En cas de cyber-attaques, les sociétés qui ne sont pas suffisamment réactives ou pas assez préparées peuvent perdre plus de 20 % de leur valeur.

La valeur de l’entreprise à l’épreuve des cyber-attaques.
En matière de cyber-attaques, le risque zéro n’existe pas et les pertes peuvent être très significatives – suffisamment pour nécessiter dans certains cas des arbitrages au niveau du conseil d’administration. Lorsqu’un tel événement se produit, certaines entreprises s’en tirent toutefois mieux que d’autres.
Pourquoi ?
Le secret réside dans une préparation rigoureuse et la capacité à mettre en place des stratégies de riposte adéquates.

Sources : hbrfrance.fr | Guy-Philippe Goldstein, Philippe Trouchaud

Quand on veut évaluer l’impact des cyber-attaques, on se rend vite compte que les études disponibles ne donnent qu’une vision partielle et imprécise des dégâts occasionnés. En ce qui concerne les sociétés cotées en bourse, les travaux réalisés aux Etats-Unis se sont limités à évaluer les conséquences sur la valeur de l’action pendant les 5 à 10 premiers jours de trading. De plus, les chiffres divergent selon les experts. Les estimations réalisées au niveau national, dans différents pays, sont également insatisfaisantes.

En définitive, les chiffres sont soit trop faibles pour réellement mobiliser les directions générales, soit tellement élevés qu’ils laissent penser qu’en cas d’attaque de très grande ampleur, la crise deviendra systémique et le risque sera purement et simplement transféré à l’Etat. Résultat, les entreprises sont dans le flou. Les directions financières s’en remettent à des règles empiriques comme celle qui consiste à consacrer un pourcentage défini du budget IT à la cyber-sécurité (entre 2 et 8 %). Sans pour autant pouvoir évaluer de façon précise quel pourrait être le coût réel d’une attaque. Autrement dit, le risque n’est pas quantifié.

Un impact différencié selon les cas

Une étude réalisée par PwC France apporte un éclairage nouveau sur cette question. Au total, 30 incidents s’étant produits dans 28 entreprises mondiales ont été analysés au cours de la période 2008-2017. Or, 63 % de ces sociétés ont vu leur valeur boursière affectée avec, en moyenne, plus d’un an après l’incident, une perte de la valeur patrimoniale de 10 %, et même de 20 % pour les entreprises les moins réactives et les moins bien préparées (ce qui représentaient 40 % de l’échantillon), qui se retrouvaient donc « affaiblies structurellement ». Sur la totalité de l’échantillon, la valeur en risque (une mesure de la perte si l’incident est avéré, calculée comme la moyenne des pertes dans 1/5ième des cas les plus défavorables) équivalait à 36 % de perte « structurelle » de la valeur patrimoniale de l’entreprise.

Cependant, l’impact n’est pas le même pour toutes les entreprises. L’étude distingue deux grands cas de figure :

– Les entreprises « affaiblies structurellement » – ce qui correspond à 40 % des entreprises de l’échantillon – subissent une perte de valeur immédiate de 6,1 % pendant les dix premiers jours de cotation. Mais au bout de douze mois, la diminution globale du cours de l’action est de 19,5 %, ce qui peut être vu comme une perte structurelle pour l’entreprise et génère de facto un déficit de confiance de la part du marché.

– Un deuxième groupe d’entreprises, dites « résilientes », – ce qui correspond à 23 % des entreprises de l’échantillon – subit un impact similaire pendant les dix premiers jours de cotation (- 5,7 %) mais au bout de 10 semaines (au 50e jour de cotation), on observe un phénomène de rebond. Ces entreprises parviennent à maîtriser la crise et, au bout de 6 à12 mois, elles ont redressé la situation et affichent même de meilleures performances qu’auparavant. Elles bénéficient alors d’une prime de confiance liée à leur capacité à gérer une telle crise.

Réagir et renverser la tendance

La sanction est particulièrement sévère quand l’incident révèle aux yeux des analystes des manquements de base à la sécurité des données, confirmant parfois un historique de problèmes passés. La société britannique Talk Talk a vu, fin 2015 et début 2016, son cours boursier plonger (de – 30 %) quand une fuite de données, pourtant relativement mineure (moins de 5 % des comptes clients avaient été affectés), révéla que des données sensibles n’étaient pas chiffrées par défaut.

Cela montre bien que la perte de valeur boursière, en cas de cyber-attaque, n’est pas une fatalité. L’analyse des organisations et des stratégies de ces entreprises « résilientes » est porteuse d’enseignements précieux pour l’ensemble des sociétés, y compris pour celles qui ne sont pas cotées en bourse.

