L’ESG à l’ère de la cybersécurité

Post with image

La cybersécurité est rapidement devenue un défi majeur en raison des attaques qui menacent de déclencher un réel chaos social et des perburbations dans les systèmes informatiques à travers le monde. McAfee estime à plus de 400 milliards de dollars américains chaque année le coût global de ces attaques sur l’économie mondiale. Les investisseurs institutionnels doivent être conscients de l’impact potentiel sur leurs investissements et de la façon dont les entreprises bénéficiaires gèrent les risques.

Cette année, les virus « WannaCry » et « Petya » ont fait les gros titres de l’actualité lorsqu’ils ont infecté des centaines de milliers d’ordinateurs dans 150 pays et perturbé de nombreuses grandes entreprises dans le monde. Et il ne s’agit là que de deux des nombreuses cyberattaques pernicieuses de ces dernières années. Selon un rapport de PwC publié en 2015 intitulé « Global State of Information Security », le nombre d’actes malveillants a augmenté de plus de 1 000 % entre 2009 et 2014 passant ainsi de 3,4 à 42,8 millions.

Pourquoi ces attaques ?

Alors que « WannaCry » a mis en évidence les risques liés aux attaques de type rançongiciel (ou « ransomware »), les motivations à l’origine de ces cyberattaques sont vastes et complexes. Il peut s’agir d’espionnage industriel ou gouvernemental, d’une recherche de profits pure, ou d’une marque de protestation voire d’activisme.

Selon le  « Breach Level Index » de Gemalto , 68 % des attaques en 2016 ont été menées par des tiers malveillants, 19 % correspondaient à des pertes accidentelles, 9 % ont été menées par des initiés (employés des entreprises attaquées), 3 % par des hackers activistes et seulement 1 % des attaques était sponsorisé par un État.​

Le type d’attaque dépend du genre de données compromises. Le plus courant concerne le vol d’identité lequel représente 59 % de tous les incidents. Ils permettent aux pirates informatiques d’accéder à des informations sensibles et précieuses pour les entreprises et les gouvernements. Le vol de fonds financiers arrive juste ensuite et représente 18 % des attaques.

Un risque bien réel pour les investisseurs

Les cyberattaques présentent un risque bien réel pour un grand nombre d’entreprises bénéficiaires et peuvent compromettre les intérêts de toutes les parties prenantes. Tout d’abord, ces virus peuvent perturber les opérations et la méthode de travail des employés et managers d’une entreprise. Ensuite, ils peuvent mettre en péril l’ensemble des systèmes informatiques sur lesquels reposent en partie les relations avec les fournisseurs et les entrepreneurs. De plus, une entreprise qui ne réussit pas à protéger les données personnelles de ses clients aura davantage de mal à conserver leur confiance même si la relation les unissant est bonne. Enfin, elles peuvent se retrouver en porte-à-faux vis-à-vis des régulateurs à la suite d’un durcissement de la législation. Il appartient donc aux investisseurs institutionnels, dans le cadre de leur devoir fiduciaire, de prendre conscience de ces risques et de les gérer comme il convient.

Quel degré de fragilité pour votre investissement ?

Les investisseurs institutionnels doivent être en mesure de déterminer le degré de probabilité de cyberattaques sur les portefeuilles et comprendre comment les entreprises bénéficiaires gèrent les failles humaines et technologiques. Ce n’est pas une mince affaire vu le manque de transparence des entreprises sur le sujet. Deux facteurs sont à l’origine de cet état de fait : d’une part le manque de compréhension de la haute direction et des conseils d’administration concernant l’ampleur et l’importance des risques cybernétiques, et d’autre part le manque d’expérience dans le déploiement de solutions appropriées visant à gérer les cybermenaces. À dire vrai, les hauts décideurs commencent seulement à déployer les solutions nécessaires. Par exemple, en Europe, la directive sur la sécurité des réseaux et des systèmes d’information (Network and Information Systems Directive) porte sur la perte de service. Elle entrera en vigueur en mai 2018. Les gouvernements pourront appliquer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel global des entreprises qui omettent de prendre des mesures de limitation des risques. Le règlement général sur la protection des données, qui porte sur la perte de données, entrera en vigueur au même moment et inclut le même type d’amendes potentielles pour les entreprises.

La cybersécurité sous le prisme des critères environnementaux, sociaux et de gouvernance (ESG)

La cybersécurité influe sur les critères « S » (satisfaction de la clientèle et donc la qualité du service) et « G » (la façon dont le conseil d’administration gère les risques) de l’ESG.

BNP Paribas Asset Management a deux niveaux d’évaluation. Tout d’abord, nous examinons la stratégie de l’entreprise tierce en matière de cybersécurité et la façon dont elle la met en œuvre. Nous attendons d’elle qu’elle nous explique comment elle identifie et gère ses failles liées à son processus de protection des données. Elle doit en outre décrire son plan d’action, sa façon de détecter et de réagir face à une menace, et expliquer par la suite comment elle récupère les données compromises. Ensuite, nous nous concentrons sur les comités de gouvernance et de supervision du risque de l’entreprise et attendons d’elle qu’elle identifie les personnes clés en chagre de la mise en œuvre des actions correctrices. Il est nécessaire qu’elle implique la haute direction et le conseil dans la supervision de l’intégralité de cette démarche.

La perte de données et de service peut représenter un coût

Les cyberattaques ont de réelles implications financières. Les investisseurs souhaitent clairement que la cybersécurité figure en tête des priorités des conseils d’administration et que les structures de gouvernance puissent faire face efficacement à ces menaces. Elles ne sont plus uniquement le problème du département IT et les investisseurs doivent prendre des mesures pour persuader les entreprises d’adopter les meilleures pratiques de cybersécurité et d’investir dans des solutions techniques appropriées.

BNP Paribas Asset Management est un membre actif du PRI Cyber Security Advisory Committee (Comité consultatif en cybersécurité) lancé en 2016. Son rôle : élaborer un cadre d’évaluation des risques afférents à la cybersécurité et comprendre les actions menées par les entreprises pour les gérer. Cette année, lors de la conférence « PRI in Person » une session dédiée à la cybersécurité se tiendra dans le but de déclencher une prise de conscience et aider à informer les investisseurs sur la manière d’inciter les entreprises à adopter les meilleures pratiques en la matière.


Rédigé le 02/10/2017

Felipe Gordillo

SRI Senior Analyst

Laisser un commentaire

Your email adress will not be published. Required fields are marked*