Prêts bancaires : la maturité cyber s'invite dans les critères d'octroi
Face à la multiplication des cyberattaques, la maturité cyber tend peu à peu à intégrer les critères d'accès au crédit bancaire pour les entreprises. "Les banques s'y mettent doucement", affirme Luc Declerck, directeur général de Board of Cyber, une start-up spécialisée dans le cyber rating. Certaines d'entre elles veulent en effet s'assurer qu'elles accordent des prêts à des organisations capables de résister aux cyberattaques. Et pour cause : "Quand une organisation est atteinte par un incident cyber, le risque est le non remboursement ou le remboursement seulement partiel d'un crédit, car cet incident peut avoir un impact financier important". En cas de ransomwares ou d'un ralentissement de la production dû à une attaque cyber, certaines entreprises sont même placées en liquidation, incapables de rembourser leurs créanciers. C'est pourquoi Board of Cyber fournit sa solution de cyber rating au Crédit Lyonnais qui veut s'assurer qu'il accorde des prêts bancaires à des organisations saines.
Un critère émergeant
Pour l'instant, de nombreuses banques sont encore frileuses à l'idée d'introduire le critère de la maturité cyber dans l'octroi d'un financement, par peur de perdre des clients. Et les banques qui prennent en compte ce critère préfèrent d'ailleurs rester discrètes. À tel point que celles sollicitées par le JDN n'ont pas souhaité répondre ouvertement à nos questions. "En règle générale, quand un client souhaite un crédit, il consulte plusieurs banques. Et donc, il va refuser d'aller vers une banque susceptible de freiner son dossier en raison d'une mauvaise posture cyber. La banque qui utilise un tel critère risque donc de se mettre à dos une partie du marché". Toutefois, "certains acteurs préfèrent opter pour une logique d'avant-garde", estime Pouya Canet, directeur de la stratégie d'assurance cyber chez Citalid, une entreprise qui mesure également la maturité cyber des entreprises.
Citalid a aussi conclu un contrat avec un établissement bancaire : "Ce client est venu nous chercher récemment, fin 2024. Il nous a expliqué qu'il avait désormais un intérêt à prendre en compte le risque cyber dans l'octroi du crédit au même titre que les critères environnementaux, sociaux et de gouvernance. Nous sommes en discussion avec d'autres acteurs bancaires et on constate un réel intérêt de leur part", précise Maxime Cartan, cofondateur de l'entreprise. "Il y a actuellement un vrai signal en faveur de la prise en compte de ce risque cyber dans les crédits que l'on observe du côté des agences de notation financière. Celles-ci s'interrogent de plus en plus sur la manière d'intégrer le risque cyber dans les notations qu'elles attribuent aux produits financiers comme les crédits".
Les nouvelles réglementations en matière de cybersécurité poussent aussi les banques à prendre en compte ce critère, selon Luc Declerck : "Les réglementations comme la directive NIS 2, le gouvernement et beaucoup d'acteurs œuvrent à renforcer la posture cyber des petites et moyennes entreprises et des entreprises de taille intermédiaire. La cybersécurité est désormais un enjeu business pour les organisations, enjeu sur lequel surfent les banquiers. Ce critère cyber sera un critère naturel à l'avenir. Pour les banquiers, ce critère va apparaître légitime car il est de plus en plus exigé par le marché, par l'écosystème". En outre, certaines banques anticipent déjà une évolution de la réglementation : "Des acteurs bancaires s'attendent à ce que le régulateur exige ce critère dans les processus d'octroi du crédit. Elles intègrent donc d'ores et déjà ce critère", observe Maxime Cartan.
Evaluer pour accompagner
Actuellement, les banques qui intègrent le critère de maturité cyber l’appliquent davantage comme une préconisation que comme une exigence formelle. "Pour l'instant, ce critère est avant tout une recommandation qui doit pousser le client qui demande un prêt à faire évoluer sa cybersécurité si nécessaire. En évaluant sa maturité cyber, la banque fournit un diagnostic cyber à son client pour que celui-ci prenne en compte ses vulnérabilités et fasse en sorte de les réduire, si nécessaire, pour obtenir le prêt", observe Luc Declerck. "Ce critère n'a pas vocation à être punitif. Les banquiers l'utilisent avant tout pour accomplir leur mission de prévention auprès des acteurs économiques, afin qu'ils prennent conscience du risque cyber", renchérit Pouya Canet.
La prise en compte de ce critère est aussi adaptée aux réalités de chaque client : "La logique des banques n'est pas d'exiger de toutes les organisations d'être très robustes en cybersécurité. Elles ont une approche par les risques. Par exemple, elle ne va pas demander à une petite entreprise d'un secteur non sensible d'avoir le niveau cyber d'un grand groupe. Quand le risque est faible, peu d'investissements en cyber sont demandés par la banque. Ce ne sont pas des critères complexes et uniques : les banques savent les adapter à la réalité", précise Maxime Cartan. Certains clients sont aussi exemptés du diagnostic cyber : "Les banques savent qu'elles ont moins besoin d'auditer Danone ou L'Oréal, grands groupes dont la maturité cyber est un minimum garanti, que les petites et moyennes entreprises", ajoute Luc Declerck.
Généralement, la banque diagnostique la maturité cyber du client grâce à un questionnaire et aux solutions qui la mesurent automatiquement, comme celles de Citalid et de Board of Cyber. "Le questionnaire de sécurité pose un tas de questions classiques que l'on retrouve dans les questionnaires des assurances. Ces questions visent à s'assurer de la présence de l'authentification multifacteurs, d'une gestion aboutie des droits d'accès, etc. C'est du déclaratif et notre solution de cyber rating permet à la banque de vérifier que ce qui a été déclaré est juste et visible", conclut le directeur général de Board of Cyber.