Rapport 2024 sur la cyber-résilience
Ceci est une partie de l’article 5 sur 16 Dans ce rapport.
October 19, 2023 / 4 minutes de lecture
Mesures visant à minimiser l’impact du cyber sur le risque systémique
Le risque systémique survient à l’intérieur et à l’extérieur de l’organisation et représente un effet multiplicateur sur l’ampleur et la portée d’un cyber-incident.
Points essentiels
- La gestion du risque systémique est devenue une priorité pour le secteur de l’assurance.
- Aon prévoit qu’une seule cyber-attaque importante et réussie pourrait potentiellement affecter jusqu’à 20 % des organisations dans le monde.
- La modélisation de cyber-événements extrêmes permet d’exposer le risque global et de prédire la probabilité d’une attaque.
Les attaques SolarWinds (2020) et Kronos (2021) ont tiré la sonnette d’alarme : le risque systémique est considérable. Des milliers d’entreprises de tous secteurs ont été touchées par une attaque de rançongiciel qui a compromis le cloud privé de Kronos. Ces retombées généralisées ont soulevé la question cruciale de la responsabilité des vendeurs et de l’identité des personnes responsables des pertes subies à la suite de cet incident.
Le risque systémique a une grande portée et provient principalement de deux sources : l’utilisation généralisée de technologies standard et la nature intégrée de nos économies mondiales. Les régulateurs prudents sont préoccupés par les risques systémiques associés à l’agrégation et à l’accumulation.1 Le risque d’agrégation survient lorsque l’ensemble du secteur dépend d’un nombre limité de fournisseurs de technologie, ce qui conduit à un scénario dans lequel une seule panne peut simultanément paralyser plusieurs entités. Par exemple, si une technologie critique tombe en panne, de nombreuses banques qui en dépendent risquent d’être paralysées. D’autre part, le risque d’accumulation fait référence à des vulnérabilités systémiques partagées en raison de l’adoption commune de technologies au sein d’un secteur. Par exemple, plusieurs banques sont exposées à la même vulnérabilité de type « zero-day » qui, si elle est exploitée, peut causer des dommages considérables.
Le risque systémique survient à l’intérieur et à l’extérieur de l’organisation et représente un effet multiplicateur sur l’ampleur et la portée d’un cyber-incident. Cela signifie que les organisations individuelles peuvent subir des pertes financières importantes si les risques systémiques ne sont pas gérés efficacement.2 Il n’est donc pas étonnant que la gestion du risque systémique soit devenue une priorité pour le secteur de l’assurance. Avec l’évolution des cyber-menaces, les modèles de quantification des risques et la planification de scénarios sont affinés pour déterminer avec précision le profil de risque d’une organisation. Cela permet de déterminer l’étendue de la couverture de cyber-assurance nécessaire pour se prémunir contre les pertes potentielles liées aux risques systémiques. Tout comme le suivi de la trajectoire d’une tempête, la modélisation de cyber-événements extrêmes permet d’exposer le risque global et de prédire la probabilité d’une attaque. L’intelligence des données, y compris une carte détaillée de la pile technologique de l’organisation (piles technologiques internes et de fournisseurs tiers), permet de mieux comprendre le niveau de connectivité, la sophistication des acteurs de la menace et la prise en compte des mécanismes de sécurité standard, qui constituent la base des modèles de risque.
Les recherches du groupe Cyber Reinsurance Practice d’Aon indiquent que l’impact de l’attaque NotPetya en 2017, un excellent exemple de scénario d’accumulation, ne représente qu’une petite fraction de la dévastation potentielle qui pourrait être causée par des cyber-attaques similaires mais de plus grande envergure. Imaginez les retombées potentielles : Aon prévoit qu’une seule cyber-attaque importante et réussie pourrait potentiellement affecter jusqu’à 20 % des organisations dans le monde. C’est une idée qui fait froid dans le dos. Comme on pouvait s’y attendre, les assureurs réfléchissent davantage avant d’émettre des polices d’assurance et sont conscients de la possibilité de verser des indemnités à terme. Bien que le taux de sinistres moyen du secteur ait légèrement diminué, passant de 67 % à 66 %, les trois quarts des 20 premiers assureurs ont vu leur taux de sinistres évoluer de plus de 5 %, soit à la hausse, soit à la baisse. En réponse à l’augmentation de la fréquence des sinistres au cours des années précédentes, les assureurs ont commencé en 2022 à rendre obligatoires des contrôles de sécurité renforcés pour les entreprises assurées.3 En réponse à l’augmentation de la fréquence des sinistres au cours des années précédentes, les assureurs ont rendu obligatoires des contrôles de sécurité renforcés pour les entreprises en 2022. Les entreprises qui n’ont pas investi et n’ont pas amélioré leurs dispositifs de sécurité ont vu leurs clauses restrictives ou leurs refus augmenter.
Il existe davantage d’exclusions en matière de cyber-risque, et le risque global entraîne des souscriptions supplémentaires ou plus dures. La fréquence des sinistres continue de diminuer par rapport au pic atteint en 2021, mais reste supérieure à celle de 2019. Par ailleurs, la fréquence des attaques par rançongiciel a fortement augmenté, de 49 % au cours du premier trimestre 2023. Grâce à l’amélioration de la fréquence des sinistres et à l’environnement tarifaire sans précédent qui a émergé en 2022, nous prévoyons une croissance robuste du marché. Cela suggère que la cyber-assurance pourrait devenir un segment de produit très rentable dans les années à venir.4
Références
1 « Cyber-risque systémique. » Comité européen du risque systémique (ESRB). Rapport. Février 2020.
2 “Cyber Risk Aggregation.” DeNexus. Blog. 29 novembre 2021 https://blog.denexus.io/cyber-risk-aggregation | Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon
3 2021 & 2022 Cyber Insurance Report by National Association of Insurance Commissioners (NAIC).
4 Buyer Friendly Cyber and E&O Market: How to Take Advantage | Aon
Les produits et services d’assurance sont proposés par Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, et Aon Risk Services, Inc. de Floride, ainsi que par leurs filiales agréées.
Les informations contenues dans le présent document et les déclarations exprimées sont de nature générale, ne sont pas destinées à traiter de la situation d’une personne ou d’une entité particulière et ne sont fournies qu’à titre d’information. Ces informations ne remplacent pas les conseils d’un avocat ou d’un professionnel de la cyber-assurance et ne doivent pas être utilisées à cette fin. Bien que nous nous efforcions de fournir des informations précises et opportunes et d’utiliser des sources que nous considérons comme fiables, nous ne pouvons garantir que ces informations sont exactes à la date à laquelle vous les recevez ou qu’elles continueront de l’être à l’avenir.
La gestion du cyber à travers six thèmes de risque.
Le rapport de cette année est un guide permettant aux dirigeants d’évaluer la maturité de leur organisation en matière de risques par rapport à des entreprises comparables et de prendre de meilleures décisions concernant la gestion des cyber-risques dans les six domaines suivants : cyber, risques opérationnels, risques liés à la chaîne d’approvisionnement, risques internes, risques réputationnels et risques systémiques.