essentiel pour aider à minimiser les risques d’un point de vue financier, opérationnel et de réputation. Elle exige une vision holistique qui relie la gestion proactive des risques, la préparation de la réponse et les mécanismes de transfert des risques. En effet, le transfert de risque est un élément fondamental de la résilience et ne se limite pas seulement au placement d’assurance traditionnel. Les captives et les capitaux alternatifs sont des options viables à considérer pour la protection du bilan. Que vous soyez à la tête d’une entreprise du Fortune 100 ou que vous dirigiez une petite ou moyenne entité confrontée à des risques similaires, mais qui se sent mal desservie par le marché, ce rapport sera une ressource et un outil qui vous aidera à prendre de meilleures décisions en 2023 et même au-delà. La cyber-résilience est un voyage, qu’il vaut mieux parcourir en partenariat et en équipe.

Christian E. Hoffman
Aon Global Cyber Leader

Références

1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com)

2 Voir l’article «Méthodologie» dans le rapport 2023 d’Aon sur la cyber-résilience

3 Source : Risk Based Security, analyse d’Aon. Données en date du 03/01/2023

Aller à la section

L’histoire du Cyber Quotient d’Aon (Cyqu)
Principaux thèmes de risque
Secteurs
Régions
Méthodologie des données

La gestion du cyber à travers six thèmes de risque.

Comment le cyber-risque touche presque tous les aspects du risque d’entreprise

Une plus grande rigueur dans la souscription sur le marché de l'assurance Erreurs et Omissions (E&O) et des cyber-risques dans tous les secteurs d'activité et toutes les tranches de revenus en 2022.

Les cyber-menaces internes constituent un risque croissant pour les entreprises.

Les acteurs malveillants savent que les humains sont faillibles. En 2022, deux entreprises sur cinq ont signalé un manque de contrôles au niveau du centre des opérations de sécurité (COS), ce qui intensifie le risque d’intrusion.

Prendre des mesures pour atténuer les risques opérationnels

Les assureurs ont donné la priorité aux contrôles liés au risque opérationnel en 2022, et les clients ont réagi. Si les violations de données par ransomware ont diminué pendant une courte période, on a observé une hausse au premier trimestre 2023 et les systèmes de phishing (hameçonnage) et de spear phishing (hameçonnage ciblé) présentent un risque important.

Élaborer un plan pour faire face aux risques de réputation

Les cyber-attaques peuvent nuire à la valeur actionnariale. Mais toutes les entreprises ne perdent pas de valeur à cause d’une attaque. L’étude a révélé que 17 entreprises ont réalisé un impact de valeur moyen de +18 %, supérieur à celui du marché, après l’événement, soit un impact total de 445 milliards de dollars à la suite d’un incident.

Les cyber-attaques contre les chaînes d’approvisionnement ont un impact généralisé

Les cyber-menaces ajoutent une couche de complexité aux risques liés à la chaîne d’approvisionnement. La gestion des risques liés aux tiers, essentielle à la protection de l’organisation, a reçu le score le plus bas des neuf domaines évalués par le CyQu.

Mesures visant à minimiser l’impact du cyber sur le risque systémique

La gestion du risque systémique est devenue une priorité pour le secteur de l’assurance, les cyber-événements ayant tiré la sonnette d’alarme : le risque systémique est considérable et peut avoir des conséquences étendues.

Glossaire

Thèmes de risque et définitions des contrôles

Cyber-risque

Le cyber-risque est le risque de perte financière, d’interruption d’activité ou de dommages causés à une organisation par une défaillance liée à ses systèmes d’information ou de technologie opérationnelle. Mais le cyber-risque va bien au-delà de la technologie. Le cyber constitue, entre autres, un risque holistique et d’entreprise qui représente une menace financière, opérationnelle, humaine, réglementaire, voire catastrophique, pour toutes les organisations, indépendamment de leur taille ou de leur secteur d’activité. Ainsi, la compréhension des moteurs de l’activité d’une organisation et des décisions quotidiennes qui s’y rapportent s’avère souvent être le lien critique pour gérer le parcours vers une cyber-résilience holistique et durable.

Le cyberquotient Evaluation (CyQu) d’Aon donne un aperçu de la cyber-maturité d’une organisation à travers 35 contrôles critiques dans neuf domaines de sécurité.

