Tel un interminable marathon, la cybersécurité requiert de l’endurance et une adaptation constante aux conditions changeantes. Les médias font sans cesse état d’attaques se soldant par l’utilisation abusive ou la divulgation de renseignements sensibles ou personnels. Elles ont parfois des répercussions financières, juridiques, réputationnelles et même physiques assez importantes dont les dirigeants d’entreprise mesurent de plus en plus toute la portée.
Le cyberrisque est un risque d’entreprise
Les risques de délit informatique et de violation de données sont en hausse, ce qui pose une menace aux personnes et à leurs données, ainsi qu’aux entreprises qui recueillent et stockent ces renseignements. Des cyberincidents largement médiatisés se sont produits dans la vaste majorité des secteurs et ont nui aux résultats des entreprises touchées en entraînant des répercussions d’au moins quatre ordres :
- les délits informatiques sont susceptibles de perturber les activités des entreprises et le déroulement de ses opérations ;
- ils peuvent entacher l’image de marque, ce qui fragiliserait la fidélisation et la confiance de la clientèle ;
- ils peuvent toucher des renseignements sensibles concernant les clients, les entrepreneurs et les fournisseurs ;
- dans le contexte du resserrement de la réglementation, les entreprises risquent de faire l’objet de poursuites judiciaires.
Autrement dit, la cybersécurité a des incidences sur toutes les parties intéressées.
Selon un sondage mené en 2018 par le Forum économique mondial (FEM)1, les cyberattaques représentent la principale menace pour les entreprises des régions économiques avancées. Le rapport indique aussi que la fraude liée aux données ou le vol de données constituent le deuxième risque en importance pour les affaires en Amérique du Nord. Au Canada, environ 87 % des entreprises ont indiqué avoir été victimes d’une violation en 2017. Celle-ci s’est soldée pour près de la moitié d’entre elles par la perte de données sensibles.
La même année, un incident touchant l’entreprise américaine Equifax a donné lieu à la violation de données la plus coûteuse commise jusqu’ici contre une entreprise. Par suite du vol des renseignements personnels de 143 millions d’Américains, Equifax a été condamnée à une amende d’environ 600 millions de dollars américains, ce qui a fait reculer son titre de plus de 30 % en moins d’une semaine2.
Selon le rapport du FEM, les cyberattaques figurent aussi parmi les principaux risques dans les marchés développés hors de l’Amérique du Nord. Les Européens ont subi une série d’attaques d’envergure en 2017. Ainsi, l’attaque par le rançongiciel WannaCry a gravement perturbé le système de santé du Royaume-Uni et le réseau ferroviaire de l’Allemagne. D’après les estimations figurant dans le rapport du FEM, le nombre de cyberattaques commises en Europe a augmenté d’environ un tiers en un an au premier trimestre de 2018.
De plus, la région Asie-Pacifique est devenue la cible de délits informatiques en raison de sa numérisation rapide et de la demande croissante de complexification dans les pays qui en font partie.
Premier risque en importance pour les affaires selon les régions | ||
---|---|---|
Europe | Cyberattaques | |
Eurasie | Choc des prix de l’énergie | |
Moyen-Orient et Afrique du Nord | Choc des prix de l’énergie | |
Afrique subsaharienne | Chômage et sous-emploi | |
Asie du Sud | Défaillance de la gouvernance nationale | |
Asie de l’Est et région du Pacifique | Cyberattaques | |
Amérique du Nord | Cyberattaques | |
Amérique latine et Antilles | Défaillance de la gouvernance nationale |
Source : Forum économique mondial, 2018
Incidences pour les investisseurs
La faiblesse des contrôles de protection des données et des mesures de sécurité pose parfois un risque important pour les investisseurs. C’est pourquoi ils attachent maintenant une grande importance à la protection des données dans leurs analyses. Les investisseurs cherchent de plus en plus à obtenir des renseignements sur un large éventail de sujets liés à la cybersécurité, dont les suivants :
- sensibilisation et préparation de l’entreprise
- gestion du risque
- protection des données et gestion après violation
- cybergouvernance du conseil d’administration
- information fournie par l’entreprise
- contrôle diligent des fusions et acquisitions
- évolution de la réglementation et de la cybersécurité
Il n’est pas facile d’obtenir de l’information sur la gestion du cyberrisque et de l’évaluer. À l’heure actuelle, il existe peu de normes et de paramètres universellement acceptés de mesure, d’évaluation et de comparaison du cyberrisque. Les cyberrisques, et par conséquent la cybersécurité, évoluent constamment. Les investisseurs doivent donc continuellement surveiller et évaluer l’état du cyberenvironnement des entreprises en dialoguant avec elles et en examinant leurs pratiques de gouvernance.
