Les analystes financiers s’inquiètent de la sécurité numérique des entreprises

Après Standard & Poor's c’est maintenant au tour de Moody's d’afficher la cybersécurité parmi les critères d’évaluation des entreprises qu’elles passent au crible. Le risque encouru est tel que les investisseurs doivent être informés du niveau de protection face aux cyberattaques.

« Nous attendons des entreprises qu’elles se dotent d’instance de pilotage de la cybersécurité ». Cet avertissement émane du rapport « Cross Sector -- Global: Cyber Risk of Growing Importance to Credit Analysis » publié fin novembre 2015 par l’agence Moody’s. Cette mise en avant du risque cyber par une agence mondiale spécialisée dans l’évaluation des entreprises est significative d’un changement d’époque. Longtemps, les professionnels des systèmes d’information étaient les seuls à désigner la cybersécurité comme un péril potentiellement mortel pour les entreprises. « Rien de plus normal », pensait-on puisqu’ils plaident seulement pour leur cause.

Mais face aux cyberattaques qui font désormais la une de l’actualité et aux pertes qui se chiffrent rapidement en millions de dollars, le sujet de la sécurisation des systèmes d’information va bien au-delà de la communauté des équipes informatiques. Déjà en septembre 2015, l’autre poids lourd de la notation, Standard & Poor's tenait une discours très réaliste sur l’exigence de cybersécurité, notamment dans le domaine bancaire. En admettant bien volontiers qu’aucune organisation ne pouvait s’engager formellement à être à l’abri de toute cyberattaque. Mais qu’il était indispensable que les entreprises soient en mesure de démontrer leur capacité à détecter le plus rapidement possible les pénétrations informatiques dont elles ont fait l’objet. Et qu’elles se sont mis en capacité de déployer sans délai des actions réparatrices pour limiter au maximum l’impact de telles agressions.

Cette agilité face à des atteintes à l’intégrité du système d’information exige une solide préparation en amont. Avec une connaissance fine de son informatique et de l’organisation de son patrimoine informationnel. Les analystes ne manqueront pas de pointer les sociétés qui rechignent encore à se doter d’une vraie gouvernance de leur cybersécurité. A quoi bon investir dans une entreprise dont le savoir-faire, les finances et les moyens de production sont exposés sans réelle protection sérieuse à des pirates informatiques ? Le gendarme de la Bourse étatsunienne, la Security & Exchange Commission (SEC) exige même que les sociétés cotées informent les marchés par la rédaction et la publication d’un formulaire détaillant les cyberattaques dont elles ont fait l’objet. Car il s’agit bien là d’évènements pouvant obérer l’avenir d’une entreprise, la plus solide soit-elle. Au-delà de l’approche technique, la cybersécurité est donc plus que jamais une question vitale pour toutes les organisations.

Les analystes des marchés financiers en ont fait un sujet prioritaire.