Cybersécurité
Ce que les secteurs en cours de transformation numérique doivent savoir sur les risques pesant sur la création de valeur
Par Michaela Zhirova et Marjo Koivisto
Introduction
Les cyberattaques ont presque doublé au cours des cinq dernières années, et leur coût est estimé à 90 000 milliards d’USD selon le Forum économique mondial1. En effet, les nouvelles technologies sont introduites à un rythme rapide et à grande échelle dans tous les secteurs, ouvrant des champs de vulnérabilité toujours plus grands aux cyberattaques d’acteurs malveillants. Cela ne fera qu’augmenter à mesure que les essais et les projets pilotes pour la 5G s’accéléreront. Les cyberattaques sur des entreprises et des gouvernements comprennent, sans s’y limiter, les atteintes à la vie privée et à la confidentialité, le vol coûteux de données, la mise à mal de l’intégrité et de l’accessibilité de systèmes et la destruction de données. En outre, bien que les cyberattaques deviennent à la fois plus fréquentes et plus sophistiquées à un rythme alarmant, les entreprises semblent sous-investir dans la gestion du cyber-risque. En fait, l’un des deux principaux défis identifiés par les responsables de la sécurité de l’information est le manque de ressources.
Ce livre blanc sur l’Investissement Responsable expose les raisons pour lesquelles nous considérons la cybersécurité comme un facteur de risque ESG de plus en plus important dans tous les secteurs, et nous réfléchissons aux principales implications financières des cyber-incidents que nous avons identifiés pour les entreprises. En outre, nous avons attribué une note en matière d’exposition aux cybermenaces aux différents secteurs et nous donnons notre avis sur ceux présentant un risque élevé. Dans le cadre de notre pratique d’engagement ESG, nous avons développé une méthode pour intégrer les meilleures pratiques en matière d’identification des cyber-menaces, de gouvernance, de sensibilisation contextuelle et de mise en œuvre de mesures de cybersécurité. Nous encourageons l’utilisation d’un questionnaire visant à aider l’établissement d’une norme de cyber-résilience des entreprises, et présentons nos attentes en matière de meilleures pratiques de préparation des entreprises dans le domaine de la cybersécurité.
Cyberattaques majeures: quelques enseignements concernant les implications financières pour les entreprises
Dans la mesure où l’identification, l’évaluation et l’élimination des cyberattaques peuvent prendre beaucoup de temps et entraîner des pertes opérationnelles, leurs coûts pour les entreprises continuent d’augmenter. C’est apparu clairement lors de certaines des plus grandes attaques de ransomware de tous les temps, par exemple celle de NotPetya. L’attaque de ransomware (rançongiciel) sur NotPetya s’est propagée en 2017 à partir des serveurs ukrainiens aux grandes entreprises mondiales, entraînant des pertes totalisant plus de 10 milliards d’USD2 de dommages aux entreprises et affectant des ordinateurs dans le monde entier. Elle a infecté des entreprises dans de nombreux secteurs, des prestataires de services médicaux à une grande entreprise de logistique (A.P. Møller-Maersk), entraînant l’arrêt de ses opérations pendant plus de 10 jours.3
Marriott est une autre grande entreprise qui a fait l’objet d’une importante attaque de ransomware. Le 8 septembre 2018, un outil de sécurité interne a signalé une tentative suspecte d’accéder à la base de données interne de réservation des clients pour les marques Starwood de Marriott. Une enquête interne a alors été déclenchée, qui a déterminé que le réseau Starwood, acquis par Marriott en 2016, avait été compromis dans le courant de 2014. Selon certains rapports, au moment de l’attaque, les anciens hôtels Starwood n’avaient pas été migrés vers le propre système de réservation de Marriott et utilisaient toujours des infrastructures informatiques héritées de Starwood. L’enquête de Marriott a trouvé des données que les attaquants avaient cryptées et a montré qu’ils avaient tenté (probablement avec succès) de retirer des données personnelles des systèmes de Starwood. Marriott a réussi à décrypter les données et a découvert qu’elles incluaient des informations provenant de millions de dossiers clients (jusqu’à 500 millions), dont beaucoup incluaient des informations extrêmement sensibles comme des numéros de cartes de crédit et de passeport.
