Investissement responsable
Importance croissante de la cybersécurité : ce que les investisseurs doivent savoir
12 juin 2024
L’essor des sociétés technologiques
L’évolution constante de la technologie a permis aux sociétés de tous les secteurs de l’économie de se moderniser et de s’adapter pour mieux servir leurs clients. La capacité de déployer des solutions technologiques dans un monde connecté représente une occasion de modernisation et un autre risque important à gérer. L’ajout de bornes libre-service pour les commandes dans les restaurants, l’accent mis sur le commerce électronique par les grands détaillants et la mise en place de logiciels de réseaux intelligents par les services publics d’électricité ne sont que quelques exemples d’une tendance à long terme : l’essor des sociétés technologiques.
Contrairement à la conception traditionnelle de ce que sont les sociétés technologiques, par exemple les géants comme Apple, Microsoft ou IBM, une société axée sur la technologie tire parti des dernières technologies disponibles pour améliorer un marché existant. Les sociétés qui tirent parti de ces technologies sont en mesure de réaliser des gains d’efficacité dans des marchés bien établis en offrant une expérience plus conviviale, en permettant une meilleure commodité et, dans certains cas, en établissant des sources de revenus supplémentaires en atteignant de nouveaux consommateurs.
Cependant, alors que les sociétés de tous les secteurs et de toutes les régions tentent de tirer parti des occasions générées par les développements technologiques et la numérisation, l’augmentation de la vulnérabilité est une conséquence involontaire de cette utilisation de la technologie à cause du risque croissant de subir une cyberattaque.
Plus de 2 200 cyberattaques ont lieu chaque jour1. Pas plus tard qu’en avril 2024, deux événements majeurs en matière de cybersécurité ont retenu l’attention des investisseurs. Premièrement, un logiciel malveillant a été ajouté à Linux, un système d’exploitation libre qui fonctionne pratiquement sur la totalité des serveurs Internet. Heureusement, un ingénieur curieux a détecté et arrêté l’attaque avant qu’elle ne puisse causer des dommages généralisés2. Deuxièmement, Change Healthcare, qui fait partie de UnitedHealth Group, la plus grande organisation de soins de santé aux États-Unis, a été piraté et aurait perdu plus de six téraoctets de données, y compris des dossiers médicaux. Cela a coûté 872 millions de dollars américains à la société en « effets défavorables liés à une cyberattaque »3.
Les coûts d’une cyberattaque
L’incidence financière directe d’une cyberattaque peut être très importante, notamment les coûts en lien avec le temps d’indisponibilité du réseau, les enquêtes, les améliorations en matière de sécurité, le soutien bonifié à la clientèle, les frais juridiques, les paiements de règlement et même les rançons potentielles.
Cependant, une fois la poussière retombée, les coûts réels d’une telle attaque vont souvent au-delà de ces dommages quantifiables sur le plan monétaire. À long terme, si une cyberattaque ébranle la confiance à l’égard des activités d’une société, le coût pour rétablir la confiance de ses clients et sa réputation en matière de gestion prudente des risques liés à la sécurité des données peuvent largement dépasser les frais d’exploitation et les frais juridiques initiaux.
En parallèle, le travail à distance permet aux pirates informatiques et aux cybercriminels de pirater plus facilement les réseaux des sociétés. À cela s’ajoutent les progrès des modèles en matière d’intelligence artificielle (IA) et l’essor imminent de l’informatique quantique (qui pourrait hypothétiquement mettre fin aux pratiques actuelles de cryptage déployées sur l’Internet4), qui soulignent tous l’importance financière des risques liés à la cybersécurité pour les sociétés.
En 2023, environ 343 millions de personnes ont été victimes de cyberattaques à l’échelle mondiale, en raison d’une hausse de 72 % des atteintes à la sécurité des données de 2021 à 20235. Les effets de la cybercriminalité mondiale, qui peuvent comprendre la perte de données, le vol d’argent, la fraude et les dommages à la réputation, coûtent chaque année des milliers de milliards de dollars à l’économie mondiale. L’équipe Cybersecurity Ventures prévoit que ce montant atteindra à l’échelle mondiale 9 500 milliards de dollars américains en 2024, comparativement à 3 000 milliards de dollars américains en 20156.
À titre de comparaison, le PIB annuel de l’économie canadienne s’élevait à 2 160 milliards de dollars américains en 20227. Les effets de la cybercriminalité entraînent d’autres changements importants dans l’ensemble de l’économie, notamment sur le marché de l’emploi, où il devrait y avoir un stock de 3,5 millions d’emplois non pourvus en cybersécurité en 20248. Quant au marché de l’assurance contre la cybercriminalité, il devrait atteindre 14,8 milliards de dollars américains par an d’ici 20259.
Par conséquent, la question essentielle devient la suivante : Comment les investisseurs peuvent-ils évaluer et gérer plus efficacement les risques liés à la cybersécurité inhérents à leurs placements et à leurs portefeuilles?