Que font les entreprises pour se préparer et se protéger ?
La gestion des cyberrisques doit s’effectuer au plus haut niveau. La façon dont le conseil gère les questions de cybersécurité est cruciale, puisqu’il doit en définitive rendre des comptes lorsque des risques se matérialisent. Par conséquent, tous les conseils se soucient de la gestion des cyberrisques, que des problèmes se soient produits ou non.
Une récente enquête mondiale de PricewaterhouseCoopers (PwC) auprès des chefs de direction3 révèle que les cyberattaques sont la menace qui préoccupe le plus les chefs de direction. De plus, 87 % d’entre eux affirment qu’ils investissent actuellement dans la cybersécurité afin de fidéliser leur clientèle et de maintenir sa confiance.
Sur la ligne de front, les dépenses mondiales liées à la protection des données et à la formation des employés sur la sensibilisation à la sécurité devraient atteindre 10 milliards de dollars américains en 2027, alors qu’elles étaient d’environ 1 milliard de dollars américains en 20144. Cette formation porte essentiellement sur la lutte contre l’hameçonnage et les attaques par rançongiciel. On s’accorde habituellement pour dire que plus de 90 %5 des piratages et des violations de données sont commis par hameçonnage. Il est donc essentiel pour les entreprises d’apprendre à détecter ces menaces et à y réagir.
Du point de vue des investisseurs, la cybersécurité revêt une importance évidente sur le plan économique et social : les violations de données posent parfois un risque financier et social important susceptible d’entacher la réputation de l’entreprise et d’avoir des répercussions financières considérables.
Mise en garde aux acquéreurs – et aux investisseurs
Voici un exemple éloquent des répercussions importantes des délits informatiques sur les placements : le piratage de Marriott et de Starwood6 mis au jour en 2018. Le piratage a commencé en 2014, soit deux ans avant que Marriott International acquière Starwood Hotels & Resorts Worldwide au prix de 13,6 milliards de dollars américains. Environ 500 millions de dossiers provenant du système de réservation de la chaîne hôtelière Starwood ont été touchés, dont des renseignements sur les passeports et les cartes de crédit. N’ayant pas effectué de contrôle diligent exhaustif, Marriott a hérité du délit commis contre Starwood. L’action de Marriott a cédé environ 7 % au cours de la séance de négociation en préouverture7 qui a suivi la diffusion de la nouvelle.
Notre démarche en matière d’investissement responsable
RBC Gestion mondiale d’actifs Inc. (RBC GMA) croit qu’elle peut améliorer le rendement durable et à long terme des placements en agissant comme un investisseur actif, dynamique et responsable. Elle a pris l’engagement à l’échelle de l’entreprise d’intégrer les critères environnement, société et gouvernance (ESG) au processus de placement. Les équipes des placements collaborent avec l’équipe Gouvernance et investissement responsable pour comprendre et évaluer les questions relatives à la cybersécurité et à la protection des renseignements personnels, ainsi que d’autres questions ESG. Cette équipe, qui a été formée en 2014, remplit principalement cinq fonctions :
- s’entretenir des questions ESG avec les sociétés dans lesquelles nous investissons
- surveiller les activités de vote par procuration de RBC GMA
- promouvoir l’intégration des principes ESG dans l’analyse des placements
- collaborer avec les investisseurs partageant notre vision
- communiquer avec les législateurs ou les organismes de réglementation.
RBC GMA maintient un dialogue avec le conseil d’administration des sociétés sur la surveillance de la gestion du cyberrisque et du risque lié à la protection des renseignements personnels. L’an dernier, l’équipe Gouvernance et investissement responsable a conduit un entretien productif avec une société du FTSE 100 dans le cadre des dialogues collaboratifs sur la cybersécurité coordonnés par l’initiative Principes pour l’investissement responsable des Nations Unies. Lancée au second semestre de 2017, cette initiative a permis à une cinquantaine d’investisseurs institutionnels de mener collectivement des entretiens avec des entreprises des différents secteurs aux fins suivantes8 :
- accroître les connaissances des investisseurs sur les dispositions que prennent les sociétés dans lesquelles ils investissent pour gérer le cyberrisque (en particulier les politiques et les structures de gouvernance des sociétés)
- définir les attentes des investisseurs quant à l’information que les sociétés sont (ou devraient être) en mesure de fournir sur la gouvernance du cyberrisque
- améliorer la quantité et la qualité de l’information fournie par les sociétés sur le cyberrisque et la gouvernance.