Les implications financières de l’incident ransomware sur Marriott ont été graves. En juillet 2019, la société a été condamnée par le Royaume-Uni à une amende de 126 millions d’USD dans le cadre des réglementations générales sur la protection des données (General Data Protection Regulations, GDPR). Ses résultats du T2 2019 ont fait état d’une baisse de 65 % de ses bénéfices à 232 milliards d’USD, soit 69 centimes par action.4 La chaîne hôtelière a également été condamnée à une amende de 1,5 million de livres (~ 265 000 $) par l’autorité turque de protection des données (non soumise à la législation GDPR) pour cet incident, soulignant comment un seul manquement peut donner lieu à plusieurs amendes. Enfin, en mars 2019, il y a eu une amende de 28 millions d’USD (dont l’impact sur l’entreprise a été de seulement 3 millions d’USD parce que Marriott avait une cyber-assurance).
L’atteinte à la cybersécurité de Marriott est devenue publique le 30 novembre 2018. Au cours du mois qui a suivi la nouvelle, le cours de l’action Marriott a plongé de 17 %, un impact important même replacé dans le contexte d’un mois de décembre volatil et de la forte performance de l’année précédente.5
Dans la mesure où l’identification, l’évaluation et l’élimination des cyberattaques peuvent prendre beaucoup de temps et entraîner des pertes opérationnelles, leurs coûts pour les entreprises continuent d’augmenter.
Les analyses empiriques du marché montrent en effet que les investisseurs punissent les entreprises laissant des fuites de données se produire. Cela devrait inciter fortement les entreprises à mieux se préparer en matière de cybersécurité. Une étude récente sur les sociétés cotées au NYSE qui ont connu une violation signalée au public portant sur 1 million de dossiers ou plus a montré que les cours des actions atteignent un point bas environ deux semaines après la publication de la nouvelle, chutant de 7,27 % en moyenne, et sous-performant le NASDAQ de -4,18 %.6 La même étude a constaté que même si l’impact de la violation sur les cours des actions de ces entreprises diminue au fil du temps, celles-ci enregistrent une sous-performance par rapport au marché (pendant 1 ou 2 ans).
Cyber-risque sur la création de valeur : Efforts d’estimation des coûts et de l’impact sur le chiffre d’affaires
Étant donné qu’il est extrêmement difficile de prédire les cyber-incidents, il est aussi très compliqué d’estimer leurs coûts. En outre, une étude de Deloitte a récemment suggéré que les assureurs hésitent à prendre en charge le cyber-risque en raison des défis posés par la modélisation financière d’une cible qui évolue régulièrement à mesure que de nouveaux attaquants et de nouveaux types d’attaques apparaissent.7 Ceci dit, les cyberattaques hautement médiatisées ont conduit à une sophistication des couvertures d’assurance contre les cyber-risques, et leurs fournisseurs indiquent en effet qu’au cours des 3 à 4 dernières années, les données de modélisation basées sur des scénarios utilisées par les principaux fournisseurs de cyber-assurances sont devenues de plus en plus uniformes.8
Dans une étude de 2019 portant sur les entreprises du Forbes Global 2000 (les deux mille plus grandes sociétés par actions mondiales), Accenture a fait état d’un coût moyen mondial en 2017 d’une attaque de cybercriminalité par entreprise de 11,7 millions d’USD, mais le coût moyen, parallèlement au nombre de violations, avait augmenté de 1,3 million d’USD en glissement annuel.9 Pour les petites et moyennes capitalisations, qui consacrent moins de ressources à l’informatique et à la cyber-résilience opérationnelle, le coût pourrait être encore plus élevé. Pourtant, peu d’informations sont publiées sur les coûts des incidents ou leurs détails (par exemple les heures d’arrêt des systèmes ou les dépenses de cybersécurité nécessaires). C’est pourquoi, dans ce document, nous n’essayons pas d’estimer les coûts.
Nous avons plutôt repéré les secteurs dans lesquels la création de valeur est la plus exposée aux cyber-incidents.
Nous nous concentrons sur certains des secteurs les plus vulnérables, en estimant quelle part de l’activité d’une entreprise pourrait être la plus à risque. Pour éviter d’entrer dans des particularités technologiques, nos notations ont conceptualisé le risque très globalement. Pour arriver à un score sectoriel, nous avons noté les secteurs selon trois groupes d’indicateurs : potentiel de dommage (sur les biens, personnes, l’environnement ou de perturbation), type de faiblesse du système (manque de sensibilisation, d’expertise ou de communication), et exposition (modèle économique sensible, stockage de données précieuses ou sensibles). Pour les notations sectorielles du premier et du troisième groupe d’indicateurs, nous avons analysé les modèles opérationnels des secteurs en question afin d’identifier les impacts pertinents. Un deuxième groupe d’indicateurs traite des faiblesses potentielles des pratiques: préparation et gouvernance, âge des systèmes, sensibilisation, expertise et communication.
