Les analystes financiers s’inquiètent de la sécurité numérique des entreprises
Après Standard & Poor's c’est maintenant au tour de Moody's d’afficher la cybersécurité parmi les critères d’évaluation des entreprises qu’elles passent au crible. Le risque encouru est tel que les investisseurs doivent être informés du niveau de protection face aux cyberattaques.
« Nous attendons des entreprises qu’elles se dotent d’instance de pilotage de la cybersécurité ». Cet avertissement émane du rapport « Cross Sector -- Global: Cyber Risk of Growing Importance to Credit Analysis » publié fin novembre 2015 par l’agence Moody’s. Cette mise en avant du risque cyber par une agence mondiale spécialisée dans l’évaluation des entreprises est significative d’un changement d’époque. Longtemps, les professionnels des systèmes d’information étaient les seuls à désigner la cybersécurité comme un péril potentiellement mortel pour les entreprises. « Rien de plus normal », pensait-on puisqu’ils plaident seulement pour leur cause.
Un risque financier à part entièreMais face aux cyberattaques qui font désormais la une de
l’actualité et aux pertes qui se chiffrent rapidement en millions de dollars,
le sujet de la sécurisation des systèmes d’information va bien au-delà de la
communauté des équipes informatiques. Déjà en septembre 2015, l’autre poids
lourd de la notation, Standard & Poor's tenait une discours très réaliste sur l’exigence de cybersécurité,
notamment dans le domaine bancaire. En admettant bien volontiers qu’aucune
organisation ne pouvait s’engager formellement à être à l’abri de toute
cyberattaque. Mais qu’il était indispensable que les entreprises soient en
mesure de démontrer leur capacité à détecter le plus rapidement possible les
pénétrations informatiques dont elles ont fait l’objet. Et qu’elles se sont mis
en capacité de déployer sans délai des actions réparatrices pour limiter au
maximum l’impact de telles agressions.
Cette agilité face à des atteintes à l’intégrité du système d’information exige
une solide préparation en amont. Avec une connaissance fine de son informatique
et de l’organisation de son patrimoine informationnel. Les analystes ne
manqueront pas de pointer les sociétés qui rechignent encore à se doter d’une
vraie gouvernance de leur cybersécurité. A quoi bon investir dans une
entreprise dont le savoir-faire, les finances et les moyens de production sont
exposés sans réelle protection sérieuse à des pirates informatiques ? Le
gendarme de la Bourse étatsunienne, la Security & Exchange Commission
(SEC) exige même que les sociétés cotées informent les marchés par la rédaction
et la publication d’un formulaire détaillant les cyberattaques dont elles ont
fait l’objet. Car il s’agit bien là d’évènements pouvant obérer l’avenir d’une
entreprise, la plus solide soit-elle. Au-delà de l’approche technique, la
cybersécurité est donc plus que jamais une question vitale pour toutes les
organisations.
Les analystes des marchés financiers en ont fait un sujet prioritaire.