Risques sectoriels négligés et meilleures pratiques du secteur
Les risques financiers des sociétés se reflètent habituellement dans leur bilan, leurs états des résultats et d’autres états financiers. Les risques non financiers, comme la cybersécurité, découlent des activités de la société et sont plus difficiles à repérer et à évaluer. Par le passé, les gestionnaires de placement profitaient des cadres et des meilleures pratiques du secteur pour mieux évaluer ces risques non financiers.Le tableau de bord du Sustainability Accounting Standards Board (SASB), qui repère les problèmes financiers importants par secteur d’activité, en est un exemple10. Le SASB considère notamment que la confidentialité des renseignements sur les clients et la sécurité des données sont des enjeux d’affaires importants dans des secteurs comme les services de télécommunication, les banques commerciales et la prestation de soins de santé.Cependant, les secteurs, dans leur ensemble, ne semblent pas reconnaître adéquatement les risques en matière de cybersécurité. Le SASB, et la plupart des autres cadres acceptés dans le secteur, prennent en compte les risques liés à la cybersécurité dans des secteurs comme les technologies de l’information (TI), les services bancaires et la santé, mais selon les services de renseignements sur les menaces d’IBM, le secteur de la fabrication est le secteur le plus ciblé par les cybercriminels. Les secteurs de la finance, des services professionnels, de l’énergie et du commerce de détail complètent la liste des cinq secteurs les plus ciblés11.
Part des cyberattaques par secteur en 2023
Secteur d’activité | 2023 |
---|---|
Manufacturier | 25,7% |
Finances et assurance | 18,2% |
Services professionnels, aux entreprises et aux consommateurs | 15,4% |
Énergie | 11,1% |
Commerces de détail et de gros | 10,7% |
Source : IBM Security X-Force Threat Intelligence Index 2024
Étant donné l’adoption rapide de nouvelles technologies, comme l’Internet des objets (IdO) et l’intelligence artificielle (IA), il est désormais primordial de reconnaître que la cybersécurité est un risque financier important dans tous les secteurs et toutes les régions. Dans un monde de plus en plus connecté, ces risques doivent être reconnus et gérés par les investisseurs.
Que peuvent faire les sociétés et les investisseurs?
À l’instar des autres enjeux en matière de durabilité, les sociétés devraient établir des évaluations adéquates des risques liés à la cybersécurité, élaborer des processus et des politiques assurant une gestion adéquate des risques évalués, intégrer la surveillance et la responsabilité au sein des fonctions de gestion des risques et de gouvernance de l’organisation, et divulguer les progrès aux investisseurs au moyen de rapports publics. Idéalement, les sociétés devraient effectuer des évaluations des risques ou des audits récurrents et obtenir des certifications pour leurs systèmes de gestion de la sécurité de l’information, comme la norme ISO 27001.
Une évaluation globale est nécessaire, car les investisseurs pourraient ne pas tenir compte de ce risque critique dans plusieurs secteurs. De nouvelles sources de données et de nouveaux paramètres émergent et permettent aux investisseurs de mieux évaluer l’exposition de leurs placements aux risques liés à la cybersécurité dans un plus grand nombre de secteurs. Maintenant, les sociétés déclarent périodiquement la quantité de données personnelles recueillies, leur exposition à l’évolution ou au resserrement de la réglementation en matière de protection des renseignements personnels, les atteintes à la sécurité des données et leurs systèmes de protection des renseignements personnels.
Les investisseurs peuvent encourager les sociétés émettrices à prendre ces mesures et à gérer adéquatement les risques liés à la cybersécurité. BMO Gestion mondiale d’actifs a rendu publiques les énoncés de ses attentes à l’égard de pratiques environnementales, sociales et de gouvernance. Nous attendons essentiellement des sociétés qu’elles disposent d’un conseil d’administration chargé de superviser les contrôles internes et tous les risques importants, y compris les risques ESG tels que le changement climatique, la cybersécurité et la protection des consommateurs.
En 2023, nous avons discuté avec notre tiers fournisseur de services de mobilisation, le service de représentation reo®, de la cybersécurité et de la sécurité des données dans le cadre de différentes activités de mobilisation avec des sociétés émettrices en sein de divers secteurs et de diverses régions. Les discussions ont porté sur des sujets liés aux certifications en lien avec la sécurité de l’information, en encourageant la divulgation d’une plus grande quantité d’informations sur les évaluations et en améliorant les politiques de confidentialité relatives aux renseignements sur les utilisateurs. La technologie continue d’imprégner progressivement tous les aspects de notre vie quotidienne et nous prévoyons une mobilisation beaucoup plus importante en matière de cybersécurité à partir de 2024. En plus de nous engager de façon significative, nous aspirons à mieux harmoniser les placements de nos clients dans un marché en constante évolution, en intégrant de nouvelles mesures et perspectives en matière de cybersécurité à nos évaluations des facteurs ESG, afin d’accroître continuellement la valeur pour nos investisseurs.
« Chaque année, nous voyons la quantité et les coûts des attaques atteindre des sommets record, les manchettes annonçant des atteintes à la sécurité des données d’entreprises provenant de presque tous les secteurs d’activité. Cela prouve qu’il est nécessaire de reconnaître la cybersécurité comme un risque financier important dans tous les secteurs et toutes les régions. »
Perspectives
Sources
1115 cybersecurity statistics + trends to know in 2024 (norton.com)
2One engineer’s curiosity may have saved us from a devastating cyber-attack | John Naughton | The Guardian
3UnitedHealth says Change Healthcare cyberattack cost it $872 million – CBS News
4Impact of AI on post quantum cybersecurity
5Cybersecurity Stats: Facts And Figures You Should Know – Forbes Advisor
6Top 10 Cybersecurity Predictions and Statistics For 2024 (cybersecurityventures.com)
7GDP (current US$) – Canada | Data (worldbank.org)
8Cybersecurity Jobs Report: 3.5 Million Unfilled Positions In 2025 (cybersecurityventures.com)
9Cyberinsurance Market To Reach $34 Billion By 2031 (cybersecurityventures.com)