Michaela Zhirova et Marjo Koivisto | Janvier 2020

Introduction

Les cyberattaques ont presque doublé au cours des cinq dernières années, et leur coût est estimé à 90 000 milliards d’USD selon le Forum économique mondial.1 En effet, les nouvelles technologies sont introduites à un rythme rapide et à grande échelle dans tous les secteurs, ouvrant des champs de vulnérabilité toujours plus grands aux cyberattaques d’acteurs malveillants. Cela ne fera qu’augmenter à mesure que les essais et les projets pilotes pour la 5G s’accéléreront. Les cyberattaques sur des entreprises et des gouvernements comprennent, sans s’y limiter, les atteintes à la vie privée et à la confidentialité, le vol coûteux de données, la mise à mal de l’intégrité et de l’accessibilité de systèmes et la destruction de données. En outre, bien que les cyberattaques deviennent à la fois plus fréquentes et plus sophistiquées à un rythme alarmant, les entreprises semblent sous-investir dans la gestion du cyber-risque. En fait, l’un des deux principaux défis identifiés par les responsables de la sécurité de l’information est le manque de ressources.

Ce livre blanc sur l’Investissement Responsable expose les raisons pour lesquelles nous considérons la cybersécurité comme un facteur de risque ESG de plus en plus important dans tous les secteurs, et nous réfléchissons aux principales implications financières des cyber-incidents que nous avons identifiés pour les entreprises. En outre, nous avons attribué une note en matière d’exposition aux cybermenaces aux différents secteurs et nous donnons notre avis sur ceux présentant un risque élevé. Dans le cadre de notre pratique d’engagement ESG, nous avons développé une méthode pour intégrer les meilleures pratiques en matière d’identification des cyber-menaces, de gouvernance, de sensibilisation contextuelle et de mise en œuvre de mesures de cybersécurité. Nous encourageons l’utilisation d’un questionnaire visant à aider l’établissement d’une norme de cyber-résilience des entreprises, et présentons nos attentes en matière de meilleures pratiques de préparation des entreprises dans le domaine de la cybersécurité.

Cyberattaques majeures :
quelques enseignements concernant les implications financières pour les entreprises

Dans la mesure où l’identification, l’évaluation et l’élimination des cyberattaques peuvent prendre beaucoup de temps et entraîner des pertes opérationnelles, leurs coûts pour les entreprises continuent d’augmenter. C’est apparu clairement lors de certaines des plus grandes attaques de ransomware de tous les temps, par exemple celle de NotPetya. L’attaque de ransomware (rançongiciel) sur NotPetya s’est propagée en 2017 à partir des serveurs ukrainiens aux grandes entreprises mondiales, entraînant des pertes totalisant plus de 10 milliards d’USD2 de dommages aux entreprises et affectant des ordinateurs dans le monde entier. Elle a infecté des entreprises dans de nombreux secteurs, des prestataires de services médicaux à une grande entreprise de logistique (A.P. Møller-Maersk), entraînant l’arrêt de ses opérations pendant plus de 10 jours.(3)

Marriott est une autre grande entreprise qui a fait l’objet d’une importante attaque de ransomware. Le 8 septembre 2018, un outil de sécurité interne a signalé une tentative suspecte d’accéder à la base de données interne de réservation des clients pour les marques Starwood de Marriott. Une enquête interne a alors été déclenchée, qui a déterminé que le réseau Starwood, acquis par Marriott en 2016, avait été compromis dans le courant de 2014. Selon certains rapports, au moment de l’attaque, les anciens hôtels Starwood n’avaient pas été migrés vers le propre système de réservation de Marriott et utilisaient toujours des infrastructures informatiques héritées de Starwood. L’enquête de Marriott a trouvé des données que les attaquants avaient cryptées et a montré qu’ils avaient tenté (probablement avec succès) de retirer des données personnelles des systèmes de Starwood. Marriott a réussi à décrypter les données et a découvert qu’elles incluaient des informations provenant de millions de dossiers clients (jusqu’à 500 millions), dont beaucoup incluaient des informations extrêmement sensibles comme des numéros de cartes de crédit et de passeport.

