AIQ - La gestion de risques

Le risque de cybersécurité à l’aune de la quatrième révolution industrielle

La deuxième partie de notre série explore les sources potentielles de la prochaine crise mondiale

Le COVID-19 a ébranlé les investisseurs en les incitant à prendre plus au sérieux les risques de pandémie. Dans un monde de plus en plus connecté, où les données représentent la nouvelle ressource précieuse, les cyberattaques pourraient-elles constituer la prochaine grande menace ?

Au printemps 2011, les utilisateurs du PlayStation Network de Sony ont reçu un message les informant que « certaines des fonctions du PlayStation Network étaient hors service ». Ce que les utilisateurs de PlayStation ignoraient, c’est que Sony avait en coulisses les preuves d'une cyberattaque qui finirait par compromettre les données d'environ 100 millions de clients, y compris des informations personnelles et financières. Le réseau PlayStation de Sony avait alors été mis hors ligne pendant que les ingénieurs s'affairaient à réparer les dégâts, l’ensemble des fonctions n'ayant pu être complètement restaurées pendant 40 jours environ.1

La perte de revenus due à cette panne, les poursuites judiciaires qui ont suivi intentées par des utilisateurs victimes de fraude à la carte de crédit, et les efforts commerciaux tels que des offres gratuites de jeux PlayStation pour faire revenir les clients auront finalement coûté à la société 170 millions de dollars à l’occasion d'un des vols de données les plus dommageables de l'histoire.2

« Il faut réfléchir à ce changement de paradigme », avertit Marc Goodman, auteur de « Future Crimes: Inside the Digital Underground and the Battle for Our Connected World » (Crimes du futur : dans les coulisses du numérique et la guerre de notre monde connecté), en référence à l'affaire.3 « Jamais dans l'histoire de l'humanité il n'avait été possible à une seule personne de voler 100 millions de personnes simultanément ».

Fast and furious

Alors que l'Internet des objets (IoT), l'intelligence artificielle et le cloud computing commencent à façonner les réalités commerciales de l’ensemble des secteurs, les cybermenaces ne peuvent que monter en puissance, tant en nombre qu'en coût financier. De plus en plus, ces menaces proviennent non seulement de pirates informatiques aguerris, mais aussi de pays et, plus inquiétant encore, d’employés d’entreprises.

Mais cette même dynamique est également le moteur de l'économie mondiale, permettant à de nombreuses entreprises de trouver de nouveaux moyens de créer de la valeur en monétisant les données pour aider leurs clients, réduire les coûts et améliorer leur efficacité. Cela encourage à leur tour les entreprises à collecter et à stocker toujours plus de données à travers le monde.

Les violations impliquant des données d'utilisateurs restent les plus fréquentes.

L'université du Maryland estime qu'une violation de données se produit toutes les 39 secondes aux États-Unis, touchant ainsi près d'un Américain sur trois. Selon les estimations d'IBM, le coût moyen de chaque violation de données est d'environ 3,9 millions de dollars pour les entreprises.4 Et à l'échelle mondiale, la croissance du volume des transferts de données transfrontaliers (voir Graphique 1) accroit les vulnérabilités.

Graphique 1 : Flux de données transfrontaliers

Cross-border data flows
Source : TéléGéographie, Géographie mondiale de l'Internet : analyse du McKinsey Global Institute, 2017 Note : Les courbes représentent la bande passante inter-continents (par exemple entre l'Europe et l'Amérique du Nord), mais excluent la bande passante transfrontalière à l’intérieur des continents (par exemple pour relier les nations européennes entre elles).

Les violations impliquant des données d'utilisateurs restent les plus fréquentes. Même si elles pénalisent principalement les personnes visées, le vol de données peut également exposer les entreprises à des poursuites juridiques, à des pertes de revenus et à de graves perturbations opérationnelles. Dans certains cas, des vies sont même en danger. D'autres types de crimes commis en ligne tels que les logiciels malveillants et les demandes de rançon, bien que moins répandus, ont un coût encore plus élevé. Selon IBM, le coût moyen de ce type d’incidents s'élève à environ 239 millions de dollars, soit plus de 60 fois le coût habituel d'une violation de données. En vertu du règlement général sur la protection des données adopté par l'UE (RGPD), les entreprises peuvent désormais se voir infliger des amendes allant jusqu'à 4% de leur chiffre d'affaires annuel. 

