Rapport 2024 sur la cyber-résilience
Ceci est une partie de l’article 2 sur 16 Dans ce rapport.
October 19, 2023 / 5 minutes de lecture
Élaborer un plan pour faire face aux risques de réputation
L’étude d’Aon sur la réputation montre qu’une attaque majeure peut avoir un impact à long terme sur le cours de l’action d’une entreprise, qu’il soit négatif ou positif.
Points essentiels
- En moyenne, un cyber-incident majeur a entraîné une baisse de 9 % de la valeur actionnariale* au cours de l’année qui a suivi l’événement.
- Les entreprises qui s’en sortent le moins bien ont subi un impact de valeur moyen de -21 %*.
- 18 entreprises ont réussi à surmonter une cyber-attaque, réalisant une augmentation de valeur moyenne de 18 % par rapport au marché.
*Au-delà du marché.
La nature intangible du risque de réputation en fait l’un des risques les plus difficiles à évaluer et à quantifier. Selon l’enquête semestrielle d’Aon sur la gestion des risques dans le monde, la réputation est depuis plus de dix ans l’une des cinq principales préoccupations.1
Les organisations peuvent aborder le risque de réputation de deux manières : elles peuvent le gérer de manière proactive ou réagir à un événement de réputation lorsqu’il se produit. La gestion réactive peut entraîner une perte de contrôle sur le déroulé de l’événement, exposant une organisation (et sa valeur) à des opinions globales via les canaux médiatiques.
Les crises de réputation amènent souvent les marchés financiers à réévaluer leurs projections de flux de trésorerie futurs, ce qui entraîne un ajustement de l’évaluation de l’entreprise. En période de crise, le marché reçoit de nouvelles informations sur l’entreprise et sa gestion et forme généralement un consensus sur l’impact positif ou négatif de la crise sur les flux de trésorerie futurs à long terme. L’élément central de cette évaluation est la prime de réputation, qui correspond à l’excédent de la capitalisation boursière sur la valeur comptable et la valeur de marque de l’entreprise. Elle reflète la capacité de gain de l’entreprise qui est appréciée par les investisseurs mais qui n’est pas prise en compte dans la marque ou le patrimoine net.2
Lorsque la valeur actionnariale est affectée, la surveillance s’intensifie et des risques de responsabilité réglementaire et personnelle peuvent survenir pour les administrateurs et les dirigeants. L’ancien directeur de la sécurité de l’information (CISO) d’une célèbre société de mobilité des transports a été reconnu coupable d’accusations fédérales pour avoir dissimulé des paiements liés à une violation de données en 2016 au cours de laquelle les informations personnelles de 57 millions d’utilisateurs ont été volées3, et plus récemment, l’Autorité de régulation prudentielle du Royaume-Uni a infligé une amende à un ancien directeur de l’information (CIO) FinTech pour avoir enfreint les règles de conduite des cadres supérieurs.4
Au fur et à mesure que la spirale des conséquences d’une violation mal gérée s’aggrave, la confiance dans une entreprise peut diminuer. La confiance, c’est-à-dire l’état émotionnel du cerveau selon lequel une organisation est fiable et procure un sentiment de confiance et de sécurité, est au cœur de la prime de réputation. Une cyber-attaque importante, si elle réussit, peut rapidement éroder la confiance, avoir un impact négatif sur le sentiment des clients, déprécier la valeur de la marque et affecter la prime de réputation d’une entreprise. Alors que l’événement lui-même peut être limité dans le temps, les effets à long terme peuvent avoir un impact sur une entreprise pendant beaucoup plus longtemps. Les organisations doivent gérer la réputation de l’entreprise comme n’importe quel autre actif essentiel. Les entreprises proactives qui prévoient des événements indésirables et communiquent de manière sincère peuvent constater que le marché peut non seulement pardonner, mais aussi récompenser celles qui s’engagent et réagissent de manière efficace.