Premier constat : l’entreprise résiliente se caractérise par un meilleur état de préparation générale, grâce à la mise en place d’un dispositif efficace de risk management. Elle dispose d’un responsable de la sécurité des systèmes d’information (RSSI). Une protection de ce type ne met pas l’entreprise à l’abri d’une cyber-attaque mais contribue à en réduire l’impact. Pour preuve, la société américaine Target, acteur majeur du secteur de la distribution (numéro 3 du marché), qui a subi une cyber-attaque en décembre 2013, provoquant une fuite de données de 70 millions de clients. La société disposait de systèmes de protection performants et adaptés et, en pleine crise, la direction générale a accru les investissements dans les technologies de l’information. Après une forte chute du cours pendant trois ou quatre mois, le choc a été plus qu’amorti. En effet, au bout d’un an, le cours était supérieur de 15 % à son niveau antérieur à la crise.

Si Target a surmonté cette cyber-attaque, c’est aussi parce que la société a su aussi prendre une décision radicale en termes de gouvernance, qui constitue une autre clé de la résilience. Le conseil d’administration a su agir avec force et détermination. Par exemple, cinq mois après le début de l’attaque, en mai 2014, il a fini par remplacer le P-DG, Gregg Steinhafel, et la directrice de l’informatique, Beth Jac. La décision a été historique : pour la première fois aux Etats-Unis, un P-DG était renvoyé à la suite d’une cyber-attaque.

De même, lorsque la société Equifax a subi, en 2017, une attaque de grande ampleur, provoquant la perte de données de 147 millions de clients aux Etats-Unis, le conseil d’administration a aussitôt licencié les responsables de l’informatique (CIO) et de la technologie (CTO). Mais il ne s’est pas contenté de ces mesures de court terme. Le budget IT a été renforcé, la communication améliorée et des mesures préférentielles en faveur des utilisateurs ont ainsi été prises. Le conseil administration a ainsi montré qu’il avait pris la mesure de la gravité du problème et cette attitude a contribué au redressement du cours en bourse, qui a retrouvé son niveau antérieur à celui de la cyber-attaque.

Ces exemples montrent que les entreprises attaquées disposent d’un certain laps de temps, parfois de quelques mois mais le plus souvent de six à huit semaines, pour réagir et renverser la tendance. De vraies « stratégies de crise » ont ainsi vu le jour. Elles passent par la prise de conscience par le management et le conseil d’administration de l’ampleur du phénomène et la capacité à prendre les décisions nécessaires, même si celles-ci sont douloureuses. Les marchés financiers ne pénalisent pas une entreprise parce qu’elle est attaquée mais parce que les bonnes décisions ne sont pas prises à temps.

Tous concernés dans l’entreprise 

Mais la réactivité ne peut se militer au sommet de l’entreprise : elle doit être le fait de l’ensemble de l’organisation. Dans ce but, il est important que l’ensemble des départements impliqués sache ce que font leurs collègues. Cela permet de réfléchir en commun, d’élaborer des stratégies conjointes, d’être plus efficace en termes de solutions concrètes et de réagir mieux et plus vite. Bien évidemment, une organisation plus aplatie où tout le monde peut parler et interagir avec tout le monde, en lieu et place du modèle hiérarchique traditionnel, est un facteur favorable.

Un autre élément important est la qualité et la transparence des communications internes aussi bien qu’externes. Dès le moment de l’attaque, il est fondamental d’en faire état publiquement et d’évaluer dès que possible l’impact, même s’il s’agit d’estimations préliminaires. Cette communication doit être la plus large possible, aussi bien auprès des marchés financiers et des autorités régulatrices compétentes lorsque la société est cotée en bourse que de tout l’écosystème de l’entreprise : clients, fournisseurs, banquiers, partenaires, etc. En matière de cyber-sécurité, l’expérience montre que la politique de l’autruche est totalement contre-productive.

L’enjeu de la réputation

Avec la digitalisation croissante des activités, les entreprises seront de plus en plus exposées au cyber-risque. Les experts reconnaissent qu’il n’y a pas de protection absolue. Toute entreprise de la planète sera susceptible d’être attaquée à l’avenir. Et toute cyber-attaque pourra avoir un caractère dévastateur.

Les exemples de cyber-attaques montrent qu’il y a un impact immédiat au niveau commercial (perte de chiffre d’affaires), ce à quoi s’ajoutent les enquêtes administratives, les plaintes et actions en justice, l’exposition médiatique, etc. Mais la menace la plus grave concerne la réputation : la cyber-attaque remet en cause la marque qui est le principal actif de l’entreprise. La perte de confiance peut entraîner le détournement de milliers, voire de centaines de milliers, de clients. La société de traitement de paiements Heartland Payment Services a ainsi perdu plus de la moitié de sa valeur d’entreprise quand sa relation avec l’un de ses principaux clients, Visa, a été remise en cause à la suite d’une fuite de données. Pour couronner le tout, une perte de réputation a un impact sur le recrutement et la fidélisation des talents. Le capital humain se trouve à son tour attaqué.

L’ampleur des enjeux plaide pour une stratégie d’anticipation. Ce qui, au passage, aura un effet bénéfique direct sur la réputation de l’entreprise. Une organisation qui semble mieux protégée bénéficie d’une prime de confiance, dont l’importance ne va cesser de croître dans le contexte de la révolution digitale. Or, c’est un élément essentiel pour permettre à l’entreprise de continuer à se développer.