Stratégie

La transformation digitale ne fait pas bon ménage avec la cybersécurité

De gauche à droite : Pauline Adam Kalfon, PwC, Bernard Duterque, Générali, Philippe Truchaud, PwC, Guy-Philippe Goldstein, expert indépendant, Rami Faghali, PwC (photo PwC).

Les failles de cybersécurité atteignent largement les entreprises, la transformation digitale est particulièrement en cause. PWC a organisé une table ronde sur le sujet.

PublicitéDe très grandes entreprises cotées, Yahoo, MySpace, Ebay, LinkedIn, Sony, Target, subissent des cyber-attaques et sont immédiatement pénalisées en bourse. La réputation des entreprises est atteinte, les marchés financiers le savent et se montrent très avertis et très réactifs sur le sujet. Les directions générales tentent de s'informer mais restent dans le flou, remarque le cabinet PWC qui organisait ce mardi 6 février 2018 matin une table-ronde autour de ce sujet. « Un tiers des dirigeants mondiaux interrogés par Pwc, doute de l'efficacité de leurs investissements en cybersécurité, le sujet s'avère trop technique et ils ne comprennent pas le risque induit par les attaques », remarque Philippe Trouchaud, associé au cabinet PWC.

Dans la masse de chiffres et de données sur l'évolution des cyber-risques, PWC isole de plus en plus la transformation digitale. Elle ouvre des possibilités de failles par le nombre d'employés (et de dirigeants) connectés, par l'importance des moyens digitaux déployés dans la communication et la relation client, par l'importance de l'intégration digitale dans l'éco -système de l'entreprise (fournisseurs et partenaires). Une entreprise comme Equifax a perdu le tiers de sa valeur boursière suite au piratage de ses données. Cette spécialiste du crédit aux particuliers a bâti sa réputation sur ses capacités à gérer et sécuriser les données Une faille a détruit cette image. Révélée avec retard, elle a laissé le temps à trois dirigeants de vendre leurs actions.

Les résilientes et les structurellement affaiblies

Face aux risques, note Guy-Philippe Goldstein, expert et enseignant sur le sujet, les entreprises se divisent en deux catégories : celles qui ont échappé aux attaques et celles qui « ont bu le bouillon ». Sur ces dernières, on distingue les résilientes, des structurellement affaiblies. Ces grandes perdantes subissent, quand elles sont en bourse, une baisse nette dans les dix jours suivants l'incident. Dans les deux mois, la crise se renforce avec un quasi décrochage en bourse. Exemple marquant, celui de Talk Talk, opérateur télécoms anglais, victime d'une attaque DDoS à l'origine d'une fuite de données. Son impact fut d'autant plus fort que l'incident a révélé un non-chiffrement des données.

Les entreprises dites résilientes sont celles qui ont eu une réaction de la gouvernance. Equifax a subi une baisse en bourse de 25 à 30% après la révélation d'une cyber-attaque. Mais le conseil d'administration a limogé la direction générale. Une entreprise cotée réagit peut être plus rapidement après un cyber risque. Chez Target les responsables techniques, CTO et CIO, ont pris la porte, suivis du PDG. La manière de gérer une crise en dit beaucoup sur sa capacité de résilience, « c'est un champs d'étude assez large » note Guy-Philippe Goldstein.

PublicitéLa cyber assurance est-elle le bon remède ? Un tranquillisant pour les directions générales ? Pas évident si l'on suit le débat. S'assurer pour les risques cyber devrait devenir aussi courant qu'assurer un bâtiment. Mais il est encore très difficile d'imaginer son importance, les modélisations possibles, les montants pour un assureur comme pour un réassureur. « Le cyber-risque c'est ce que n'aiment pas les assureurs, car c'est encore trop flou » glisse Bernard Duterque directeur de la souscription des risques spécialisés chez Generali qui lance quand même une cyber-assurance pour les PME, le continent noir de la sécurité. Une assurance doublée d'un programme de e-learning pour sensibiliser les collaborateurs de ces PME aux cyber-risques.