frankrijkfr
Le cyber-risque, un sujet qui relève des conseils d'administration

Le cyber-risque, un sujet qui relève des conseils d'administration

04-08-2016 | Vision

Les conseils d'administration doivent s'emparer de la question des cyber-risques, car ces derniers représentent une menace grandissante pour les entreprises et les investisseurs, estime la Directrice de la gouvernance et de l'actionnariat actif de Robeco.

  • Carola van Lamoen
    Carola
    van Lamoen
    Head of Active Ownership

Points clés

  • Le cyber-risque devient une préoccupation majeure des entreprises
  • La supervision du conseil d'administration est essentielle pour réagir aux menaces et établir des plans d'action
  • La publication « Point de vue » donne aux investisseurs des éléments pour amorcer le dialogue

De nombreuses entreprises considèrent le cyber-risque comme un simple risque de piratage éliminable grâce à des antivirus, tandis que d’autres ne forment pas leurs collaborateurs à ces problèmes, déplore Carola van Lamoen. Dans certains cas, c’est même le logiciel utilisé au quotidien qui peut exposer l’entreprise à de graves menaces, ajoute-t-elle.

Ce sujet a fait l’objet d’intenses débats lors de la conférence annuelle du Réseau International de la Gouvernance d’entreprise (ICGN), dont le comité de supervision des risques d’entreprise est co-présidé par Carola van Lamoen. Ce comité a publié un Point du vue détaillant ses objectifs en matière de cybercriminalité ; celui-ci a été largement diffusé auprès des membres de l’ICGN.

Découvrez les dernières infos sur la durabilité
Découvrez les dernières infos sur la durabilité
Inscrivez-vous

Supervision des risques qui menacent l'entreprise

D'après Carola Van Lamoen, Directrice de la gouvernance et de l’actionnariat actif de Robeco, l’une des principales conclusions est la suivante : les cyber-risques ont pris une importance telle qu’ils relèvent désormais des conseils et de leur rôle de supervision des risques. Par le passé, ce sujet pouvait être traité par quelqu’un dans un recoin de bureau, mais ce n’est plus acceptable à l’heure actuelle.

La supervision des cyber-risques est devenue un sujet à part entière, tout comme la question de savoir si les conseils ont conscience de la nécessité d’agir et de communiquer. En la matière, la marge d’amélioration est significative, notamment parce que les cyber-risques ont augmenté dans deux grands domaines : la menace de piratage en raison de la professionnalisation des hackers et l’éventualité d’une mauvaise mise en place des logiciels. Même sans piratage, il est impossible de gérer les risques majeurs sans département informatique pleinement opérationnel.

Le manque de connaissances techniques peut empêcher certains administrateurs de résoudre le problème, mais cela ne change rien à leur responsabilité en la matière, prévient George Dallas, Responsable des politiques chez ICGN. Selon lui, le cyber-risque est une menace pour les entreprises comme pour les investisseurs. Il ajoute par ailleurs qu'il s'agit d'une question de gouvernance, car les entreprises doivent prendre les mesures adéquates pour comprendre et prévenir ce risque, mais aussi les risques technologiques de manière plus générale.

« Les administrateurs non exécutifs doivent jouer un rôle de sensibilisation aux cyber-risques. »

L’un des principaux défis est celui de la complexité technique liée aux cyber-risques. Même si bon nombre d’administrateurs ne possèdent pas le bagage technique nécessaire, la responsabilité du conseil est engagée par la manière dont ils sont gérés. En tant qu’organisme porté par des investisseurs internationaux, ICGN estime, d’une part, que les administrateurs non exécutifs ont une mission de sensibilisation aux cyber-risques et, d’autre part, que les investisseurs doivent se préparer à aborder ce sujet avec les administrateurs et les dirigeants opérationnels afin de s’assurer que ces risques sont identifiés et supervisés.

Le nouveau Point de vue fournit des éléments aux investisseurs désireux d’aborder le sujet avec des entreprises. « Nous listons les points et sujets pertinents à aborder lors d’un entretien avec une entreprise, car il existe des questions de gestion que les investisseurs peuvent poser aux administrateurs. Les conférences sont l’endroit idéal pour ces Points de vue, car l’objectif est de faire naître le débat », poursuit Carola van Lamoen.

