Les Cyber-risques ne doivent pas faire dérailler la croissance
Article dans l’Opinion du 11 novembre 2021 par Bertrand Jacquillat, membre du Comité stratégique d’ABV Group
Les effets bénéfiques de la mondialisation ont été magnifiés par la technologie. Aussi bien en termes d’efficacité économique que de capacité à faire baisser les prix des biens et des services, la mondialisation et la technologie ont contribué à la hausse du pouvoir d’achat dans les pays développés, tout en faisant sortir de la misère des populations entières de pays autrefois dits « en voie de développement ».
Pour autant, certaines de leurs conséquences sont fâcheuses. Ainsi en va-t-il des malveillances que suscite la dématérialisation des échanges. La mondialisation et la technologie ont en effet charrié avec elles de nouveaux risques, et notamment les cyber-risques. Naguère, ceux-ci n’auraient constitué que des thèmes de romans de science-fiction ou de scènes d’épouvante cinématographiques. Aujourd’hui, ils ne sont que routine.
Le 17 mai dernier, des cybercriminels ont provoqué l’arrêt pendant cinq jours du fonctionnement des pipelines de pétrole alimentant tous les états de la côte est des États-Unis, exigeant de leur propriétaire, la Colonial Pipeline Company le paiement d’une rançon de 4,3 millions de dollars pour leur réouverture. Quelques jours plus tard, c’était presque l’ensemble du système hospitalier irlandais qui faisait l’objet d’un chantage à la rançon. Cette semaine, Robinhood, le courtier en ligne américain rendu célèbre après qu’il ait attiré des millions de nouveaux clients pendant la pandémie, a fait l’objet d’une fuite massive de données.
Ce nouvel environnement truffé de cyber-attaques représente un coût économique considérable. Les pertes opérationnelles subies à ce jour par les entreprises à la suite de cyber-attaques sont estimées à 500 Mds $, et représentent 1 % du PIB mondial. Et ces chiffres sont probablement sous-estimés, car fondés sur les déclarations des entreprises, dont la communication ne claironne pas ce genre d’évènements par crainte qu’une telle information porte atteinte à leur réputation. La cybercriminalité concerne tous les secteurs d’activité, mais par ses effets induits, elle est particulièrement dangereuse dans le secteur de la technologie et le fameux « internet of things ». En effet, les logiciels embarqués dans un nombre croissant d’objets sont indispensables à leur fonctionnement, qu’il s’agisse des véhicules automobiles, des équipements de la maison, des robots des usines, etc. Par ailleurs, les océans de données médicales disponibles sont de nature à révolutionner les protocoles de santé publique. Tout ceci participe des innovations disruptives susceptibles d’accroître la productivité et de stimuler la croissance économique, en même temps que de sauver un grand nombre de vies humaines.
Mais, plus s’accroissent les cyber-risques au sein de l’environnement virtuel qui nous entoure, plus grande est la réticence d’un nombre croissant d’individus à s’y insérer, rendant théoriques tous ses bienfaits. Face à la menace qu’ils représentent pour la santé d’une économie de plus en plus digitalisée, le monde devrait rechercher un accord rendant la vie des cybercriminels plus difficile. C’est le souhait exprimé régulièrement au sein de certaines instances mondiales, mais en vain dans la mesure où la cybercriminalité est une forme de guerre pratiquée pour partie par des États déterminés et puissants. C’est ainsi qu’au Forum économique de Davos de 2016, les participants identifiaient les cyber-risques comme l’une des menaces les plus probables et les plus importantes pour leur entreprise. Aussi, les enquêtes régulières effectuées par la Bank of England auprès des institutions financières font ressortir la cyber-sécurité comme deuxième risque le plus important à gérer pour une entreprise juste derrière le risque politique. Et l’intérêt des régulateurs mondiaux pour le suivi et le contrôle de ces risques va croissant.
Cette thématique devient donc cruciale et rend nécessaire la mise en place du suivi et du contrôle des activités de tous les jours de l’entreprise, pour sécuriser ses données et ses actifs (données de paye, contrats, propriété intellectuelle, liste clients, etc.) dans un monde de plus en plus interconnecté au travers d’internet. La pandémie et le confinement, en accroissant notre dépendance vis-à-vis de l’internet, nous ont rendu encore plus vulnérables au risque de cyber-attaque. De fait, les accès à l’entreprise se multiplient (travail à distance, tablettes, smartphones, accès clients/fournisseurs/partenaires), en même temps que la quantité de data explose. Ce qui a donné naissance à une nouvelle industrie de services, avec l’émergence de sociétés de cyber-sécurité, aujourd’hui presque toutes américaines, qui proposent la protection des systèmes connectés à internet, soit in situ, soit par une gestion externalisée dans le cloud.
Une étude à paraître d’Helen Rey et de chercheurs de la London Business School rend compte des tendances qui se dégagent en la matière, avec une méthode à la fois originale et systématique pour surmonter l’opacité qui entoure la survenance des cyber-attaques. Ils appliquent des techniques numériques d’analyse linguistique à la communication des résultats trimestriels (calls investisseurs) de plus de 12000 sociétés cotées appartenant à 85 pays sur plus de trente ans permettant de faire ressortir les cyber-risques. Le nombre de calls faisant référence à ce type de risques est allé en augmentant, avec une nette accélération à partir de 2013. Ceux-ci revêtent une connotation négative croissante, avec une association de plus en plus consciente entre les cyber-risques et l’incertitude. Les allusions à la cyber-sécurité dans les calls qui émanaient principalement de sociétés américaines, se sont étendues depuis 2013 à l’Europe, la Grande-Bretagne, l’Australie et l’Asie. Tous les secteurs sont affectés, et notamment ceux de l’informatique et de la technologie, avec le secteur financier devenu une cible croissante au fil du temps. Les possibilités de cyber-attaques constituent un risque supplémentaire pour les entreprises que les marchés d’actions prennent en compte. La mention de ces risques dans les calls investisseurs provoque des chutes de cours significatives des actions des entreprises concernées.
Par conséquent, les entreprises davantage exposées au risque d’une cyber-attaque devront particulièrement chercher à s’en immuniser sous peine d’être exposées à des coûts plus élevés de financement, ainsi qu’à des coûts significatifs de réputation. Les cyber-risques, avec la contagion qu’ils peuvent entraîner, ne doivent pas faire dérailler la croissance économique mondiale.
Bertrand Jacquillat est vice-président du Cercle des économistes et « senior advisor » de J. de Demandolx Gestion.