Les implications financières de l’incident ransomware sur Marriott ont été graves. En juillet 2019, la société a été condamnée par le Royaume-Uni à une amende de 126 millions d’USD dans le cadre des réglementations générales sur la protection des données (General Data Protection Regulations, GDPR). Ses résultats du T2 2019 ont fait état d’une baisse de 65 % de ses bénéfices à 232 milliards d’USD, soit 69 centimes par action.(4) La chaîne hôtelière a également été condamnée à une amende de 1,5 million de livres (~ 265 000 $) par l’autorité turque de protection des données (non soumise à la législation GDPR) pour cet incident, soulignant comment un seul manquement peut donner lieu à plusieurs amendes de par le monde. Enfin, en mars 2019, il y a eu une amende de 28 millions d’USD (dont l’impact sur l’entreprise a été de seulement 3 millions d’USD parce que Marriott avait une cyber-assurance).

L’atteinte à la cybersécurité de Marriott est devenue publique le 30 novembre 2018. Au cours du mois qui a suivi la nouvelle, le cours de l’action Marriott a plongé de 17 %, un impact important même replacé dans le contexte d’un mois de décembre volatil et de la forte performance de l’année précédente.(5)

‘Dans la mesure où l’identification, l’évaluation et l’élimination des cyberattaques peuvent prendre beaucoup de temps et entraîner des pertes opérationnelles leurs coûts pour les entreprises continuent d’augmenter. ‘

Les analyses empiriques du marché montrent en effet que les investisseurs punissent les entreprises laissant des fuites de données se produire. Cela devrait inciter fortement les entreprises à mieux se préparer en matière de cybersécurité. Une étude récente sur les sociétés cotées au NYSE qui ont connu une violation signalée au public portant sur 1 million de dossiers ou plus a montré que les cours des actions atteignent un point bas environ deux semaines après la publication de la nouvelle, chutant de 7,27 % en moyenne, et sous-performant le NASDAQ de -4,18 %.6 La même étude a constaté que même si l’impact de la violation sur les cours des actions de ces entreprises diminue au fil du temps, celles-ci enregistrent une sous-performance par rapport au marché (pendant 1 ou 2 ans).

Cyber-risque sur la création de valeur : Efforts d’estimation des coûts et de l’impact sur le chiffre d’affaires

Étant donné qu’il est extrêmement difficile de prédire les cyber-incidents, il est aussi très compliqué d’estimer leurs coûts. En outre, une étude de Deloitte a récemment suggéré que les assureurs hésitent à prendre en charge le cyber-risque en raison des défis posés par la modélisation financière d’une cible qui évolue régulièrement à mesure que de nouveaux attaquants et de nouveaux types d’attaques apparaissent.7 Ceci dit, les cyberattaques hautement médiatisées ont conduit à une sophistication des couvertures d’assurance contre les cyber-risques, et leurs fournisseurs indiquent en effet qu’au cours des 3 à 4 dernières années, les données de modélisation basées sur des scénarios utilisées par les principaux fournisseurs de cyber-assurances sont devenues de plus en plus uniformes.8

Dans une étude de 2019 portant sur les entreprises du Forbes Global 2000 (les deux mille plus grandes sociétés par actions mondiales), Accenture a fait état d’un coût moyen mondial en 2017 d’une attaque de cybercriminalité par entreprise de 11,7 millions d’USD, mais le coût moyen, parallèlement au nombre de violations, avait augmenté de 1,3 million d’USD en glissement annuel.9 Pour les petites et moyennes capitalisations, qui consacrent moins de ressources à l’informatique et à la cyber-résilience opérationnelle, le coût pourrait être encore plus élevé. Pourtant, peu d’informations sont publiées sur les coûts des incidents ou leurs détails (par exemple les heures d’arrêt des systèmes ou les dépenses de cybersécurité nécessaires). C’est pourquoi, dans ce document, nous n’essayons pas d’estimer les coûts.
Nous avons plutôt repéré les secteurs dans lesquels la création de valeur est la plus exposée aux cyber-incidents.

Nous nous concentrons sur certains des secteurs les plus vulnérables, en estimant quelle part de l’activité d’une entreprise pourrait être la plus à risque. Pour éviter d’entrer dans des particularités technologiques, nos notations ont conceptualisé le risque très globalement. Pour arriver à un score sectoriel, nous avons noté les secteurs selon trois groupes d’indicateurs : potentiel de dommage (sur les biens, personnes, l’environnement ou de perturbation), type de faiblesse du système (manque de sensibilisation, d’expertise ou de communication), et exposition (modèle économique sensible, stockage de données précieuses ou sensibles). Pour les notations sectorielles du premier et du troisième groupe d’indicateurs, nous avons analysé les modèles opérationnels des secteurs en question afin d’identifier les impacts pertinents. Un deuxième groupe d’indicateurs traite des faiblesses potentielles des pratiques : préparation et gouvernance, âge des systèmes, sensibilisation, expertise et communication.

Pour la note de ce groupe, nous avons évalué environ 30 documents commerciaux, des articles de conférence de responsables de la sécurité informatique et des études de consultants afin de comprendre les problèmes systémiques les plus courants dans un secteur donné. Le fait que le modèle économique soit bâti sur des données ou que les données que les entreprises du secteur ont tendance à stocker soient particulièrement sensibles ou précieuses constituent une autre dimension de l’exposition. Pour simplifier, les critères de notation des entreprises ont été : la qualité de la gouvernance du cyber-risque, la mise à jour de leurs systèmes, leur accès au savoir-faire nécessaire et les flux de communication entre les différentes parties de l’organisation (sont-ils suffisants pour intégrer efficacement les solutions de sécurité).

Les secteurs les plus exposés se répartissent à peu près en deux groupes : l’industrie et le secteur manufacturier. Ces deux secteurs obtiennent un score « élevé moyen » pour ce qui est de leur exposition, mais perdent des points du fait de leur manque d’investissement dans les systèmes et l’expertise.

Les systèmes des secteurs de la restauration et des loisirs ont tendance à manquer significativement de la sophistication nécessaire pour répondre aux demandes de traitement des données clients sensibles qu’ils gèrent.

‘ Une préoccupation essentielle exprimée par les responsables de la sécurité informatique est que les entreprises, en général, ne dépensent pas assez pour se préparer aux cyber-incidents. ‘

Contexte concernant nos attentes à l’égard des entreprises

Dans la mesure où il n’est pas possible d’être totalement protégé contre les cyberattaques, les entreprises devraient chercher à être suffisamment préparées pour répondre à d’éventuels incidents de cyber-violation.

Une autre préoccupation essentielle exprimée par les responsables de la sécurité informatique est que les entreprises, en général, ne dépensent pas assez pour se préparer aux cyber-incidents. Selon une étude d’IBM,10 les entreprises devraient idéalement consacrer 14 % de leur budget informatique à la cybersécurité, mais si l’on examine les moyennes sectorielles (par exemple 3,73 % du chiffre d’affaires pour les sociétés informatiques) dans le contexte du chiffre d’affaires 2018, il devient clair que les entreprises ne dépensent pas assez. C’est difficile pour les entreprises de dévoiler leur budget de dépenses de cybersécurité, mais nous pensons que les investisseurs doivent demander ces précisions.L’une des principales mesures devrait consister à identifier clairement les parties du modèle économique (du chiffre d’affaires) les plus exposées à des cyber-risques importants. Ainsi, un incident pourrait ralentir les activités pendant des jours, entraînant immédiatement un manque à gagner. Prenons par exemple le secteur des télécommunications, qui a tendance à être mieux préparé que les cas à haut risque mentionnés ci-dessus.  Une grande entreprise de télécommunications pourrait avoir environ 20 à 30 % de son chiffre d’affaires total dans le service aux entreprises et l’infogérance régis par des accords de niveau de service avec des entreprises clientes. Les clients pourraient exiger leur application en cas de violation, engageant la responsabilité du prestataire de services. Pour prendre un autre exemple, les entreprises numériques, dont le principal produit est le code source, ne seraient pas en mesure de vendre leur produit si le code était violé, entraînant des pertes de revenus encore plus importantes.

Données binaires sur les gratte-cielsDonnées binaires sur les gratte-ciels

Ce que nous attendons des préparatifs des entreprises en matière de cybersécurité

Dans le cadre de notre recherche, nous avons élaboré un questionnaire sur la préparation à la cybersécurité des entreprises dans lesquelles nous investissons, destiné à nous permettre de comprendre notre exposition au cyber-risque dans ces investissements. Notre questionnaire comporte 17 questions, axées sur l’identification, la gouvernance, la mise en œuvre et le calcul de l’exposition au cyber-risque (significatif).

