Économie

Cyber-risque : comment se préparer à l'imprévisible

La cyber-criminalité implique des coûts significatifs pour les entreprises à travers le monde. Pour l'investisseur, comprendre ce type de risque nécessite d'aller plus loin qu'une simple revue des politiques mises en place.

17/08/2018

Ovidiu Patrascu

Ovidiu Patrascu

Analyste en investissement durable

Les données numériques ont connu une croissance exponentielle ces dernières années, stimulée par la pénétration accrue des appareils mobiles et la consommation de services en ligne. L'expansion rapide du volume de données stockées par les entreprises, dont beaucoup sont relativement nouvelles pour la gestion et la sécurité des données, a attiré les cybercriminels qui utilisent des outils et des techniques de plus en plus sophistiqués. La cybercriminalité coûte aux entreprises mondiales environ 60 % de plus qu'il y a seulement cinq ans, alors qu'aux États-Unis, ce chiffre a augmenté de plus de 80 % (voir le graphique). Aucune entreprise ne peut se permettre d'ignorer la menace, et les organismes de réglementation tels que l'Information Commissioner's Office (ICO) du Royaume-Uni intensifient les mesures d'application de la loi. Leur réponse constitue la pointe de l'iceberg que représente le problème.

Hausse du coût des cyber-risques

Source : ico.org.uk, Etude 2017 sur les coûts du cyber-crime d'Accenture & Ponemon Institute, indice Cisco Global Cloud.

Que signifie le terme de cyber-risque ?

Ce terme est générique. Pour la plupart des gens, il représente le risque de perte ou de dommages causés par des brèches ou des attaques sur les systèmes d'information. Cette perte peut prendre de nombreuses formes, y compris des coûts financiers directs, des atteintes à la réputation ou à la continuité opérationnelle. Les récentes infractions très médiatisées (WannaCry, Petya, Equifax, etc.) ont permis de sensibiliser davantage les gens à la question, ce qui a attiré l'attention des organismes de réglementation. La confidentialité des données est communément associée au cyber-risque et constitue un élément central du règlement général de l'UE sur la protection des données (GDPR), entré en vigueur en mai 2018. Cette loi est devenue une norme mondiale de facto ; elle clarifie et élargit ce qu'impliquent les données sensibles, qui a les droits d'utilisation, et confie aux entreprises la responsabilité de protéger les données des clients, avec des amendes élevées[1] si elles ne le font pas.

Pourquoi les investisseurs doivent-ils s'en soucier ?

Le cyberespace est une source de plus en plus critique de risques commerciaux, en particulier pour les entreprises possédant des actifs incorporels importants tels que les marques, les relations clients ou la technologie. L'impact négatif qu'une atteinte à la protection des données peut avoir sur une marque est directement lié à la compétitivité des entreprises, aux revenus et aux flux de trésorerie futurs. Les atteintes à la protection des données révèlent souvent de mauvaises pratiques de gouvernance et une gestion faible ; le changement de personnes ou de politiques est rapide, mais le rétablissement de la confiance du marché et des clients prend beaucoup plus de temps.

L'importance de l'engagement

Selon nous, les investisseurs doivent s'efforcer de comprendre dans quelle mesure une entreprise se prépare bien aux cyberévénements. La solidité de son approche devrait donner l'assurance que, lorsque (et non si) violation il y a, des processus et des ressources sont en place pour minimiser l'impact sur les opérations et la capacité à créer de la valeur.
Pour parvenir à cette compréhension, il faut aller au-delà d'une évaluation des politiques fondée sur des formules. Nous pensons que les engagements directs auprès des entreprises sont le meilleur moyen d'obtenir des informations. Nous avons approfondi le sujet en nous concentrant sur quelques domaines principaux :
Gouvernance : évaluer dans quelle mesure le conseil d'administration comprend le cyber risque.
Expertise : l'entreprise dispose-t-elle des capacités internes pour gérer ce risque ? S'appuie-t-elle sur des compétences spécialisées provenant de l'extérieur de l'organisation ?
Technologie : l'entreprise a-t-elle adopté les meilleures pratiques d'un point de vue technique ?
Reconnaissant que le cyber risque est pertinent pour de nombreux modèles d'activité, nous nous sommes engagés avec les Chief Information Security Officers (CISO) ou les Data Protection Officers (DPOs) de dix sociétés dans lesquelles Schroders investit, dans des secteurs tels que les services financiers, la technologie et les télécommunications.

