par Abbie Llewellyn-Waters, Gérante Environnement et finance durable chez Jupiter AM
La cybersécurité est passée du statut de menace marginale à celui de priorité pour les conseils d'administration ; une problématique dont les investisseurs doivent être conscients. L'impact financier des atteintes à la cybersécurité, qu'elles soient rendues publiques ou non, peut être considérable et, à mesure que les entreprises s'automatisent et se connectent les unes aux autres, le risque d'une érosion conséquente du capital devient de plus en plus réel.
Les cyberattaques font aujourd’hui partie de la vie quotidienne des entreprises, mais on sait rarement qui se cache derrière les cyberattaques ciblées et quels sont leurs objectifs. Les coupables pourraient être des États avancés ou des groupes spécialisés soutenus par des gouvernements qui rassemblent des renseignements ou causent des perturbations, mais ce pourrait également être des opérations financées par des organisations criminelles à la recherche de profit.
Cependant, le cyber-attaquant est le plus souvent un salarié : un « insider ». En 2016, le Cyber Security Intelligence Index d'IBM a révélé que 60 % de toutes les cyberattaques ont été menées par des personnes au sein de la société1. Parmi ces attaques, un quart impliquait des acteurs involontaires, généralement des salariés qui n'ont pas prêté attention aux politiques de cybersécuritéde l’entreprise, tandis que les trois quarts étaient intentionnelles. Généralement, le but de ce type d'attaque est de voler des informations concurrentielles, de vendre des données ou des renseignements ; toutefois, certains ont des intentions plus malveillantes avec pour but de nuire à l'organisation même de l’entreprise2.
Qu’est-ce que cela implique dans l’analyse d’une société ?
Les entreprises qui ont à la fois compris cet enjeu et qui se sont positionnées pour définir une procédure et se montrer résilientes en cas de cyberattaque – voilà les signaux qui indiquent des équipes managériales et des entreprises de très bonne qualité soutenues par une vision et une stratégie à long terme. Les investisseurs peuvent poser ces questions très simples aux équipes dirigeantes lorsqu'ils analysent les opportunités d'investissement à long terme.
Typiquement, nous nous concentrons notamment sur :
- Le rôle de l’équipe de direction
- La formation des équipes au sens large
- L'intégration informatique – particulièrement importante pour les entreprises rachetées
- La transparence
Nous disposons de chiffres précis dans ces domaines que nous prenons en considération afin d'améliorer notre analyse financière des entreprises. Nous pensons que ces chiffres nous donnent un aperçu plus complet de la culture de l'entreprise.
Nous nous concentrons sur ces quatre domaines essentiels parce qu'ils nous permettent d'évaluer rapidement si les risques d'une cyberattaque sont bien intégrés. L'importance du risque financier n'est pas seulement liée aux perturbations opérationnelles, mais, comme nous l'avons vu dans plusieurs cas très médiatisés au cours des dernières années, ce risque constitue également une perte potentielle de revenus futurs en raison de l'érosion de la confiance de la clientèle.
Quelles conséquences lorsqu’une cyberattaque a bel et bien lieu ?
Toutes les entreprises sont vulnérables aux cyberattaques, mais lorsque des atteintes majeures deviennent publiques, nous attendons des entreprises dans lesquelles nous investissons qu’elles prennent l’initiative et qu'elles soient transparentes. Nous attendons du conseil d'administration qu'il prenne ses responsabilités et communique envers ses clients et ses actionnaires.
Pour prendre un bon exemple de réaction attendue dans ce type de situation, une des sociétés dans lesquelles nous investissons dans le secteur numérique a subi une cyberattaque qui a entraîné la fermeture de plusieurs de ses chaînes de production pendant plusieurs jours. Nous avons immédiatement contacté l'entreprise et nous avons reçu des explications détaillées sur l'incident, ce qui nous a permis d'évaluer l'impact financier, le risque client et, surtout, la façon dont l'entreprise réagissait.
L'entreprise avait été attaquée par un virus « ransomware ». Les virus « ransomware » sont devenus tristement célèbres en mai 2017, lorsque le virus WannaCry a frappé de nombreuses régions du monde, touchant plus de 200 000 ordinateurs dans 150 pays, avec des dommages totaux allant de centaines de millions à des milliards de dollars3. Le virus « ransomware » est activé lorsqu'un « fusible informatique » saute ce qui lui permet de voler les données informatiques en les cryptant et les retenir contre une rançon. Les données sont théoriquement libérées lorsque le paiement est reçu, généralement dans une crypto monnaie comme le Bitcoin.
Heureusement pour l'entreprise que nous avions en portefeuille, le virus« ransomware » rencontré n'a pas réussi à crypter les données, ce qui signifie qu'il n'y a pas eu de rançon. Bien que conscients de la perte directe de revenus découlant de la fermeture des installations afin de limiter l'incident et le résoudre, nous nous sommes concentrés sur le risque lié aux relations clients existantes.
La transparence et l'engagement de l'entreprise ont été pris en compte pour fonder l’ensemble de nos convictions à long terme sur la qualité des équipes et leur capacité à gérer les risques stratégiques.
Les mesures de cybersécurité sont un indicateur de la qualité et de la résilience d'une entreprise
Cet exemple illustre comment l'intégration plus large de facteurs ESG dans le processus de sélection des titres vient renforcer notre analyse sur la capacité de résilience opérationnelle des entreprises pour maintenir leur activité et, en fin de compte, la qualité des sociétés dans lesquelles nous investissons.
La lutte contre le « phishing » constitue un autre exemple de politique de cybersécurité visant l’excellence opérationnelle via une approche méthodique. L’email de « phishing » tente de vous inciter à cliquer sur un hyperlien. Nous pensons qu'avoir une stratégie claire pour prévenir ces attaques constitue un indicateur d'une entreprise de meilleure qualité conçue pour être résiliente et robuste, proactive et non seulement réactive.
Finalement, les entreprises dont les procédures de cybersécurité et la gouvernance sont médiocres pourraient bien, selon nous, présenter d'autres faiblesses sous-jacentes qui les exposent à des risques externes plus larges. Nous pensons que l'application d'une approche fondée sur le bon sens pour intégrer les facteurs ESG dans le processus d'investissement peut permettre de mieux comprendre la culture et la position stratégique d'une entreprise, ainsi que la façon dont elle pense, communique et quantifie le risque intrinsèque. Il est assez fréquent que les entreprises qui,par exemple, abordent la cybersécurité de manière globale soient naturellement plus résilientes sur le plan opérationnel4.
Nous pensons que l'évaluation de la gouvernance et de la stratégie en matière de cybersécurité améliore notre analyse fondamentale avant d'investir pour le compte de nos clients. En termes simples, nous croyons que les entreprises qui comprennent et gèrent ce type de risques auront tendance à être mieux dirigées.
NOTES
- 2016 Cyber Security Intelligence Index, IBM, juin 2016
- The Biggest Cybersecurity Threats Are Inside Your Company, Harvard Business Review, septembre 2016
- Europol, mai 2017
- Becoming operationally resilient: A guide to operational resilience in Financial Services, PWC, juillet2018