Domaine	Définition
Sécurité des données	Gère les sauvegardes pour protéger la confidentialité, l’intégrité et la disponibilité des informations.
Contrôle des accès	Accorde aux utilisateurs autorisés le droit d’utiliser un service tout en empêchant les utilisateurs non autorisés d’y accéder.
Sécurité des systèmes et des points de terminaison	Fourniture et administration de services d’infrastructure, surveillance des systèmes, protection des points de terminaison, gestion de la configuration, gestion du stockage, opérations d’infrastructure.
Sécurité des réseaux	Fournit des services d’infrastructure, y compris la défense de l’entreprise pour le réseau, les ordinateurs, la présence physique, le cloud, la gestion du stockage et les opérations.
Sécurité physique	Protège les installations, les équipements, les ressources et le personnel contre tout accès, dommage ou préjudice non autorisé.
Sécurité des applications	Protège les applications contre les menaces en exigeant des mesures ou des contrôles à chaque étape du cycle de développement de l’application.
Tiers	Contrôle les relations avec les tiers afin de s’assurer que les services fournis respectent les politiques de sécurité définies.
Résilience des entreprises	Permet la poursuite rapide et efficace des services essentiels à l’entreprise en cas de perturbation.
Travail à distance	Permet aux utilisateurs d’accéder en toute sécurité aux systèmes et aux données de l’entreprise afin de s’acquitter de leur rôle et de leurs responsabilités lorsqu’ils se trouvent en dehors de l’environnement de travail de l’entreprise.

L’application complémentaire Ransomware d’Aon offre une visibilité sur les contrôles des technologies de l’information (TI) d’une organisation afin d’évaluer la vulnérabilité d’une attaque par rançongiciel.

Les alertes au rançongiciel se concentrent sur les lacunes de contrôle basées sur les principales préoccupations techniques de souscription.

Les risques continuent d’évoluer, tout comme les principaux contrôles de souscription et les pondérations de risque d’Aon. La liste ci-dessous reflète une comparaison de contrôle d’une année sur l’autre, mais n’est qu’un sous-ensemble des principales catégories de souscription et des signaux d’alerte qu’Aon aide ses clients à classer par ordre de priorité aujourd’hui.

Technologie de l’information (TI)	Définition
Sécurité des sauvegardes	Les capacités de sauvegarde des clients en ce qui concerne la robustesse, la fréquence, le lieu de stockage et la récupération.
Résilience des entreprises	Permet la poursuite rapide et efficace des services essentiels à l’entreprise en cas de perturbation.
Sécurité des réseaux et des données	Mesures prises pour protéger l’intégrité et la confidentialité du réseau et des données contre les attaques et les infiltrations.
Authentification multifacteur (AMF)	Contrôle l’authentification pour l’accès à distance, les réseaux critiques et les comptes d’accès privilégiés avant d’accéder aux données de l’organisation.
Contrôle des accès	Accorde aux utilisateurs autorisés le droit d’utiliser un service tout en empêchant les utilisateurs non autorisés d’y accéder.
Sécurité des points de terminaison	Fourniture et administration de services d’infrastructure, surveillance des systèmes, détection des points de terminaison, gestion de la configuration, gestion du stockage et opérations d’infrastructure.
Sécurité des courriers électroniques	Sécurité de la messagerie électronique des entreprises qui protège contre les attaques de phishing et empêche l’exfiltration de données.
Gestion des correctifs	Gestion des vulnérabilités par l’amélioration, la correction et la mise à jour des systèmes d’application.
Gestion des logiciels	Optimisation des licences logicielles, des actifs matériels, de la plateforme cloud.
Technologie opérationnelle (TO)	Matériel et logiciels qui détectent ou provoquent un changement dans les processus ou événements physiques par la surveillance et/ou le contrôle direct des dispositifs physiques (par exemple, l’équipement industriel) dans l’entreprise.

Source de la recherche : cette définition est tirée de la publication du Gartner intitulée « Market Guide for Insider Risk Management Solutions » (Guide du marché pour les solutions de gestion des risques internes)

Le risque interne identifie les menaces, malveillantes ou involontaires, qui pèsent sur les comptes de confiance au sein de l’organisation. Ce risque est également intensifié par les attaques des États nationaux et l’espionnage des entreprises. La gestion des risques internes se concentre sur les contrôles relatifs à la détection et à la réponse des points de terminaison, à la surveillance du COS, à la sécurité des données et à la formation des utilisateurs.
Le risque lié à la chaîne d’approvisionnement évalue le risque et la vulnérabilité continus d’une organisation à travers les écosystèmes physiques et numériques des partenaires et de la chaîne d’approvisionnement. Les organisations évaluent les contrôles relatifs à la diligence des tiers, à l’alignement et à l’examen des contrats avec les tiers (SLA) et à la gestion de l’inventaire des systèmes d’application des tiers.

Au-delà des données : Méthodologie de recherche

Le rapport 2024 sur la cyber-résilience est basé sur des données clients exclusives collectées à...

Connectons-nous

Rapport 2023 sur la cyber-résilience

Mot de bienvenue

Aller à la section

La gestion du cyber à travers six thèmes de risque.

Comment le cyber-risque touche presque tous les aspects du risque d’entreprise

Les cyber-menaces internes constituent un risque croissant pour les entreprises.

Prendre des mesures pour atténuer les risques opérationnels

Élaborer un plan pour faire face aux risques de réputation

Les cyber-attaques contre les chaînes d’approvisionnement ont un impact généralisé

Mesures visant à minimiser l’impact du cyber sur le risque systémique

Glossaire

Thèmes de risque et définitions des contrôles

Au-delà des données : Méthodologie de recherche

Contactez nos experts