Au cours de la séance de préparation d’une conférence qui sera donnée en français à la Journée de l’assurance de dommages le 13 avril 2023, des représentants du secteur ont expliqué au Portail de l’assurance et au Journal de l’assurance que la rentabilité de l’assurance cyberrisques reste à démontrer. Certains estiment qu’il s’agit d’un risque non assurable, tandis que d’autres affirment que cette assurance n’en est encore qu’à ses débuts.
Parmi les enjeux signalés, on mentionne que les gens ne semblent pas avoir pris suffisamment conscience des dommages potentiels liés aux cyberrisques. Un récent rapport publié par Cisco, intitulé Cisco Cybersecurity Readiness Index, Resilience in a Hybrid World (Indice de préparation à la cybersécurité de Cisco : la résilience dans un monde en mode hybride) se penche d’ailleurs sur la question.
Le rapport s’attarde à l’envergure et la complexité des risques à assurer. Sans aborder les assurances en tant que telles, il fait une analyse approfondie du degré de préparation général des entreprises face à leurs enjeux de cybersécurité.
Dans la version canadienne de son rapport, Cisco constate que 77 % des répondants d’ici disent s’attendre à ce qu’un incident de cybersécurité perturbe leur entreprise d’ici 12 à 24 mois. À l’échelle mondiale, ce chiffre grimpe à 82 %. Or, le manque de préparation peut coûter très cher.
Toujours du côté du Canada, le rapport précise que 51 % des personnes interrogées déclarent que leur entreprise a connu un incident de cybersécurité au cours de la dernière année. De ce nombre, 34 % ont déclaré que l’incident en question leur avait coûté plus de 500 000 $ US.
À cet égard, Cisco pointe du doigt la tendance actuelle à favoriser le mode de travail hybride, où personnel et clients travaillent de plus en plus à partir d’une grande diversité d’appareils et d’endroits, en générant d’énormes quantités de données. Voilà qui pose aux entreprises des défis particuliers et inédits en matière de cybersécurité, dit Cisco. Au Canada, 78 % des répondants disent prévoir augmenter leur budget de sécurité d’au moins 10 % dans la prochaine année.
L’étude en double insu menée dans le monde entier auprès de 6 700 responsables en cybersécurité du secteur privé porte sur les défis à relever dans cinq domaines clés : l’identité (les stratégies du périmètre traditionnelles sont inadéquates, selon l’étude), les appareils, la sécurité des réseaux, les applications et les données.
Les chercheurs ont également demandé à chaque entreprise dans quelle mesure elle progressait vers une solution digne de ce nom. Dans une réalité post-pandémie de COVID-19, les exigences en matière de cybersécurité ont changé, car le monde dans lequel les entreprises évoluent a été bouleversé, soulignent les auteurs de la version mondiale du rapport. Malgré l’important consensus sur le fait que le mode hybride est là pour de bon, sa pérennité dépend largement de la capacité des organisations à se protéger des menaces qui se transforment rapidement, avertit Cisco.
Le rapport classe les entreprises selon leur degré de préparation : « démarrage », « formation », « progression » et « maturité ». Or, on constate que 9 % des entreprises canadiennes ont atteint la maturité sur ce plan, tandis que 34 % sont en progression, 48 % en formation et 9 % en démarrage. (À l’échelle mondiale, ces chiffres sont respectivement de 15 %, 30 %, 47 % et 8 %.)
Certains constats diffèrent de ce à quoi l’on s’attendrait. Le Brésil, par exemple, se distingue en étant le pays le mieux préparé, 26 % des entreprises ayant atteint l’étape de la « maturité ». Comme nous l’avons mentionné, seulement 9 % des entreprises canadiennes interrogées sont rendues à cette étape, ce qui nous place derrière les États-Unis, où 13 % des entreprises l’ont atteinte, et le Mexique, où l’on estime que c’est le cas de 12 % des entreprises.
Cet écart pourrait s’expliquer en grande partie par le fait que les entreprises des marchés émergents ont entamé leur passage au numérique plus récemment que leurs homologues des marchés développés, estiment les auteurs. Autrement dit, bon nombre d’entre elles ne sont pas prisonnières de leurs vieux systèmes.
Le rapport ajoute que la plupart des organisations ont déjà commencé à améliorer la résilience de leurs activités financières, opérationnelles et en approvisionnement. « Tous ces secteurs sont touchés par la résilience de notre sécurité », écrivent les chercheurs.
La version mondiale du rapport formule diverses autres observations.
- Selon les derniers chiffres, plus de 4000 cas de fuites de données ont été divulgués dans les trois premiers trimestres de 2022. Il pourrait bien ne s’agir que de la pointe de l’iceberg, car des milliers d’autres atteintes aux données surviennent dans des organisations de petite envergure.
- Une fuite de données peut faire beaucoup de tort à une entreprise. D’abord, celle-ci consacre un temps fou à la colmater puis à mettre en place un plan de reprise après sinistre ; mais en plus, elle se retrouve devant de lourdes conséquences une fois la crise passée.
- Les entreprises de services financiers figurent parmi les organisations très bien préparées, 19 % d’entre elles ayant atteint l’étape de la « maturité ». Elles sont néanmoins devancées sur ce plan par les entreprises de vente au détail, puisque 21 % d’entre elles auraient atteint cette étape.
- Les entreprises de taille moyenne (entre 250 et 1000 employés) se sont avérées les mieux préparées : elles sont en effet plus nombreuses que les entités de plus grande envergure à atteindre les étapes « maturité » et « en progression ». De telles organisations se retrouvent dans des conditions idéales, pensent les chercheurs : « Elles sont suffisamment grandes pour avoir l’argent nécessaire à la lutte contre les cyberattaques et suffisamment souples pour pouvoir mettre les choses en place sans être entravées par la bureaucratie présente dans les grandes entreprises. » Comme on peut s’y attendre, les petites entreprises (250 employés ou moins) sont à la traîne, 50 % des répondants ayant atteint l’étape peu avancée de la « formation ».
« Les organisations se retrouvent devant une myriade de ces nouveaux défis qui ne se présentent qu’une fois par génération, apparus dans la foulée de la pandémie mondiale, concluent les auteurs du rapport. Leurs effets immédiats sur le monde du travail sont certes en grande partie chose du passé, mais leur incidence sur l’infrastructure informatique continue de se faire sentir. »