Pour la note de ce groupe, nous avons évalué environ 30 documents commerciaux, des articles de conférence de responsables de la sécurité informatique et des études de consultants afin de comprendre les problèmes systémiques les plus courants dans un secteur donné. Le fait que le modèle économique soit bâti sur des données ou que les données que les entreprises du secteur ont tendance à stocker soient particulièrement sensibles ou précieuses constituent une autre dimension de l’exposition. Pour simplifier, les critères de notation des entreprises ont été : la qualité de la gouvernance du cyber-risque, la mise à jour de leurs systèmes, leur accès au savoir-faire nécessaire et les flux de communication entre les différentes parties de l’organisation (sont-ils suffisants pour intégrer efficacement les solutions de sécurité).
Les secteurs les plus exposés se répartissent à peu près en deux groupes : l’industrie et le secteur manufacturier. Ces deux secteurs obtiennent un score « élevé moyen » pour ce qui est de leur exposition, mais perdent des points du fait de leur manque d’investissement dans les systèmes et l’expertise.
Les systèmes des secteurs de la restauration et des loisirs ont tendance à manquer significativement de la sophistication nécessaire pour répondre aux demandes de traitement des données clients sensibles qu’ils gèrent.
Une préoccupation essentielle exprimée par les responsables de la sécurité informatique est que les entreprises, en général, ne dépensent pas assez pour se préparer aux cyber-incidents.
Contexte concernant nos attentes à l’égard des entreprises
Dans la mesure où il n’est pas possible d’être totalement protégé contre les cyberattaques, les entreprises devraient chercher à être suffisamment préparées pour répondre à d’éventuels incidents de cyber-violation.
L’une des principales mesures devrait consister à identifier clairement les parties du modèle économique (du chiffre d’affaires) les plus exposées à des cyber-risques importants. Ainsi, un incident pourrait ralentir les activités pendant des jours, entraînant immédiatement un manque à gagner. Prenons par exemple le secteur des télécommunications, qui a tendance à être mieux préparé que les cas à haut risque mentionnés ci-dessus. Une grande entreprise de télécommunications pourrait avoir environ 20 à 30 % de son chiffre d’affaires total dans le service aux entreprises et l’infogérance, et régie par des accords de niveau de service avec des entreprises clientes. Les clients pourraient exiger leur application en cas de violation, engageant la responsabilité du prestataire de services. Pour prendre un autre exemple, les entreprises numériques, dont le principal produit est le code source, ne seraient pas en mesure de vendre leur produit si le code était violé, entraînant des pertes de revenus encore plus importantes.
Une autre préoccupation essentielle exprimée par les responsables de la sécurité informatique est que les entreprises, en général, ne dépensent pas assez pour se préparer aux cyber-incidents. Selon une étude d’IBM,10 les entreprises devraient idéalement consacrer 14 % de leur budget informatique à la cybersécurité, mais si l’on examine les moyennes sectorielles (par exemple 3,73 % du chiffre d’affaires pour les sociétés informatiques) dans le contexte du chiffre d’affaires 2018, il devient clair que les entreprises ne dépensent pas assez. C’est difficile pour les entreprises de dévoiler leur budget de dépenses de cybersécurité, mais nous pensons que les investisseurs doivent demander ces précisions.
Ce que nous attendons des préparatifs des entreprises en matière de cybersécurité
Dans le cadre de notre recherche, nous avons élaboré un questionnaire sur la préparation à la cybersécurité des entreprises dans lesquelles nous investissons, destiné à nous permettre de comprendre notre exposition au cyber-risque dans ces investissements. Notre questionnaire comporte 17 questions, axées sur l’identification, la gouvernance, la mise en œuvre et le calcul de l’exposition au cyber-risque (significatif).
