Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X
Canada CA
Americas
Asia Pacific
Europe
Middle East & Africa
Français FR
Skyline

Rapport du sondage mondial de 2019 sur la perception des cyberrisques

Notre sondage mondial de 2019 sur la perception des cyberrisques, réalisé en partenariat avec Microsoft, enquête sur l’état de la perception des cyberrisques et la gestion des risques au sein de sociétés du monde entier, plus particulièrement dans le contexte d’un environnement commercial en pleine mutation.

Introduction

La technologie transforme considérablement l’environnement commercial mondial, notamment avec des progrès constants dans des domaines comme l’intelligence artificielle, l’Internet des objets (IoT), la disponibilité des données et la chaîne de blocs. 

La vitesse à laquelle les technologies numériques évoluent et perturbent les modèles opérationnels traditionnels ne cesse de croître. Parallèlement, les cyberrisques semblent évoluer encore plus rapidement.

En fait, les cyberrisques ne consistent plus uniquement en des violations de données et des préoccupations en matière de confidentialité. Les pirates informatiques élaborent des méthodes plus sophistiquées pour paralyser complètement des entreprises, des secteurs d’activité, des chaînes d’approvisionnement et des nations, ce qui coûte des milliards de dollars à l’économie et affecte des entreprises dans tous les secteurs. 

Le sondage mondial de 2019 sur la perception des cyberrisques révèle de nombreux signes encourageants d’amélioration dans la façon dont les sociétés perçoivent et gèrent les cyberrisques.

Les cyberrisques figurent désormais clairement et résolument au sommet des priorités en matière de risques pour les entreprises. Nous constatons également une transition positive vers l’adoption d’une gestion des cyberrisques plus rigoureuse et plus complète dans de nombreux domaines. 

Points saillants du sondage

Vous trouverez ci-dessous un résumé des points saillants du rapport :

Tandis que les entreprises considèrent les cyberrisques comme étant la priorité absolue, la confiance à l’égard de la résilience aux cyberrisques diminue

Au cours des deux dernières années, les cyberrisques sont devenus une priorité encore plus importante au sein des sociétés. Pourtant, durant cette même période, la confiance des sociétés dans leur capacité à gérer le risque a diminué.

  • 79 % des répondants ont affirmé que les cyberrisques comptent parmi les cinq principales préoccupations pour leur société, contre 62 % en 2017. 
  • La confiance des entreprises a diminué dans chacun des trois aspects importants de la résilience aux cyberrisques. La proportion de ceux qui disaient n’avoir « aucune confiance » a augmenté :
    • de 9 % à 18 % à l’égard de la compréhension et de l’évaluation des cyberrisques;
    • de 12 % à 19 % à l’égard de la prévention des cybermenaces;
    • de 15 % à 22 % à l’égard des interventions à la suite de cyberévénements et de la reprise des activités.
Les nouvelles technologies augmentent l’exposition aux cyberrisques

Les innovations technologiques sont essentielles pour la plupart des entreprises; cependant, elles accroissent souvent la complexité de l’empreinte technologique d’une entreprise, y compris les cyberrisques.

  • 77 % des répondants au sondage de 2019 ont cité au moins une technologie opérationnelle innovante qu’ils ont adoptée ou qu’ils envisagent d’adopter.
  • 50 % des personnes interrogées ont déclaré que les cyberrisques ne constituent presque jamais un obstacle à l’adoption de nouvelles technologies. Toutefois, 23 %, y compris de nombreuses petites entreprises, ont indiqué que les risques dépassaient les avantages commerciaux potentiels pour la plupart des nouvelles technologies.
  • 74 % des répondants indiquent qu’ils évaluent les risques technologiques avant l’adoption d’une nouvelle technologie. Cependant, seulement 5 % affirment évaluer les risques tout au long du cycle de vie de la technologie, et 11 % n’effectuent aucune évaluation. 
L’augmentation des chaînes d’approvisionnement numériques interdépendantes entraîne de nouveaux cyberrisques

L’interdépendance et la numérisation croissantes des chaînes d’approvisionnement augmentent les cyberrisques pour toutes les parties concernées. Cependant, de nombreuses entreprises ne perçoivent que les risques unilatéraux.

  • Il y avait une disparité entre la vision qu’ont de nombreuses sociétés des cyberrisques auxquels elles sont confrontées en raison de leurs partenaires de la chaîne d’approvisionnement et le niveau de risque que leur organisation représente pour les contreparties.

    • 39 % ont déclaré que les cyberrisques que posent leurs partenaires de la chaîne d’approvisionnement et leurs fournisseurs pour leur entreprise étaient élevés ou relativement élevés.
    • Cependant, seulement 16 % des répondants ont déclaré que les cyberrisques qu’ils posent pour leur chaîne d’approvisionnement étaient élevés ou relativement élevés.
  • Les répondants étaient plus enclins à penser que les mesures de gestion des cyberrisques de leur propre entreprise étaient supérieures à celles de leurs fournisseurs.
% of organizations reporting different levels of confidence. Base: All answering n=878 (2019); Results for this option only show for businesses with US$1 billion+ revenues (n=215). Technology Suppliers 15% highly confident: 62% Fairly confident, 13% Not at all confident, 10% Don't know Suppliers of Outsourced Business processes: 8% highly confident, 55% Fairly confident, 23% Not at all confident, 23% Don't know Other Services or Product Suppliers: 6% highly confident, 55% Fairly confident, 22% Not at all confident, 17% Don't know Freelancers and Consultants: 6% highly confident, 47% Fairly confident, 30% Not at all confident, 18% Don't know Acquisition Targets or Recent Integrations*: 5% highly confident, 46% Fairly confident, 21% Not at all confident, 28% Don't know
Des opinions partagées sur le rôle des gouvernements dans la gestion des cyberrisques

Les sociétés considèrent généralement que la réglementation gouvernementale et les normes du secteur ont une efficacité limitée dans la gestion des cyberrisques, à l’exception notable des attaques d’États-nations.

  • 28 % des entreprises considèrent les réglementations ou lois gouvernementales comme très efficaces dans l’amélioration de la cybersécurité.
  • 37 % des entreprises considèrent que les normes de l’industrie peu contraignantes sont très efficaces pour améliorer la cybersécurité.
  • Les principaux domaines où les opinions divergent concernent les cyberattaques menées par des acteurs des États-nations :
    • 54 % des répondants ont déclaré être très préoccupés par les cyberattaques d’États-nations.
    • 55 % ont déclaré que le gouvernement doit en faire davantage pour protéger les sociétés contre les cyberattaques d’États-nations.
Les investissements liés aux cyberrisques se concentrent sur la prévention, et non sur la résilience

De nombreuses sociétés mettent l’accent sur les moyens de défense et les investissements technologiques pour prévenir les cyberrisques, au détriment de l’évaluation, du transfert de risques, d’un plan d’intervention et d’autres domaines de gestion des risques qui renforcent la résilience aux cyberrisques.

  • 88 % des personnes interrogées ont déclaré que la technologie de l’information et la sécurité de l’information (TI/InfoSec) constituent un des trois principaux domaines responsables de la gestion des cyberrisques, avec l’équipe dirigeante et le conseil d’administration (65 %) et la gestion des risques (49 %).
  • Seulement 17 % des membres de la haute direction déclarent avoir passé plus de quelques jours sur les cyberrisques au cours de la dernière année.
  • 64 % ont indiqué qu’une cyberattaque contre leur société serait le principal événement susceptible d’entraîner une augmentation des dépenses liées aux cyberrisques. 
  • 30 % des entreprises ont souligné utiliser des méthodes quantitatives pour exprimer l’exposition aux risques, contre 17 % en 2017.
  • 83 % ont renforcé la sécurité des ordinateurs et des systèmes au cours des deux dernières années, mais moins de 30 % ont offert de la formation en gestion des cyberrisques ou modélisé des scénarios de pertes liées à un cyberincident.
A cyber incident/attack on our organization 64%, News of cyber incident/attack on another organization 46%, Adoption of new or emerging technologies 43%, New or changing Regulations (such as the EU GDPR) 38%, Change in leadership in our organization 19%, Required by a key customer 12%, Experiencing a merger or acquisition 7%, Legend % selecting as a driver for any area of increased cyber risk investment. Base: All answers $ stating they plan to invest more, excluding don't know responses: n=615 (2019)
Cyberassurance

La couverture d’assurance contre les cyberrisques s’étend pour répondre aux nouvelles menaces et les attitudes à l’égard des polices évoluent également. 