Constatations d’Aon : Risque de réputation
L’étude d’Aon sur la réputation2 met en évidence la gravité croissante des cyber-attaques actuelles. Il est important de noter qu’une cyber-attaque majeure peut avoir un impact à long terme sur le cours de l’action d’une entreprise. Une analyse de 47 cyber-événements majeurs révèle qu’en moyenne, ces incidents ont entraîné une diminution de 9 % de la valeur actionnariale, en plus des effets sur le marché, dans l’année qui a suivi l’événement. Cela se traduit par un impact négatif global sur la valeur de 225 milliards de dollars. Les entreprises qui ont souffert le plus (30) ont subi un impact de valeur moyen de -21 %, supérieur à celui du marché, soit une perte de valeur totale de 670 milliards de dollars.
Cependant, toutes les entreprises n’ont pas perdu de valeur à la suite d’une attaque. Certaines ont vu leur capital réputation augmenter au cours de l’événement. Nos recherches ont permis d’identifier 17 entreprises qui ont réussi à relever ces défis, réalisant une augmentation moyenne de la valeur de 18 % par rapport aux tendances du marché, ce qui représente une plus-value combinée de 445 milliards de dollars. Ces gagnants ont réagi rapidement et efficacement pour minimiser les dommages causés par l’événement et ont saisi l’occasion qui s’offrait à eux de contrôler l’image de marque et de minimiser les dommages causés à l’ensemble de leur marque.
Cyber-événements
Cyber | Quantité | Impact de la valeur terminale ($) | Valeur terminale (%) |
---|---|---|---|
Ensemble | 47 | -228B | -6 |
Gagnants | 17 | 437B | 19 |
Perdants | 30 | -666B | -20 |
Les ransomwares (rançongiciels), généralement considérés comme une menace opérationnelle, peuvent également nuire considérablement à la réputation et avoir un impact sur la valeur actionnariale. Lorsque nous comparons l’impact des violations de données aux attaques de rançongiciel, notre étude à long terme de 12 événements majeurs de rançongicielransomware montre qu’en moyenne, les attaques de rançongiciel ont eu un impact inférieur de 12 % à celui des violations de données.
Années cybernétiques
Violation de données | Quantité | Valeur terminale ($) | Valeur terminale (%) |
---|---|---|---|
2010-2015 | 16 | -147B | -0.74 |
2016-2021 | 31 | -81B | -8.54 |
Dans l’ensemble, les cyber-attaques sont plus dommageables aujourd’hui et notre étude montre une augmentation perceptible de l’impact sur la valeur. L’impact moyen de 31 cyber-attaques sur la valeur entre 2016 et 2021 a diminué de 8 % par rapport à l’impact moyen de 16 cyberattaques survenues entre 2010 et 2015.
Types de cyber-événements
Violation de données | Quantité | Valeur terminale ($) | Valeur terminale (%) |
---|---|---|---|
Violation de données | 31 | -356B | -5.73 |
Rançongiciel | 12 | -93B | -12.32 |
La gestion des cyber-risques et la souscription à une cyber-assurance sont généralement bien perçues par les parties prenantes. Elle peut offrir une protection contre la volatilité financière et l’érosion de la valeur actionnariale, et contribuer à protéger les employés, les clients et les partenaires. Cinq caractéristiques du rétablissement de la valeur de la réputation peuvent aider les entreprises à atténuer le risque de retombées sur la réputation après une violation : préparation, leadership, communication, action et changement. Les entreprises doivent s’engager fermement dans la prévention et l’atténuation des cyber-pertes, en s’appuyant sur un plan solide de récupération ou de réponse aux incidents. Un leadership fort et visible de la part du PDG et des informations précises et bien coordonnées font partie du plan de réponse critique. L’action doit être immédiate et globale. Et surtout, il faut des remords sincères et un engagement honnête en faveur d’un changement significatif.
Références
Note de recherche : Les pourcentages d’impact et les chiffres en dollars sont des valeurs modélisées qui ont éliminé les mouvements à l’échelle du marché.
1 « 2021 Global Risk Management Report. » Aon. Rapport. 2021.
3 « Former Chief Security Officer of Uber Convicted of Federal Charges for Covering Up Data Breach Involving Millions of Uber User Records. » Bureau du procureur des États-Unis. Communiqué de presse. 05 octobre 2022.
4 « Former CIO of TSB Bank Fined £81k by PRA over 2018 IT disruption. » FinTech Futures. Article. 18 avril 2023.
Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.
Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.
La gestion du cyber à travers six thèmes de risque.
Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques.