Rapport 2024 sur la cyber-résilience

Ceci est une partie de l’article 1 sur 16 Dans ce rapport.

October 19, 2023 / 4 minutes de lecture

Comment le cyber-risque touche presque tous les aspects du risque d’entreprise

La rigueur accrue en matière de souscription sur le marché de l’assurance Erreurs et Omissions (E&O) et des cyber-risques en 2021 et au premier semestre 2022 a probablement influencé les progrès des clients en matière de cyber-maturité.

Points essentiels

  1. En moyenne, les organisations de tous les secteurs et de toutes les tranches de revenus ont amélioré leur cyber-maturité, qui est passée de « de base » à « géré ».
  2. Cinq domaines (la sécurité des données, la sécurité des applications, le travail à distance, le contrôle d’accès et la sécurité des systèmes et des points de terminaison) ont connu la plus forte amélioration.
  3. Les équipes doivent constamment évaluer l’état de préparation de l’organisation face à l’évolution des menaces et fournir des preuves quantifiables de l’efficacité des contrôles actuels.

Selon l’enquête mondiale sur la gestion des risques réalisée par Aon en 2021, la cyber-menace devrait rester le premier risque mondial en 2024, devançant le COVID-19 et la rupture des chaînes d’approvisionnement.1 L’importance du travail hybride à long terme, les attaques liées aux chaînes d’approvisionnement, l’instabilité géopolitique et la connectivité numérique ont continué d’inciter les entreprises du monde entier à se concentrer davantage sur les cyber-risques.2 En outre, le renforcement des exigences des assureurs entre 2020 et 2022 a rendu plus difficile la mise en place d’une cyber-politique et a accru la nécessité pour les entreprises de démontrer l’existence de contrôles de sécurité adéquats et leur efficacité. Dans ce contexte de menaces accrues et de souscriptions plus strictes, les organisations ne peuvent plus espérer disposer d’un capital d’assurance cybernétique pour se prémunir contre la volatilité financière découlant du cyber-risque.

Le cyber-risque peut être défini comme le risque de perte financière, d’interruption d’activité ou de dommages causés à une organisation par une défaillance liée à ses systèmes d’information ou de technologie opérationnelle. Mais le cyber-risque va bien au-delà de la technologie. Le cyber constitue, entre autres, un risque holistique et d’entreprise qui représente une menace financière, opérationnelle, humaine, réglementaire, voire catastrophique, pour toutes les organisations, indépendamment de leur taille ou de leur secteur d’activité. Ainsi, la compréhension des moteurs de l’activité d’une organisation et des décisions quotidiennes qui s’y rapportent s’avère souvent être le lien critique pour gérer le parcours vers une cyber-résilience holistique et durable.

Constatations du CyQu : Rapport des clients d’Aon

Les données clients du CyQu pour 2022 nous indiquent qu’en moyenne, les organisations de tous les secteurs et de toutes les tranches de revenus ont amélioré leur cyber-maturité, passant d’un niveau « de base » à un niveau « géré ». La moyenne mondiale des scores de risque CyQu, qui a augmenté en 2022 par rapport à 2020, reflète cette croissance. La rigueur accrue en matière de souscription sur le marché de l’assurance Erreurs et Omissions (E&O) et des cyber-risques en 2021 et au premier semestre 2022 a entraîné un examen plus approfondi des contrôles de sécurité, des lignes directrices plus rigides, une réévaluation des risques et une réduction subséquente de la capacité du marché, ce qui a probablement influé sur les progrès réalisés en matière de cyber-maturité.

Les clients de tous les secteurs d’activité et de toutes les tranches de revenus ont indiqué que le budget consacré à la cyber-sécurité avait augmenté entre 2020 et 2022, avec une moyenne de 10 % du budget des technologies de l’information consacré à la sécurité.

Scores du domaine CyQu

Domaine des scores CyQu 2020 2022 Changement
Sécurité des systèmes et des points de terminaison
2.5
2.9
+0.4
Travail à distance
2.5
2.8
+0.4
Sécurité des applications
1.9
2.3
+0.4
Sécurité des réseaux
2.7
3.0
+0.3
Contrôle des accès
2.5
2.8
+0.3
Sécurité des données
2.3
2.6
+0.3
Résilience des entreprises
2.2
2.5
+0.3
Sécurité physique
2.6
2.8
+0.2
Tiers
2.0
2.2
+0.2

Score de maturité des risques du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

Du point de vue des contrôles, cinq domaines ont fait l’objet des améliorations les plus significatives, ce qui a permis d’en déduire des augmentations de budget : Sécurité des données, sécurité des applications, travail à distance, contrôle d’accès, sécurité des points de terminaison et des systèmes.

Dans toutes les tranches de revenus, ce sont les clients du marché intermédiaire qui ont enregistré les améliorations les plus significatives en termes de cyber-maturité globale. En revanche, les organisations du segment Mondial et du segment Entreprise ont rapporté des améliorations, mais sont restées à un niveau de maturité « géré ». L’amélioration de la planification de la réponse aux incidents (IR), de la protection des données, de l’enregistrement et de la surveillance des points de terminaison, ainsi que de la vulnérabilité et de la surveillance du travail à distance, a été à l’origine de l’amélioration du profil de sécurité pour le marché intermédiaire. Ces contrôles sont passés de « De base » à « Gérés » en 2022. Les données des clients montrent que les contrôles d’accès, les données et la sécurité, ainsi que la résilience d’entreprise ont été des domaines d’amélioration pour la plupart des tranches de revenus. Dans le même temps, les scores de risques liés à la diligence contractuelle des tiers et à la gestion des stocks sont restés inchangés.

Changements dans le score du segment client CyQu

Revenus annuels (groupe) 2020 2022 Changement
Mondial
2.8
2.9
+0.1
Entreprise
2.6
2.9
+0.3
Marché intermédiaire
2.4
2.7
+0.3
PME
2.2
2.5
+0.3

Score de maturité des risques du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

D’un point de vue sectoriel, tous les secteurs ont indiqué une amélioration de leur score global de risque CyQu. Les secteurs de la santé et de l’assistance sociale, du commerce de détail et de l’immobilier ont rapporté des améliorations substantielles en passant d’un profil de risque de sécurité « de base » à un profil de risque de sécurité « géré ».

Changements dans le score du secteur CyQu

Secteur 2020 2022 Changement
Industrie manufacturière
2.2
2.5
+0.3
Autres secteurs*
2.3
2.5
+0.2
Autres services**
2.3
2.7
+0.4
Information, logiciels et technologie
2.6
2.9
+0.3
Finances et assurances
2.7
2.9
+0.2
Soins de santé et assistance sociale
2.4
2.7
+0.3
Services professionnels, scientifiques et techniques
2.6
2.9
+0.3
Commerce de détail
2.3
2.6
+0.3
Transport et entreposage
2.2
2.5
+0.3
Construction
2.1
2.4
+0.3
Services éducatifs
2.4
2.5
+0.1
Immobilier, location et crédit-bail
2.3
2.7
+0.4

Score de maturité des risques du cyberquotient (CyQu)

Initial: 1.0 - 1.9

De base: 2.0 - 2.5

Géré: 2.6 - 3.4

Avancé: 3.5 - 4.0

* La catégorie « Autres secteurs » représente les réponses des clients provenant des secteurs suivants : Hébergement et restauration, agriculture, arts, spectacles et loisirs, gestion de sociétés et d’entreprises, administration publique, services publics, gestion des déchets et services d’assainissement, administration et aides, commerce de gros.

** La catégorie « Autres services » est choisie par le client

L’augmentation la plus significative des scores de risque CyQu pour le secteur de la santé a été enregistrée pour l’authentification multifacteur (1,9 en 2020 pour 2,6 en 2022) et la protection des données (2,4 en 2020 contre 3,0 en 2022). Le secteur a toutefois continué à rapporter une évolution marginale des profils de risque liés aux tiers, à la gestion des logiciels et à la sécurité des applications. Dans le secteur du commerce au détail, 74 % des entreprises ont obtenu un score supérieur à 2,5 pour la formation à la sensibilisation des utilisateurs, et plus de la moitié ont obtenu des scores similaires pour les capacités de journalisation et de surveillance, ce qui a contribué à améliorer le profil de risque global du secteur.

Dans l’immobilier, l’évolution des scores dans le développement de la sécurité des applications (1,8 en 2021 pour 2,5 en 2022), la gestion des logiciels (1,9 en 2021 contre 2,3 en 2022), la gestion des risques (1,9 en 2021 pour 2,4 en 2022), et la sensibilisation des utilisateurs (2,5 en 2021 contre 3,2 en 2022) a entraîné une amélioration globale du profil.

En résumé :

Il a toujours été difficile de naviguer dans ce paysage de risques, tout en essayant de comprendre la corrélation entre les cyber-risques et les risques d’entreprise. La pression est forte non seulement pour bloquer et résoudre en permanence, patcher les systèmes vulnérables et comprendre les points de connexion à travers des piles technologiques hautement intégrées, mais aussi pour se tenir au courant de l’impact potentiel des menaces émergentes et des changements réglementaires. Il en résulte que les équipes chargées de la sécurité et de la technologie doivent constamment évaluer l’état de préparation de l’organisation face à l’évolution des menaces et fournir aux assureurs et au marché des preuves quantifiables de l’efficacité des contrôles actuels. Il est prudent de s’aligner sur les normes de contrôle des meilleures pratiques, telles que celles spécifiées par le National Institute of Standards and Technology (NIST) ou le Center for Internet Security (CIS). Les équipes de sécurité devraient évaluer régulièrement les contrôles afin de déterminer l’efficacité de la cyber-maturité en matière de prévention et de réaction.


Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.

Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.

La gestion du cyber à travers six thèmes de risque.

Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques.