par Nina Hodzic, Spécialiste ESG Senior chez NN Investment Partners
De plus en plus d’informations personnelles et professionnelles transitent sous forme digitale sur des plateformes technologiques ouvertes et interconnectées à l’échelle mondiale. Cette tendance entraîne de sérieux risques en matière de sécurité des données et de protection de la vie privée. Quasiment pas un jour ne passe sans que l’on apprenne une nouvelle menace dans le cyberespace ou une importante fuite de données. Les pirates informatiques, les criminels et les gouvernements étrangers ont adapté leurs techniques de vol, de fraude et de sabotage à ce monde de plus en plus interconnecté. La menace grandissante de la cybercriminalité et les opportunités que ceci implique constituent un nouvel aspect de l’investissement responsable.
À la suite des actes du dénonciateur américain Edward Snowden, la protection des données est devenue une préoccupation majeure pour les entreprises socialement responsables. Les révélations de l’ancien consultant de l’Agence de sécurité nationale américaine ont mis en évidence l’ampleur de la supervision des communications internet par le gouvernement. Des sociétés telles que Facebook et Google ont dû se justifier lorsque l’on a appris qu’elles communiquaient des données au gouvernement américain en vertu d’injonctions légales.
Une idée erronée répandue est que les agresseurs sont des personnes extérieures aux sociétés. Malheureusement, il s’agit assez souvent de personnes internes : un employé en fonction ou ayant quitté l’entreprise, un prestataire de services, un utilisateur autorisé des systèmes internes ou un sous-traitant. Nous ne sommes souvent pas conscients de ces incidents impliquant des personnes internes et nous sous-estimons leur impact. Dans une enquête menée auprès plus de 500 responsables de sociétés, des services de l’ordre et d’agences gouvernementales (2014 US State of Cybercrime Survey), PwC a consta- té que seules 49% des personnes interrogées disposaient d’un plan pour lutter contre les menaces internes.
Un rapport de juin 2014 publié par le ‘Center for Strategic and International Studies’ (CSIS) a révélé que les États-Unis, la Chine et l’Allemagne subissaient ensemble des pertes estimées à $200 milliards par an en raison de la cybercriminalité. Au niveau des entreprises, on constate qu’une large majorité d’entre elles sont toujours en train de développer leurs capacités de gestion du cyberrisque. Elles recherchent des moyens de mieux comprendre quelles informations doivent être protégées, qui sont les personnes s’attaquant à leurs données et quels mécanismes de protection sont les plus efficaces.
Toutes les nouvelles ne sont cependant pas négatives. Le cyberespace est en pleine évolution et les sociétés n’hésitent pas à adopter de nouvelles technologies, comme l’utilisation d’internet pour développer de nouveaux canaux ou l’utilisation des services ‘cloud’. Ces développements créent de nombreuses opportunités, mais entraînent également des risques inattendus. Le secteur de la cybersécurité est en plein essor et les sociétés tirant profit de ces tendances naissantes sont susceptibles de créer de la valeur.
Les entreprises qui sont actuellement les mieux protégées contre la cybercriminalité nomment des responsables supervisant toutes les activités dans le cyberespace et donnant des conseils à la direction. L’une des principales questions en matière de protection des données est de savoir si la société ne transmet pas trop facilement des données au gouvernement. Vodafone a pris l’initiative dans ce débat en rendant publiques toutes les demandes gouvernementales d’accès aux données personnelles de ses clients dans 29 pays.
Bien que les principaux acteurs aient déjà pris de nombreuses mesures allant dans la bonne direction, il reste encore du pain sur la planche. Les systèmes technologiques deviennent de plus en plus complexes et sont dès lors plus difficiles à sécuriser. Les procédures doivent être simplifiées et les dépendances doivent être réduites, par exemple via des systèmes moins intégrés. Les dirigeants de sociétés doivent également prendre des mesures visant à améliorer leur cybersécurité en temps voulu. À terme, ceci améliorera également la collaboration entre les sociétés et leurs partenaires en matière de politique publique et internationale et générera des réactions plus collectives et systématiques.
Les entreprises doivent veiller à ce que leurs clients leur fassent confiance. La confiance peut favoriser ou faire échouer des affaires. Tant le secteur privé que le secteur public doivent investir davantage pour recruter, conserver et bien rémunérer des spécialistes en matière de cybersécurité. Une possibilité est d’offrir aux pirates informatiques malveillants l’opportunité de devenir des cybertalents bienveillants.
Comment profiter de ce thème en tant qu’investisseur ?
Les investisseurs peuvent profiter du thème de la sécurité des données et de la protection de la vie privée de nombreuses façons. Ils peuvent par exemple investir dans les sociétés dont l’activité est clairement liée à la sécurité des consommateurs, la sécurité des données, l’infrastructure critique, le cryptage des données, la sécurité des entreprises, les pare-feu, la détection des intrusions et la sécurité du transfert des données mobile et via internet. Dans tous les secteurs, il est également important de savoir si les sociétés sont bien protégées contre les cyberattaques et quelles initiatives elles ont prises en matière de sécurité des données et de protection de la vie privée. Chez NN Investment Partners, nous pensons que la cybersécurité mérite une attention toute particulière de la part des entreprises. Nous incitons ces dernières à protéger les données sensibles qui leur sont confiées par leurs clients.