Nous avons déterminé les meilleures pratiques à partir des réponses de tous les secteurs à notre questionnaire, qui donnent lieu à quatre attentes principales liées à la cyber-préparation :

  1. Identification des cyber-risques : la méconnaissance par une entreprise des cyber-risques les plus importants pour son activité est un signal d’ Nous nous attendons à ce que l’appétit pour le risque d’une entreprise corresponde aux cyber-risques importants connus, et à ce qu’une stratégie sur les cyber-actifs soit concrètement mise en place. Par exemple, un actif comme un code source doit être protégé différemment des données personnelles.
  2. Gouvernance : la cyber-résilience doit être une question examinée au niveau des conseils d’administration pour les entreprises. Les politiques en matière de données et de protection de la vie privée doivent s’appliquer largement, et couvrir les relations avec les tiers : ceux-ci doivent respecter une norme minimale en la matière pour permettre une relation commerciale.  Nous préférons voir des contrôles trimestriels sur les cyber-compétences au niveau du conseil d’administration.
  3. Contexte : la meilleure pratique est d’être conscient de la nécessité d’un écosystème plus solide en matière de cyber-résilience. La meilleure pratique pour le contexte et l’écosystème est le partage des connaissances et la collaboration sur les priorités avec ses
  4. Mise en œuvre : les entreprises ayant les meilleures pratiques disposent de solides processus d’anticipation des incidents et ont mis en place des systèmes de « contrôle des dommages ». Nous attendons également des entreprises aux meilleures pratiques qu’elles aient intégré la cybersécurité au niveau des produits en amont du processus de développement des produits, et gèrent leurs cyber-actifs et leurs coûts de manière.

Conclusions

Les immenses opportunités commerciales créées par la numérisation pourraient être accompagnées d’un coût de plusieurs trillions de dollars si les entreprises ne se préparent pas correctement aux cyberattaques. Le manque d’investissement dans les systèmes de cybersécurité et le savoir-faire y relatif, le manque de sophistication nécessaire pour répondre aux demandes de traitement des données sensibles des clients et l’inexistence de plans de reprise après incidents figurent parmi les signaux d’alarme pour nous dans les secteurs à haut risque. Dans ce document, nous avons fait référence à des données de marché indiquant que les investisseurs réagissent clairement aux cyber-incidents et à leur gestion par les entreprises. Nous nous sommes penchés sur les implications financières des cyber-incidents. Enfin, nous présenté nos attentes concernant les meilleures pratiques relatives à la résilience en matière de cybersécurité résultant de notre analyse.

1 World Economic Forum, The Cybersecurity Guide for Leaders in Today’s Digital World, 2019.
2 Source : The Untold Story of NotPetya, the Most Devastating Cyberattack in History, 2018 Wired Magazine.
Maersk n’a certes pas été la seule société dont les systèmes informatiques se sont effondrés suite à l’attaque de NotPetya : Le fabricant d’aliments et de boissons Mondelez, le géant pharmaceutique Merck, l’agence de publicité WPP, le fabricant de produits de santé et d’hygiène Reckitt Benckiser, la société française de construction Saint-Gobain et la filiale européenne de FedEx TNT Express ont figuré parmi les milliers de multinationales touchées.
4 Source : Marriott Takes 126 millions $ Charge Related to Data Breach, 2019 Wall Street Journal.
5 Selon les analystes, il est possible qu’une correction du cours du titre Marriott ait été nécessaire en 2018, après son ascension fulgurante de 64 % en 2017. Toutefois, la pression s’est accentuée au second semestre 2018 en raison d’une convergence de facteurs, puis plus particulièrement de la nouvelle de cyber-violation.
6 Bischoff, Paul, Comparitech : How Data Breaches Affect Stock Market Share Prices, 28 nov. 2019.
7 Source : Deloitte, 2018
8 Le marché de la cyber-assurance représenterait, selon les estimations, quelques milliards de dollars. Fitch estime qu’en 2018, le total des primes de cyber-assurance a augmenté de 8 % à 2 milliards d’USD. Source : Fitch Ratings 2019, « Cyber Insurance Growth slows, Market Remains untested », 14 mai 2019.
9 Ponemon Institute LLC and Accenture, The Cost of Cybercrime, 2019.