Cher lecteur, chère lectrice,

Aujourd’hui plus que jamais, les leaders mondiaux subissent des pressions croissantes. Les revenus sont en baisse, les budgets sont restreints et le besoin constant et pressant de transformation fait en sorte que les organisations doivent faire du rattrapage en matière de cybersécurité. Tout cela signifie que des décisions plus difficiles doivent être prises dans des environnements de plus en plus complexes.

En 2020, dans l’ensemble des secteurs, l’évolution du numérique a dépassé celle de la sécurité, les organisations cédant du terrain pour garder le cap et maintenir le rythme. La majorité des cybermenaces auxquelles les organisations font face aujourd’hui ne sont pas nouvelles – les appareils connectés, les rançongiciels et les risques internes seront toujours présents. Mais ce qui est nouveau, c’est que la COVID-19 a entraîné un changement complet dans la nature des activités et une augmentation exponentielle des cyberrisques. Cela s’est traduit par une forte hausse du nombre et de la gravité des cas de rançongiciel, combinée aux vulnérabilités de la chaîne d’approvisionnement et des fournisseurs de soutien.

Les cyberattaques réussies qui ont été mises au jour à la fin de 2020 et au début de 2021, y compris Mimecast, SolarWinds, Accellion et Microsoft Exchange, ont mis en lumière les vulnérabilités associées au travail avec des tiers. Les rançongiciels sont devenus un risque majeur pour les assureurs et les assurés, alors que l’activité a crû de façon spectaculaire, soit de 400 % du premier trimestre de 2018 au quatrième trimestre de 2020. Les souscripteurs, qui ont constaté que leurs portefeuilles de cyberassurances subissaient des pertes principalement en raison de rançongiciels, ont reconnu la nécessité de mieux évaluer la cyberassurance et d’en augmenter le prix.

Les défis sont sérieux et complexes. Les organisations mondiales ne sont pas vraiment en mode de transformation numérique, car ce terme sous-entend un début, un milieu et une fin. Les organisations vivent une évolution numérique et de nouveaux risques émergent chaque jour. La boucle des cyberrisques d’Aon en est la meilleure illustration, car elle exige de travailler en continu à l’évaluation, à la quantification, à l’assurance et à la préparation aux interventions en cas d’incident liés aux cyberrisques.

Il s’agit de trouver un équilibre entre le risque et les occasions, alors que les clients se demandent constamment : « Comment pouvons-nous prendre les meilleures décisions pour notre budget de cybersécurité afin de soutenir l’évolution des modèles d’affaires, tout en protégeant notre personnel, nos clients, nos partenaires et notre bilan? »

Dans ce contexte, nous présentons le Rapport 2021 d’Aon sur les risques en matière de cybersécurité : Équilibre entre le risque et les occasions grâce à de meilleures décisions, notre analyse annuelle de l’état du cyberrisque. Le présent rapport est axé sur quatre risques clés qui sont essentiels aujourd’hui, soit : Composer avec de nouveaux risques, Connaître vos partenaires, Mettre l’accent sur les contrôles et Peaufiner les principes de base, et le tout se termine par une discussion sur les risques émergents. À l’aide de nos données, de nos analyses et des connaissances de nos experts de pointe, le rapport vise à aider les organisations à évaluer leur maturité en matière de cyberrisque et à prendre de meilleures décisions en matière de risques organisationnels.

Cette année, de nouveaux renseignements sont tirés de l’évaluation CyberQuotient (CyQu) d’Aon, une évaluation exhaustive des cyberrisques qui porte sur la maturité en matière de cyberrisque dans neuf domaines critiques. CyQu aide les organisations à comprendre les cybermenaces du point de vue de la sécurité des entreprises et de l’information. Les données de 2020 nous indiquent que les organisations, peu importe la région, le secteur et l’éventail de revenus, enregistrent un rendement moyen inférieur à leur niveau de référence et qu’elles ne maintiennent qu’un niveau élémentaire de cybermaturité et de préparation.

Par exemple, seulement deux organisations sur cinq déclarent être prêtes à faire face à de nouveaux risques découlant de l’évolution rapide du numérique. Fait encore plus inquiétant, seulement 17 % des organisations affirment disposer de mesures de sécurité adéquates pour les applications. Passons maintenant aux risques liés à des tiers, seulement 21 % des organisations déclarent avoir mis au point des mesures de base pour superviser les fournisseurs et les vendeurs essentiels. Dans l’ensemble, les données CyQu nous indiquent que les technologies et les pratiques de gestion des risques liés à la cybersécurité ne sont pas officialisées et que les risques sont gérés de façon ponctuelle et réactive.

Tout au long de 2021 et au-delà, les organisations auront beaucoup de pain sur la planche pour résister à l’examen minutieux des organismes de réglementation, des assureurs, des partenaires et des clients. Ce rapport aidera à générer des résultats et guidera les organisations alors qu’elles évoluent vers la gestion des cyberrisques en tant que risque d’entreprise.

1 « Aperçu des erreurs, des omissions et de la cyberassurance pour 2021 : Une vue précise des défis liés aux risques et aux assurances, » https://www.aon.com/cyber-solutions/thinking/aons-errors-omission-cyber-insurance-snapshot-a-focused-view-of-2021-risk-insurance-challenges/

2 « La boucle des cyber-risques : La gestion des cyber-risques exige une stratégie circulaire », Aon, 2019, https://www.aon.com/cyber-solutions/thinking/the-cyber-loop-managing-cyber-risk-requires-a-circular-strategy/


Méthodologie

Les données sur les tendances du rendement en matière de sécurité sont tirées de l’évaluation du cyberquotient (CyQu) d’Aon, une plateforme en ligne d’auto-évaluation du cyberrisque. En tout, 996 organisations représentant 20 groupes sectoriels de l’Amérique du Nord, de l’Europe, du Moyen-Orient, de l’Afrique et de l’Asie-Pacifique ont fourni des données. Plus de 111 552 points de données ont été enregistrés, et les tendances du rendement en matière de sécurité ont été structurées à l’aide des neuf domaines de sécurité et des 35 points de contrôle essentiels faisant partie de la méthodologie CyQu.

Composer avec l’exposition à de nouvelles menaces : l’évolution rapide du numérique

Connaître vos partenaires : les risques liés à des tiers

Mettre l’accent sur les contrôles : rançongiciels

Perfectionner les principes de base : la réglementation

1 | Composer avec l’exposition à de nouvelles menaces