  • 47 % des sociétés ont déclaré avoir souscrit une cyberassurance, contre 34 % en 2017.
  • Les grandes entreprises étaient plus susceptibles d’avoir une cyberassurance. En effet, 57 % des entreprises dont les recettes annuelles dépassent un milliard de dollars avaient une police d’assurance contre 36 % chez les entreprises dont les recettes annuelles étaient inférieures à 100 millions de dollars.
  • L’incertitude quant à la capacité de la cyberassurance à répondre aux besoins de leur entreprise a chuté à 31 %, comparativement à 44 % en 2017.
  • 89 % des répondants détenant une cyberassurance étaient très confiants ou assez confiants que leur police d’assurance pouvait couvrir les coûts liés à un cyberincident.
Confidence lowest among: C-Suite/Board and IT / Information Security at 7% (Not all Confident) Confidence highest among: Finance, Risk Management, and Legal /Compliance at 32% (Highly Confident) Fairly Confident at 57% Don’t know at 5% Base: All with cyber insurance n=526 (2019)

Principales leçons

Sur le plan pratique, le sondage de cette année révèle un certain nombre de pratiques exemplaires que les entreprises les plus résilientes aux cyberrisques emploient et que toutes les entreprises devraient envisager d’adopter :

  • Créer une forte culture de la cybersécurité organisationnelle, avec des normes claires et partagées en matière de gouvernance, d’imputabilité, de ressources et de mesures à prendre. 
  • Quantifier les cyberrisques afin de prendre des décisions plus éclairées en matière de répartition des capitaux, de mesurer le rendement et d’établir un cadre pour les cyberrisques, en respectant les mêmes conditions économiques que les autres risques de l’entreprise.
  • Évaluer les répercussions des nouvelles technologies en matière de cyberrisques dans le cadre d’un processus continu et tourné vers l’avenir tout au long du cycle de vie de la technologie. 
  • Gérer le risque de la chaîne d’approvisionnement comme un problème collectif, en reconnaissant l’importance de la confiance et la nécessité d’avoir des normes de sécurité partagées sur l’ensemble du réseau, y compris l’impact cybernétique de l’entreprise sur ses partenaires.
  • Poursuivre et soutenir des partenariats public-privé autour de problèmes de cyberrisques cruciaux pour profiter de protections plus solides et de normes de base en matière de pratiques exemplaires pour tous.

Conclusion

Malgré le déclin de la confiance des sociétés à l’égard de la capacité à gérer les cyberrisques, nous croyons que de plus en plus de sociétés reconnaissent maintenant clairement la nature critique de la menace et commencent à rechercher et à adopter des pratiques exemplaires. 

Pour gérer les cyberrisques efficacement, les sociétés doivent compter sur une approche globale utilisant l’évaluation, la mesure, l’atténuation, le transfert et la planification des risques. L’obtention d’un programme optimal dépendra du profil de risques et de la tolérance propres à chaque entreprise. 

Néanmoins, ces recommandations tiennent compte des éléments courants et les plus urgents des cyberrisques auxquels les entreprises sont aujourd’hui confrontées. Elles doivent être considérées comme des balises dans un plan de renforcement véritable de la résilience aux cyberrisques. 

Marsh.com Ouvrir une session

Veuillez vous connecter pour accéder au site marsh.com au complet.

Cliquez ici pour vous connecter en tant que collègue

Mot de passe oublié? S’inscrire

*Obligatoire