Ce que les secteurs en cours de transformation numérique doivent savoir sur les risques pesant sur la création de valeur
Michaela Zhirova et Marjo Koivisto | Janvier 2020
Introduction
Les cyberattaques ont presque doublé au cours des cinq dernières années, et leur coût est estimé à 90 000 milliards d’USD selon le Forum économique mondial.1 En effet, les nouvelles technologies sont introduites à un rythme rapide et à grande échelle dans tous les secteurs, ouvrant des champs de vulnérabilité toujours plus grands aux cyberattaques d’acteurs malveillants. Cela ne fera qu’augmenter à mesure que les essais et les projets pilotes pour la 5G s’accéléreront. Les cyberattaques sur des entreprises et des gouvernements comprennent, sans s’y limiter, les atteintes à la vie privée et à la confidentialité, le vol coûteux de données, la mise à mal de l’intégrité et de l’accessibilité de systèmes et la destruction de données. En outre, bien que les cyberattaques deviennent à la fois plus fréquentes et plus sophistiquées à un rythme alarmant, les entreprises semblent sous-investir dans la gestion du cyber-risque. En fait, l’un des deux principaux défis identifiés par les responsables de la sécurité de l’information est le manque de ressources.
Ce livre blanc sur l’Investissement Responsable expose les raisons pour lesquelles nous considérons la cybersécurité comme un facteur de risque ESG de plus en plus important dans tous les secteurs, et nous réfléchissons aux principales implications financières des cyber-incidents que nous avons identifiés pour les entreprises. En outre, nous avons attribué une note en matière d’exposition aux cybermenaces aux différents secteurs et nous donnons notre avis sur ceux présentant un risque élevé. Dans le cadre de notre pratique d’engagement ESG, nous avons développé une méthode pour intégrer les meilleures pratiques en matière d’identification des cyber-menaces, de gouvernance, de sensibilisation contextuelle et de mise en œuvre de mesures de cybersécurité. Nous encourageons l’utilisation d’un questionnaire visant à aider l’établissement d’une norme de cyber-résilience des entreprises, et présentons nos attentes en matière de meilleures pratiques de préparation des entreprises dans le domaine de la cybersécurité.
Cyberattaques majeures :
quelques enseignements concernant les implications financières pour les entreprises
Dans la mesure où l’identification, l’évaluation et l’élimination des cyberattaques peuvent prendre beaucoup de temps et entraîner des pertes opérationnelles, leurs coûts pour les entreprises continuent d’augmenter. C’est apparu clairement lors de certaines des plus grandes attaques de ransomware de tous les temps, par exemple celle de NotPetya. L’attaque de ransomware (rançongiciel) sur NotPetya s’est propagée en 2017 à partir des serveurs ukrainiens aux grandes entreprises mondiales, entraînant des pertes totalisant plus de 10 milliards d’USD2 de dommages aux entreprises et affectant des ordinateurs dans le monde entier. Elle a infecté des entreprises dans de nombreux secteurs, des prestataires de services médicaux à une grande entreprise de logistique (A.P. Møller-Maersk), entraînant l’arrêt de ses opérations pendant plus de 10 jours.(3)
Marriott est une autre grande entreprise qui a fait l’objet d’une importante attaque de ransomware. Le 8 septembre 2018, un outil de sécurité interne a signalé une tentative suspecte d’accéder à la base de données interne de réservation des clients pour les marques Starwood de Marriott. Une enquête interne a alors été déclenchée, qui a déterminé que le réseau Starwood, acquis par Marriott en 2016, avait été compromis dans le courant de 2014. Selon certains rapports, au moment de l’attaque, les anciens hôtels Starwood n’avaient pas été migrés vers le propre système de réservation de Marriott et utilisaient toujours des infrastructures informatiques héritées de Starwood. L’enquête de Marriott a trouvé des données que les attaquants avaient cryptées et a montré qu’ils avaient tenté (probablement avec succès) de retirer des données personnelles des systèmes de Starwood. Marriott a réussi à décrypter les données et a découvert qu’elles incluaient des informations provenant de millions de dossiers clients (jusqu’à 500 millions), dont beaucoup incluaient des informations extrêmement sensibles comme des numéros de cartes de crédit et de passeport.
Les implications financières de l’incident ransomware sur Marriott ont été graves. En juillet 2019, la société a été condamnée par le Royaume-Uni à une amende de 126 millions d’USD dans le cadre des réglementations générales sur la protection des données (General Data Protection Regulations, GDPR). Ses résultats du T2 2019 ont fait état d’une baisse de 65 % de ses bénéfices à 232 milliards d’USD, soit 69 centimes par action.(4) La chaîne hôtelière a également été condamnée à une amende de 1,5 million de livres (~ 265 000 $) par l’autorité turque de protection des données (non soumise à la législation GDPR) pour cet incident, soulignant comment un seul manquement peut donner lieu à plusieurs amendes de par le monde. Enfin, en mars 2019, il y a eu une amende de 28 millions d’USD (dont l’impact sur l’entreprise a été de seulement 3 millions d’USD parce que Marriott avait une cyber-assurance).
L’atteinte à la cybersécurité de Marriott est devenue publique le 30 novembre 2018. Au cours du mois qui a suivi la nouvelle, le cours de l’action Marriott a plongé de 17 %, un impact important même replacé dans le contexte d’un mois de décembre volatil et de la forte performance de l’année précédente.(5)