Nous avons déterminé les meilleures pratiques à partir des réponses de tous les secteurs à notre questionnaire, qui donnent lieu à quatre attentes principales liées à la cyber-préparation :
- Identification des cyber-risques : la méconnaissance par une entreprise des cyber-risques les plus importants pour son activité est un signal d’alarme. Nous nous attendons à ce que l’appétit pour le risque d’une entreprise corresponde aux cyber-risques importants connus, et à ce qu’une stratégie sur les cyber-actifs soit concrètement mise en place. Par exemple, un actif comme un code source doit être protégé différemment des données personnelles.
- Gouvernance : la cyber-résilience doit être une question examinée au niveau des conseils d’administration pour les entreprises. Les politiques en matière de données et de protection de la vie privée doivent s’appliquer largement, et couvrir les relations avec les tiers : ceux-ci doivent respecter une norme minimale en la matière pour permettre une relation commerciale. Nous préférons voir des contrôles trimestriels sur les cyber-compétences au niveau du conseil d’administration.
- Contexte : la meilleure pratique est d’être conscient de la nécessité d’un écosystème plus solide en matière de cyber-résilience. La meilleure pratique pour le contexte et l’écosystème est le partage des connaissances et la collaboration sur les priorités avec ses homologues.
- Mise en œuvre : les entreprises ayant les meilleures pratiques disposent de solides processus d’anticipation des incidents et ont mis en place des systèmes de « contrôle des dommages ». Nous attendons également des entreprises aux meilleures pratiques qu’elles aient intégré la cybersécurité au niveau des produits en amont du processus de développement des produits, et gèrent leurs cyber-actifs et leurs coûts de manière efficace.
Conclusions
Les immenses opportunités commerciales créées par la numérisation pourraient être accompagnées d’un coût de plusieurs trillions de dollars si les entreprises ne se préparent pas correctement aux cyberattaques. Le manque d’investissement dans les systèmes de cybersécurité et le savoir-faire relatif, le manque de sophistication nécessaire pour répondre aux demandes de traitement des données sensibles des clients et l’inexistence de plans de reprise après incidents figurent parmi les signaux d’alarme pour nous dans les secteurs à haut risque. Dans ce document, nous avons fait référence à des données de marché indiquant que les investisseurs réagissent clairement aux cyber-incidents et à leur gestion par les entreprises. Nous nous sommes penchés sur les implications financières des cyber-incidents. Enfin, nous présenté nos attentes concernant les meilleures pratiques relatives à la résilience en matière de cybersécurité résultant de notre analyse.
[1] World Economic Forum, The Cybersecurity Guide for Leaders in Today’s Digital World, 2019.
[2] Source : The Untold Story of NotPetya, the Most Devastating Cyberattack in History, 2018 Wired Magazine.
[3] Maersk n’a certes pas été la seule société dont les systèmes informatiques se sont effondrés suite à l’attaque de NotPetya : Le fabricant d’aliments et de boissons Mondelez, le géant pharmaceutique Merck, l’agence de publicité WPP, le fabricant de produits de santé et d’hygiène Reckitt Benckiser, la société française de construction Saint-Gobain et la filiale européenne de FedEx TNT Express ont figuré parmi les milliers de multinationales touchées.
[4] Source : Marriott Takes 126 millions $ Charge Related to Data Breach, 2019 Wall Street Journal.
[5] Selon les analystes, il est possible qu’une correction du cours du titre Marriott ait été nécessaire en 2018, après son ascension fulgurante de 64 % en 2017. Toutefois, la pression s’est accentuée au second semestre 2018 en raison d’une convergence de facteurs, puis plus particulièrement de la nouvelle de cyber-violation.
[6] Bischoff, Paul, Comparitech : How Data Breaches Affect Stock Market Share Prices, 28 nov. 2019.
[7] Source : Deloitte, 2018
[8] Le marché de la cyber-assurance représenterait, selon les estimations, quelques milliards de dollars. Fitch estime qu’en 2018, le total des primes de cyber-assurance a augmenté de 8 % à 2 milliards d’USD. Source : Fitch Ratings 2019, « Cyber Insurance Growth slows, Market Remains untested », 14 mai 2019.
[9] Ponemon Institute LLC and Accenture, The Cost of Cybercrime, 2019.
[10] The Wall Street Journal, IT spending: From value preservation to value creation, 12 mars 2018.