Principales conclusions : expertise et responsabilité du conseil d'administration

Nos engagements directs et spécifiques nous ont permis d'identifier où se trouve l'information importante et de mieux comprendre les forces et les faiblesses au niveau de l'entreprise. Nous pensons que les domaines clés sont :
L'expertise : il est essentiel que l'entreprise dispose d'une équipe de cybersécurité bien équipée et spécialisée, gérée par un RSSI/OPD, de préférence sous la responsabilité du PDG ou du conseil d'administration. L'équipe de sécurité doit également s'appuyer régulièrement sur une expertise externe spécialisée pour rester au fait des nouvelles menaces et des nouveaux outils de sécurité. En interne, l'équipe doit avoir la propriété directe de tâches technologiques spécifiques telles que les tests d'intrusion, les correctifs de sécurité, etc.
Responsabilité au niveau du conseil d'administration : le conseil d'administration devrait avoir une expertise spécifique pour évaluer si l'entreprise dispose des ressources opérationnelles et managériales appropriées pour atténuer les cyber risques.
L'analyse du niveau d'expertise et de responsabilité du conseil d'administration d'une société fournit à nos analystes et gérants de fonds une base sur laquelle structurer leurs questions et comparer les réponses à celles de leurs pairs.
De plus, les engagements ont changé notre compréhension de quelques domaines généralement considérés comme importants, mais que la plupart des entreprises ne prennent pas en compte.  Par exemple, nos discussions ont mis en évidence les faiblesses de se concentrer sur ISO27001 (une norme informatique que les meilleures entreprises de leur catégorie mettent en œuvre en interne), la cyberassurance (les produits actuels offrent une couverture limitée) et les politiques de protection des données (bien qu'elles soient importantes pour la conformité, elles semblent moins utiles pour gérer réellement le cyber-risque).

En résumé : un engagement ciblé

Le cyberespace constitue un risque de plus en plus important pour toute organisation. En tant qu'investisseurs, nous devons mieux comprendre comment les entreprises détenues dans les portefeuilles de nos clients sont préparées à gérer ce risque. Nous pensons que l'engagement ciblé auprès des entreprises est le moyen le plus efficace d'acquérir des connaissances dans des domaines clés tels que la gouvernance des risques au plus haut niveau et l'expertise technique, où les investisseurs pourraient être en mesure d'identifier les pratiques inappropriées avant qu'elles ne se concrétisent.

Réservé exclusivement aux investisseurs et aux conseillers professionnels.

Ce document exprime les opinions de l'équipe d'économistes de Schroders et ne représente pas nécessairement les opinions formulées ou reflétées dans d’autres supports de communication, présentations de stratégies ou de fonds de Schroders.

Ce document n’est destiné qu’à des fins d’information et ne constitue nullement une publication à caractère promotionnel. Il ne constitue pas une offre ou une sollicitation d’achat ou de vente d’un instrument financier quelconque. Il n’y a pas lieu de considérer le présent document comme contenant des recommandations en matière comptable, juridique ou fiscale, ou d’investissements. Schroders considère que les informations contenues dans ce document sont fiables, mais n’en garantit ni l’exhaustivité ni l’exactitude. Nous déclinons toute responsabilité pour toute opinion erronée ou pour toute appréciation erronée des faits. Aucun investissement et/ou aucune décision d’ordre stratégique ne doit se fonder sur les opinions et les informations contenues dans ce document.

Les performances passées ne sont pas un indicateur fiable des performances futures. Les cours des actions ainsi que le revenu qui en découle peuvent évoluer à la baisse comme à la hausse et les investisseurs peuvent ne pas récupérer le montant qu’ils ont investi.

Les prévisions contenues dans le présent document résultent de modèles statistiques, fondés sur un certain nombre d'hypothèses.

Elles sont soumises à un degré élevé d'incertitude concernant l'évolution de certains facteurs économiques et de marché susceptibles d'affecter la performance future réelle. Les prévisions sont fournies à titre d'information à la date d'aujourd'hui. Nos hypothèses peuvent changer sensiblement au gré de l'évolution possible des hypothèses sous-jacentes notamment, entre autres, l'évolution des conditions économiques et de marché. Nous ne sommes tenus à l'obligation de vous communiquer des mises à jour ou des modifications de ces prévisions au fur et à mesure de l'évolution des conditions économiques, des marchés, de nos modèles ou d'autres facteurs.

Ce document est produit par Schroder Investment Management (Europe) S.A., succursale française, 1, rue Euler, 75008 Paris, France.