L'adversaire intelligent

Le Forum économique mondial (WEF), également à l'origine de l'expression de « quatrième révolution industrielle », a classé les cyberattaques à grande échelle parmi les dix plus grands risques de la prochaine décennie.6

« Imaginez par exemple que Facebook soit piraté : tout à coup, vous avez deux milliards de vols d'identité et des conséquences énormes », explique Didier Sornette, professeur de risques entrepreneuriaux au département de gestion, technologie et économie de l'École polytechnique fédérale de Zurich.

La nature du risque de cybersécurité présente des défis particuliers, nécessitant une approche différente pour le gérer.

Ce scénario pourrait sembler tiré par les cheveux compte tenu des budgets massifs consacrés par les grandes entreprises technologiques au renforcement de la cyberdéfense. Les cinq principales entreprises technologiques - Facebook, Apple, Amazon, Microsoft et Alphabet, la société mère de Google - sont celles qui détiennent le plus grand nombre de brevets en matière de sécurité de données (voir Graphique 2). Néanmoins, les défenses de sécurité de Facebook ont déjà été franchies, notamment en 2018. Ce sont au moins 90 millions de comptes d'utilisateurs qui ont ainsi été compromis, alors même que la société se remettait à peine du scandale de données lié à Cambridge Analytica. 

Graphique 2 : Activités des Big Tech en matière de dépôt de brevets sur la sécurité des données

Big Tech’s data security patent application activities
Source : cbinsights.com, 2017. Note : Le processus de dépôt de brevets implique un délai important avant la publication des demandes de brevet. Ce délai peut aller de plusieurs mois à plusieurs années, ce qui signifie que les dossiers antérieurs à 2016 sont probablement clos au moment de l'analyse, mais que certaines demandes datant de 2016 n'ont pas encore été publiées.

« La nature du risque de cybersécurité présente des défis particuliers, nécessitant une approche différente pour le gérer », affirme Sam Savage, auteur de The Flaw of Averages (Le défaut des moyennes) et directeur exécutif de ProbabilityManagement.org, une organisation à but non lucratif spécialisée dans la modélisation de l'incertitude. « On ne peut pas traiter les menaces de cybersécurité comme on gérerait par exemple le risque de fusion dans une centrale nucléaire », ajoute Savage. « Le réacteur nucléaire n'est pas là pour vous tromper. Si le noyau fond, c'est que quelque chose ne va pas avec la physique. Dans le domaine de la cybersécurité, nous sommes face à un adversaire intelligent. »

Cette interaction entre l'attaque et la défense en matière de cybersécurité est donc en train de s'intensifier. L'augmentation exponentielle des données et de leur connectivité se conjugue avec la croissance des systèmes complexes de partage des données. « Au cours des 30 prochaines années, nous vivrons sur une planète entièrement numérique », prévoit Warren Black, fondateur et directeur de Complexus, initiative de collaboration et de conseil en matière de recherche industrielle fondée en 2016 et dédiée à la gestion des risques dans les systèmes hautement complexes.

Le nombre d’appareils connectés à l'Internet des Objets est estimé à environ 38 milliards,7 soit près de cinq pour chacun des huit milliards d’humains (environ). Et les anciens réseaux informatiques sont de moins en moins adaptés aux stratégies sophistiquées déployées par les pays. Celles-ci peuvent utiliser des algorithmes d'apprentissage machine pour améliorer de manière autonome la capacité à déceler des défaillances dans le système. Parmi les préoccupations majeures, on trouve la plus grande intégration numérique adoptée par des infrastructures critiques, telles que les centrales nucléaires. Ces dernières pourraient être piratées et « poussées vers un seuil critique », explique Sornette. 