Nordea Asset Management est le nom fonctionnel de l'activité de gestion d'actifs conduite par les entités juridiques Nordea Investment Funds S.A. et Nordea Investment Management AB («les Entités Juridiques») et leurs succursales, filiales et bureaux de représentation. Le présent document a vocation à informer le lecteur des capacités spécifiques de Nordea. Ce document (ou toute opinion exprimée dans le présent document) ne constitue pas un conseil financier, ni une recommandation d'investissement dans un quelconque produit financier, structure d'investissement ou instrument, en vue de la conclusion ou du dénouement d'une quelconque transaction ou de la participation dans une quelconque stratégie de trading. Ce document n'est ni une offre d'achat ou de vente, ni une sollicitation pour une offre d'achat ou de vente de titres ou instruments ou pour participer à une stratégie de négociation. Une telle offre relève exclusivement du Mémorandum d'offre de service ou de tout accord contractuel similaire. Par conséquent, les informations présentes seront entièrement remplacées par la version finale dudit Mémorandum d'offre de service ou accord contractuel. Toute décision d'investissement doit donc uniquement être fondée sur la documentation juridique dans sa version définitive, qui inclut entre autres, le cas échéant, le Mémorandum d'offre de service, l'accord contractuel, tout Prospectus pertinent et le plus récent Document d'informations clés pour l'investisseur (KIID) (le cas échéant) relatif à l'investissement. L’opportunité d'un investissement ou d'une stratégie dépendra de la situation et des objectifs d'un investisseur. Nordea Investment Management AB recommande aux investisseurs d’évaluer indépendamment des investissements et des stratégies spécifiques et les encourage à demander l'avis de conseillers financiers indépendants lorsqu’ ils le jugent pertinent. Tous les produits, titres, instruments ou stratégies présentés dans ce document peuvent ne pas convenir à tous les investisseurs. Le présent document contient des informations obtenues auprès de différentes sources et considérées comme correctes. Aucune garantie n'est cependant donnée quant à leur exactitude ou à leur exhaustivité et les investisseurs peuvent recourir à d'autres sources afin de prendre une décision d'investissement éclairée. Les investisseurs ou contreparties potentiels doivent consulter leurs conseillers fiscaux, juridiques, comptables et autres quant aux répercussions éventuelles des investissements qu'ils envisagent, y compris les risques et avantages en découlant. Les investisseurs ou contreparties potentiels doivent par ailleurs avoir une parfaite compréhension de l'investissement envisagé et fonder toute décision sur une évaluation indépendante du caractère approprié d'un tel investissement, sur la base de leurs propres objectifs. Les investissements dans des instruments dérivés et les transactions de change peuvent être soumis à des fluctuations importantes qui peuvent affecter la valeur d'un investissement. Les investissements dans les marchés émergents impliquent un risque plus élevé. La valeur de l'investissement peut fluctuer considérablement et ne peut être garantie. Les investissements dans des instruments de participations et de dette émis par les banques risquent d'être assujettis au mécanisme de bail-in, comme prévu par la Directive européenne 2014/59/UE (cela signifie que les instruments de participations et de dette pourraient être amortis, assurant des pertes adéquates aux créanciers non-garantis de l’établissement). Nordea Asset Management a décidé de supporter le coût de la recherche, ces coûts étant couverts par la structure de frais existante (frais de gestion et d’administration). Publié et créé par les Entités Juridiques faisant partie de Nordea Asset Management. Les Entités Juridiques sont dûment agréées et supervisées par les autorités de surveillance financière en Suède et au Luxembourg respectivement. Les succursales, filiales et bureaux de représentation Entités Juridiques sont dûment agréées et réglementées par les autorités de surveillance financière de leurs pays d’établissement respectifs. Source (sauf mention contraire): Nordea Investment Funds S.A. Sauf indication contraire, toutes les opinions exprimées sont celles des Entités Juridiques faisant partie de Nordea Asset Management et de toutes les filiales, succursales et bureaux de représentation Entités Juridiques. Le présent document ne peut être reproduit ou distribué sans accord préalable. Les références à des sociétés ou à d'autres investissements mentionnés dans le présent document ne doivent pas être interprétées par l'investisseur comme une recommandation d'achat ou de vente; elles sont uniquement incluses à des fins d'illustration. Le régime fiscal dépend de la situation personnelle de chaque investisseur et est susceptible d'évoluer à l'avenir. © Les Entités Juridiques faisant partie de Nordea Asset Management et toutes les succursales, filiales et / ou bureaux de représentation Entités Juridiques.