Des piratages à forte visibilité

L’actualité récente ne manque pas d’affaires de grande ampleur : les 81 millions de dollars américains dérobés à des institutions financières asiatiques grâce à un lien malveillant, les attaques de déni de services qui ont anéanti des sites Internet ou encore les piratages qui ont permis le vol de données de cartes de crédit sensibles sur les sites web d’entreprises de commerce de détail en ligne.

Exemple de l’impact que peut avoir une défaillance lors de la mise en place d’un logiciel : Knight Capital a déployé un logiciel non testé qui contenait un bug. Lorsque l’entreprise a mis le logiciel en production, ses activités de trading ont perturbé les cours de 148 entreprises cotées sur le New York Stock Exchange et l’action Knight Capital s’est effondrée de 70%.

Pour Carola Van Lamoen, le danger, c’est que les entreprises victimes de piratage dissimulent la vérité pour ne pas créer de problèmes, laissant les investisseurs dans l’ignorance. « Les choses varient d’une entreprise à l’autre. Bien sûr, en tant qu’investisseurs, nous voulons savoir d’emblée comment l’entreprise gère ces risques. Il faut être transparent : qui est responsable, comment les cyber-risques sont cartographiés, quels systèmes sont en place pour empêcher les incidents et, en cas d’incident, comment le résoudre », détaille-t-elle.

La culture d'entreprise, un élément déterminant

Certains virus infectent une entreprise dès qu’un collaborateur clique sur un lien dans un courrier électronique depuis son ordinateur professionnel sans se rendre compte que ce courrier comporte un logiciel malveillant suffisamment sophistiqué pour tromper les pare-feu. « Il faut donc créer une culture d’entreprise qui permet aux collaborateurs de signaler les problèmes sans appréhension, sans quoi l’entreprise va au-devant de graves difficultés », poursuit Carola Van Lamoen.

« Cela doit commencer au plus haut niveau : celui du conseil. Les administrateurs doivent fournir des ressources adéquates pour gérer ce genre de problèmes. Il s’agit d’un aspect qui a fait l’objet de nombreux débats lors de la conférence : quelles ressources faut-il consacrer à ce sujet ? Comment savoir qu’elles sont suffisantes ? Difficile à dire : le seul moyen de savoir qu’il fallait allouer plus de ressources, c’est lorsqu’un problème survient. Mais il faut aussi comprendre que les entreprises ne peuvent pas tout faire. »

Le Point de vue propose un plan d’action en trois points. Il conseille aux entreprises :

  • De mettre en place un processus stratégique et un dispositif de supervision des plans d’action : évaluation des activités les plus vulnérables aux cyber-risques et intégration des plans d’action à la stratégie de gestion des risques du conseil ;
  • De posséder un dispositif de supervision des programmes de gestion des risques : suivi de la manière dont l’entreprise rapproche ses activités des stratégies informatiques, priorisation et budgétisation, formation des collaborateurs ;
  • De se préparer à réagir en cas de problème : capacité du plan d’action à faire face aux éventualités et signaux d’alerte mis en avant par l’identification des risques, plus liste des dix derniers problèmes informatiques et de leur traitement.

Carola van Lamoen estime que tous ces éléments montrent que les administrateurs doivent s’assurer que l’approche utilisée a été conçue pour des contextes mouvants et complexes. Elle ajoute qu'il est essentiel que la surveillance des cyber-risques soit intégrée à la stratégie et à la gestion des risques de l’entreprise, notamment en termes d’identification des données et des informations clés.

Information importante

L’information publiée dans les pages de ce site internet est plus particulièrement destinée aux investisseurs professionnels.

Certains fonds mentionnés dans le site peuvent ne pas être autorisés à la commercialisation en France par l’Autorité des Marchés Financiers. Les informations ou opinions exprimées dans les pages de ce site internet ne représentent pas une sollicitation, une offre ou une recommandation à l’achat ou à la vente de titres ou produits financiers. Elles n’ont pas pour objectif d’inciter à des transactions ou de fournir des conseils ou service en investissement. Avant tout investissement dans un produit Robeco, il est nécessaire d’avoir lu au préalable les documents légaux tels que le document d’information clé pour l’investisseur (DICI), le prospectus complet, les rapports annuels et semi-annuels, qui sont disponibles sur ce site internet ou qui peuvent être obtenus gratuitement, sur simple demande auprès de Robeco France.

Nous vous remercions de confirmer que vous êtes un investisseur professionnel et que vous avez lu, compris et accepté les conditions d’utilisation de ce site internet.

Je n’accepte pas