La finance en ligne de mire

L'une des cyber-attaques les plus controversées du secteur financier s'est produite en 2017, lorsque l'agence d'évaluation de crédit Equifax a subi une violation de données affectant 146 millions de comptes utilisateurs8 « Si la société Equifax est spécialisée dans les données et qu'elle ne peut même pas assurer la sécurité de ses propres données, qu'est-ce que cela signifie ? C’est la question que se sont posée les clients dans un premier temps », explique Giles Parkinson, gérant d'actions mondiales chez Aviva Investors.

Vous avez besoin de bons dirigeants, capables d'anticiper ce qui pourrait arriver et de prendre des décisions éclairées et pertinentes.

« Les violations de données sont devenues très courantes », explique Louise Piffaut, analyste Environnement, Social et Gouvernance (ESG) chez Aviva Investors. « Ce qui compte, c'est moins de savoir si vous êtes victime d'une cyberattaque que la façon dont vous y avez répondu ».

Il a fallu du temps à Equifax pour s'en remettre. La société a fait appel à une nouvelle direction et a dépensé 1,4 milliard de dollars pour assainir et renforcer sa plateforme de cybersécurité.9 Selon Piffaut, la culture d'entreprise a connu un changement radical, tandis que le remaniement du conseil d'administration a amélioré la qualité de la surveillance.

Il est intéressant de noter que cet incident et les changements apportés à sa plateforme informatique qui en ont résulté ont aidé Equifax sur le long terme, en faisant passer son activité sur une plateforme de pointe (« best in class ») logée dans le cloud, et en réorganisant complètement ses offres de services », ajoute Zverev. « Equifax a non seulement rétabli la confiance de ses clients, mais a aussi fait un bond en avant compétitif en matière d'infrastructure de cybersécurité. »

Norman Marks, expert mondial de l'audit interne et de la gestion des risques, auteur de Making Business Sense of Technology Risk (Faire comprendre le risque technologique aux entreprises), déclare à ce propos : « En fin de compte, vous avez besoin de bons dirigeants, capables d'anticiper ce qui pourrait arriver et de prendre des décisions éclairées et pertinentes. On observe généralement une approche cloisonnée de la gestion du cyber-risque (que l’on constate également dans d'autres domaines de l’entreprise). Vous pouvez avoir un comité des risques, un département informatique, une équipe stratégique et un conseil d'administration qui chacun tiennent des discussions séparées. » 

Intégrer le cyber-risque

Cependant, à l’instar de dirigeants efficaces, le risque de cybersécurité ne se reflète pas toujours dans le prix des actions. Pour les investisseurs, cela pose un dilemme. « Même si les violations peuvent être coûteuses et causer des dommages réputationnels, ainsi qu'entraîner une surveillance réglementaire et une déstabilisation opérationnelle, on ne sait pas très bien comment cela devrait se traduire en matière de valorisation, surtout à long terme », explique Parkinson.

Le risque de cybersécurité ne se reflète pas toujours dans le prix des actions.

Le cours de l'action Facebook a d'abord chuté de 20 % dans le sillage du scandale Cambridge Analytica et de la violation des données qui s'en est suivie, mais il a ensuite rebondi pour atteindre de nouveaux sommets. Les cours des titres Equifax et Sony, bien qu'ayant subi des secousses initiales, se sont également redressés.

Zverev considère la résilience en matière de cybersécurité comme une approche en soi plutôt qu'un indicateur spécifique, tel que le ratio prix/bénéfices ou même l'empreinte carbone. « C'est un peu comme la qualité de la gestion de l’entreprise », explique Zverev. « Comment la mesurer ? Ma réponse (qui peut être différente selon les investisseurs) est d'examiner la capacité de la direction à exécuter sa stratégie, à respecter ses orientations, à allouer le capital, à obtenir de bons rendements, et à agir dans l'intérêt des actionnaires et des autres parties prenantes clés durant les moments difficiles de l'entreprise. La cyber-résilience fait partie de cette analyse générale. »

Vous souhaitez recevoir plus de contenus comme celui-ci ?

