La Cybersécurité : une question de réputation

Le coût moyen d’une cyberattaque réussie oscillerait entre €52.000ⁱ et $200.000ⁱⁱ, et pourrait atteindre $3,86 millionsⁱⁱⁱ dans le cas d’une fuite de données. Des montants non négligeables mais qui ne justifient pas à eux seuls, les impacts majeurs d’une cyberattaque sur la valorisation des entreprises. Ces chiffres boursiers sont-ils donc des anomalies ? Non, mais ils démontrent pourquoi la réputation est l’enjeu majeur des crises cyber.

Par Guy-Philippe Goldstein, Enseignant à l’Ecole de Guerre Economique, Advisor pour PwC

Le télétravail, la porosité des systèmes d’information qui l’accompagne, la 5G, la prolifération des objets connectés, le recours accru à l’intelligence artificielle… sont autant d’outils formidables du quotidien que de nouvelles menaces cyber, encore trop largement sous-évaluées par les entreprises. Le cabinet de courtage en assurance Bessé, dans sa dernière étude parue fin 2020, estime que 76 % des dirigeants d’ETI ont subi au moins une incidence cyber en 2019. Et la montée en puissance du risque s’accélère. L’ANSSI rappelle elle que le nombre d’attaques de rançongiciels a été multiplié par trois ou quatre en un an, 128 attaques ayant été répertoriées fin septembre 2020 contre 54 sur l’ensemble de l’année 2019.

Et pourtant, 80% des entreprises en France n’ont toujours pas mis au point de plan de réponse leur permettant de faire face а un incident cyber robuste !^iv

Effondrement temporaire des cours de Bourse

Les incidents cyber se succèdent et avec eux, l’effondrement temporaire des cours de Bourse des entreprises qui y succombent. Après l’annonce d’une cyber-attaque, Trigano, entreprise Française cotée , spécialisée dans les voitures et équipements de loisirs, fait -2% dans la foulée ; le groupe Français de laboratoires d’analyses Eurofins perd 15% dans les dix jours qui suivent ; et l’entreprise Américaine de gestion de données Equifax s’effondre de 35% dans les deux semaines après la révélation publique de l’attaque.

Les chiffres évoqués plus haut sont donc loin d’être aberrants : sur 63% des incidents recensés dans une étude PwC de 2019, le cours de Bourse des entreprises plongeait de 9% au bout du premier mois. Au bout d’un an, dans 40% des cas, celui des entreprises « structurellement affaiblies » se retrouvait à -20% comparé au cours d’avant l’annonce de l’incident. Et ces résultats ne concernent pas que les entreprises cotées^v. Pour celles-ci, les PME et les ETI, le risque de défaillance augmente de près de 50 % dans les trois mois qui suivent l’annonce de l’incident. Un risque qui atteint 80 % pour les entreprises françaises. Quant à la perte de valorisation des entreprises, elle peut être estimée de 8 à 10 % après l’annonce, sans parler du dommage causé à la réputation, « l’actif immatériel le plus précieux dont dispose l’entreprise », souligne Pierre Bessé, PDG du groupe éponyme. Les incidents cyber mènent, majoritairement, а une dégradation forte et plus ou moins temporaire de l’activité de l’entreprise et, dans de rares situations, а une cessation d’activité.

La réputation, un actif essentiel de l’entreprise

L’effet psychologique joue à plein lors d’une cyber-attaque, et peut être encore plus avec les rançongiciels aujourd’hui. L’entreprise est dépossédée de sa base de clientèle autant que du contrôle de certaines machines. La confiance est rompue, la réputation commerciale de l’entreprise est en danger. Lors d’une étude publiée par Gemalto, 67% des répondants déclaraient ne plus vouloir faire affaire avec une entreprise victime d’un vol de données financières et d’autres informations sensibles^vi. Aux procédures, en cas d’agression, désormais bien identifiées : stopper le logiciel malveillant, isoler le risque, reconstruire le système, notifier l’attaque à la CNIL, il convient d’ajouter un volet communication essentiel. Communiquer rapidement auprès des clients, des actionnaires, des salariés permettra d’éviter un effondrement de l’image de marque de l’entreprise. Les stratégies mises en œuvre pour préserver la réputation de l’entreprise diffèrent beaucoup d’une entreprise à une autre. Certaines jouent la transparence quand d’autres restent extrêmement discrètes. Une fois l’attaque lancée et identifiée, les entreprises doivent accepter de mener la bataille de la communication en externe, comme en interne, en gardant en mémoire deux règles d’or : le refus d’admettre la crise ne peut que l’aggraver et une forte exposition médiatique marque durablement les mémoires. Refuser d’admettre une attaque n’abusera personne. A contrario, les conséquences seraient plus désastreuses en matière d’impact sur la valorisation de l’entreprise.

