francefr
« L’impact des cyber-risques a évolué et les entreprises doivent relever la barre »

« L’impact des cyber-risques a évolué et les entreprises doivent relever la barre »

24-07-2019 | Vision

À l’heure actuelle, il est très difficile d’obtenir des informations sur la cybersécurité des entreprises et de leurs produits. Expert en cybersécurité chez Robeco, Vincent Toms, évoque l’évolution de l’impact des cybermenaces, le cadre de cybersécurité et le système de classement qu’il est en train de développer pour les participations de Robeco, ainsi que le projet d’inclusion de la cybersécurité dans les activités d’engagement durable de la société.

  • Vincent  Toms
    Vincent
    Toms
    Analyst

La cybersécurité est un domaine qui évolue rapidement. Comment faire face (ou, mieux, anticiper) toutes les menaces ?

« Il existe actuellement plus de 90 000 vulnérabilités connues et plus de 50 000 exploitations de ces vulnérabilités. Des chiffres qui augmentent de jour en jour. Rester au fait de ces vulnérabilités "connues" et mettre à jour l’environnement informatique (existant) mobilise beaucoup de temps et de ressources. 

Des règles basiques d’hygiène numérique sont donc essentielles. La plupart des violations et attaques de données s’expliquent encore par le manque de réactivité en matière de correctifs, des mots de passe faciles à deviner et des installations non sécurisées. Les criminels n’ont plus qu’à s’engouffrer dans ces brèches. » 

Découvrez les dernières perspectives
Découvrez les dernières perspectives
Inscrivez-vous

La cybersécurité coûte très cher, mais une attaque pourrait coûter encore plus. Les entreprises sont-elles prêtes à investir l’argent nécessaire pour créer des systèmes sûrs ?

« La situation a beaucoup évolué ces dernières années. On observe que les conseils d’administration s’intéressent davantage aux contrôles de cybersécurité. Cette question a même attiré l’attention des actionnaires, qui votent pour faire de la cybersécurité une partie intégrante des systèmes de primes au niveau exécutif. Les attaques graves et les pressions exercées par les régulateurs et les chaînes logistiques ont contribué à cette évolution. 

Cependant, les rapports des entreprises ne donnent aucun détail sur les montants qu’elles investissent dans la cybersécurité. C’est dommage, car cela ne nous donne pas l’assurance que nous recherchons. 

En outre, nous n’avons pas encore atteint le stade nous permettant de dire, au moment d’acheter un produit, si celui-ci est plus sûr ou moins sûr. Les fabricants et les fournisseurs peuvent affirmer que leurs produits sont très sûrs, mais il n’y a aucune garantie. Et même si un produit est sûr de par sa conception, il faut en examiner le cycle de vie car ce qui est sans risque aujourd’hui ne le sera peut-être plus dans deux jours. Je sais que des entreprises comme Microsoft se donnent beaucoup de mal pour sécuriser leur environnement numérique, car si elles ne peuvent garantir que les clients sont en sécurité, elles perdront leur clientèle. Le Conseil néerlandais de la cybersécurité recommande aux entreprises de consacrer 10 % de leur budget à la cybersécurité, mais on ne sait pas si ce montant suffit, s’il est insuffisant ou excessif. »

Les rapports des entreprises ne donnent aucun détail sur les montants qu’elles investissent dans l’informatique et la cybersécurité

En quoi consiste le cadre de cybersécurité que vous mettez en place ?

« En matière de cyber-risque, plusieurs domaines doivent être traités par un organisme pour minimiser le risque de survenue et les impacts d’une attaque. Ces efforts doivent être mis en balance avec les menaces (menaces commerciales par exemple), le niveau de contrôle (coûts) et l’impact des dégâts éventuels (coût d’une attaque).

Dans nos recherches, nous examinons si une entreprise se conforme aux principaux contrôles dans chaque domaine de risque. Ces contrôles reposent sur plusieurs cadres internationaux de cyber-risques. Nous terminons en attribuant un score à l’entreprise, que l’on compare ensuite à ses pairs afin d’établir un classement relatif. Ce score peut avoir de l’influence lorsque l’on décide d’investir ou non dans une entreprise. » 

Les fonds consacrés aux tendances sont-ils plus exposés aux cyber-risques que les autres fonds ?

« La cybersécurité affecte de nombreux secteurs. Nous avons décidé de commencer par les fonds consacrés aux tendances car le risque associé aux tendances, et particulièrement aux fintech, est élevé et la confiance est très importante. Nos positions dans ces fonds nous exposent à des entreprises ayant une large couverture numérique. Notre approche consiste à être agile et à commencer par de petites participations, à les faire fonctionner, les rendre « lean and mean », puis en augmenter la taille. Lorsque nous voyons que notre système de classement fonctionne, nous pouvons l’utiliser pour d’autres fonds. »

Qu’est-ce qui vous a poussé à développer ce classement de cybersécurité pour les positions de Robeco ? Et quels objectifs et délais ont été fixés lorsque vous avez rejoint Robeco ?

« Les cybermenaces dans le numérique augmentent, mais en général elles ne sont pas prises en compte dans le processus d’investissement. Les investisseurs sont habitués à évaluer les risques physiques, tels que ceux associés à la chaîne logistique ou la production. Mais alors que la valeur d’entreprise est de plus en plus souvent générée en ligne, les risques évoluent et les analyses des investisseurs doivent donc changer aussi. La communauté des investisseurs reste très à la traîne en matière d’évaluation des cyberrisques et de leurs répercussions sur les investissements. Robeco est en train de combler ce fossé. 

Au départ, on m’a demandé de noter dix entreprises, en guise de test. L’objectif à plus long terme est d’intégrer le classement des cyberrisques dans le processus d’investissement et l’engagement durable de Robeco. Nous envisageons ensuite de l’inclure dans l’un des ODD, ce qui est conforme à la philosophie de Robeco. »

Les investisseurs veulent être en mesure de choisir le niveau de cybersécurité. Robeco rend cela possible, tout comme avec la durabilité.

Comment la cybersécurité sera-t-elle incluse dans les activités d’engagement durable de Robeco ?

« Nous pensons qu’au fil du temps, il existera un lien réciproque entre le classement de cybersécurité et l’engagement durable. Lorsque l’on découvre des lacunes dans le classement des positions en portefeuille, ou des entreprises intéressantes dans lesquelles investir, l’équipe d’engagement travaille avec la société concernée pour améliorer ses pratiques en matière de cybersécurité. Cela bénéficiera autant à l’entreprise qu’aux investisseurs. Les résultats d’un tel dialogue peuvent influencer le classement de cybersécurité. 

L’objectif est d’obtenir des informations sur la cybersécurité et le profil de risque d’une entreprise, et de les intégrer dans les processus d’investissement et d’engagement. Espérons que cela améliorera aussi le reporting en la matière. Par exemple, des informations sur les émissions de CO2 sont désormais incluses dans les rapports d’audit et nous pensons que les données de cybersécurité devraient être traitées de manière égale à l’avenir. »

Où en est à présent cette initiative et quelle est la prochaine étape ?

« Nous en sommes au stade d’amélioration de la méthode d’évaluation des risques et des normes de reporting. Nous prévoyons donc d’achever la révision du cadre et des principaux contrôles d’ici à la fin de l’année. Ensuite, nous souhaitons tester et automatiser le cadre, après quoi nous le développerons à plus grande échelle et ajouterons davantage d’entreprises au classement. Notre but est de noter entre 2 000 et 5 000 entreprises en trois ans. »

Les sujets en rapport avec cet article sont :

Information importante

L’information publiée dans les pages de ce site internet est plus particulièrement destinée aux investisseurs professionnels.

Certains fonds mentionnés dans le site peuvent ne pas être autorisés à la commercialisation en France par l’Autorité des Marchés Financiers. Les informations ou opinions exprimées dans les pages de ce site internet ne représentent pas une sollicitation, une offre ou une recommandation à l’achat ou à la vente de titres ou produits financiers. Elles n’ont pas pour objectif d’inciter à des transactions ou de fournir des conseils ou service en investissement. Avant tout investissement dans un produit Robeco, il est nécessaire d’avoir lu au préalable les documents légaux tels que le document d’information clé pour l’investisseur (DICI), le prospectus complet, les rapports annuels et semi-annuels, qui sont disponibles sur ce site internet ou qui peuvent être obtenus gratuitement, sur simple demande auprès de Robeco France.

Nous vous remercions de confirmer que vous êtes un investisseur professionnel et que vous avez lu, compris et accepté les conditions d’utilisation de ce site internet.

Je n’accepte pas