Inscrivez-vous pour recevoir nos publications sur l’économie et les marchés.

Ce contenu est actuellement indisponible

Veuillez autoriser javascript dans votre moteur de recherche afin de visualiser ce contenu

Je certifie que je suis un client professionnel ou un investisseur institutionnel / qualifié. En soumettant ces informations, je confirme que je souhaite recevoir des actualités et publications par e-mail de la part d'Aviva Investors, en complément de tout autre abonnement par e-mail que je pourrais avoir avec Aviva Investors. Vous pouvez vous désabonner ou personnaliser vos préférences à tout moment.

Pour plus d'informations, veuillez consulter notre politique de confidentialité.

Références

  1. Kim Zetter, « More than 93,000 Sony customers affected in new breach » (Plus de 93 000 clients de Sony touchés par une nouvelle cyberattaque), Wired, 18 décembre 2011. https://www.wired.com/2011/10/93000-sony-accounts-breached/
  2. « A Gamer’s Nightmare: An analysis of the Sony PlayStation hacking crisis » (Le cauchemar d'un joueur : une analyse du piratage de la plateforme PlayStation de Sony), Journal of Risk Analysis and Crisis Response, septembre 2014.
  3. Marc Goodman, « Future crimes », TEDx Talks, 9 décembre 2011. https://www.youtube.com/watch?time_continue=213&v=7_OcyWcNi_Y&feature=emb_title
  4. « How much would a data breach cost your business? » (Combien coûterait une violation de données à votre entreprise), IBM Security, 2019. https://www.ibm.com/security/data-breach?cm_sp=CTO-_-en_US-_-DEDOLR3W
  5. « Digital globalization : the new era of global flows » (La mondialisation numérique : la nouvelle ère des flux mondiaux), McKinsey Global Institute, McKinsey & Company, mars 2016. https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globalization%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.ashx
  6. « Rapport sur les risques mondiaux 2020 », Forum économique mondial, janvier 2020. http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf
  7. « X-Force Threat Intelligence Index », IBM Security, 2020.
  8. « Actions taken by Equifax and Federal Agencies in response to the 2017 breach » (Actions prises par Equifax et les agences fédérales en réponse à l’intrusion de 2017), United States Government Accountability Office, août 2018. https://www.warren.senate.gov/imo/media/doc/2018.09.06%20GAO%20Equifax%20report.pdf
  9. « Equifax data breach settlement », The Equifax Settlement Administrator, janvier 2020. https://www.equifaxbreachsettlement.com/ 

Information importante

Le présent document est destiné à des investisseurs professionnels et contreparties éligibles au sens de la Directive « MIF 2 » n°2014/65/UE et 2016/1034 relative aux marchés d’instruments financiers.

Son contenu n’est pas destiné à une clientèle de particuliers et il ne doit pas être utilisé comme support de présentation à leur destination.

Sauf indication contraire, les points de vue et les opinions exprimés dans le présent document sont ceux d'Aviva Investors. Son contenu ne saurait être interprété comme une garantie de rendement d’un placement géré par Aviva Investors, ni comme un conseil de quelque nature que ce soit. Les informations contenues dans ce document ont été obtenues auprès de sources considérées comme fiables, mais elles n’ont fait l’objet d’aucune vérification indépendante d’Aviva Investors, et Aviva Investors ne peut en garantir l'exactitude. Les performances passées ne présagent en rien des performances futures. La valeur d’un placement et de tout revenu en découlant est susceptible de fluctuer aussi bien à la baisse qu’à la hausse, et il n’est pas garanti que l’investisseur recouvre son montant d’investissement initial. Aucun élément de ce document, y compris les références à des titres, classes d'actifs ou marchés financiers spécifiques, ne doit ou ne peut être considéré comme un conseil ou une recommandation de quelque nature que ce soit. Ce document ne constitue pas une recommandation de vendre ou d'acheter un placement quelconque. 

Nos vues