Cyberattaques et stress des talents

La réputation interne, auprès des employés, est elle aussi fragilisée. Différentes études montrent en effet qu’une augmentation du stress est observée face au risque d’attaques cyber venant d’hacktivistes de type Anonymous ou liés à des groupes politiques islamistes tel que le Hamas^vii. D’autres ont révélé que pendant la crise cyber, 24% des entreprises ont ressenti une baisse du moral des équipes au bureau et 11% ont constaté un impact sur le niveau de départ d’employés^viii. Rien de surprenant. De manière générale, la différence entre une organisation de haute confiance et une de faible confiance peut se traduire par des écarts de 76% sur le taux d’engagement au travail ; de 50% sur la productivité et de 13% sur le nombre de jours d’absentéisme^ix. Or, nos économies modernes reposent fondamentalement sur le talent. La hausse de son coût est alors l’un des facteurs les plus fragilisants pour le compte de résultat.

Horizon moyen terme

Les impacts économiques sur la réputation auprès des clients, comme auprès des employés, n’est pas immédiate. Des jours, voir des semaines – parfois plus – seront nécessaires pour bien comprendre l’impact, rendu réellement tangible lors des premiers résultats trimestriels ou semestriels suivants. En novembre 2017, Equifax estimait que la cyberattaque dont l’entreprise avait été victime lui avait coûté $90 millions^x. Les marchés avaient eux accusé une baisse équivalente jusqu’à 4 milliards de valeur effacée, en prenant en compte au moins tous les éléments cités précédemment. Les marchés furent les plus proches de la vérité. Deux ans et demi plus tard, l’entreprise révélait que ce choc lui avait coûté $1.7 milliard…^xi

Ainsi, comme pour la crise de la Covid-19, même sans vaccins « anti-virus », il y a des moyens de réduire le choc. Mais, comme les masques, on omet de les appliquer. Le résultat de cette omission peut être grave et sévère. Et l’ONU de nous rappeler que l’avenir ne s’éclaircira vraisemblablement pas sur ce sujet : la cybercriminalité devrait coûter près de 5 200 milliards de dollars pour l’économie mondiale entre 2020 et 2025.^xii

i Hiscox 2020

ii Rand Corp, 2016

iii IBM Ponamon Institute, 2020

iv IBM Ponamon Institute, 2020

v https://www.hbrfrance.fr/chroniques-experts/2018/05/20164-valeur-de-lentreprise-a-lepreuve-cyber-attaques/

vi Voir https://www.silicon.fr/gemalto-fuites-donnees-fuir-clients-191989.html#

vii Voir Michael Gross, Daphna Canetti, Dana Vashdi, « the Psychological effect of cyber terrorism », Bulletin of Atomic Scientists, Volume 72, 2016 – Issue 5: The psychology of doom

viii Voir https://www.linkedin.com/pulse/employee-impacts-from-data-breach-stewart-draper/ d’après Etude Carbonite Report

ix Voir Paul J. Zak, “The neuroscience of trust” HBR, Jan-Feb 2017

x https://phys.org/news/2017-11-massive-breach-equifax-million.html

xi Voir https://www.housingwire.com/articles/equifax-expects-to-pay-out-another-100-million-for-data-breach/#:~:text=In%20total%2C%20the%20breach%20cost,million%20in%20cybersecurity%20insurance%20coverage.

xii October 2020