chroniques
Les attaques ne sont pas non plus limitées aux entreprises : les États souverains et des institutions publiques sont aussi extrêmement vulnérables. Ainsi avons-nous pu assister à des attaques contre la ville de Hartford aux États-Unis, contre de nombreuses académies de l’instruction publique au Texas et, plus récemment, contre le système irlandais de soins de santé.
Il n’est donc pas étonnant que le risque cyber soit devenu un facteur de plus en plus important dans la notation. Au cours des six derniers mois, nous avons été témoins, chez Standard & Poor’s Gobal Ratings de plus de cyberévénements dont les conséquences touchent le crédit qu’au cours des six dernières années, et nous surveillons attentivement les récentes évolutions de la cybernétique pour aiguiser nos analyses. Nos estimations les plus récentes renforcent nombre de nos points de vue, mais nos attentes concernant la gestion du risque cyber continuent elles aussi d’évoluer.
Beaucoup de nos entités notées, notamment dans les technologies de l’information et dans l’assurance, voient émerger plus d’opportunités dans les cyberservices. Mais les entreprises auraient intérêt à prendre certaines mesures pour contribuer à atténuer les conséquences potentielles des cyberattaques sur leur crédit.
Premièrement, il est toujours vital d’agir rapidement – comme nous l’avons récemment vu à la suite de la cyberattaque dont a été victime l’assureur CNA aux États-Unis. La compagnie n’a pas tardé à prendre des mesures de sauvegarde – parmi lesquelles une communication d’urgence avec les employés, les clients, les courtiers et les agents, les investisseurs et les autorités de régulation – qui ont contribué à limiter l’étendue des dégâts et à calmer notre inquiétude initiale concernant les conséquences potentielles sur la marque, sa réputation et sa position vis-à-vis de ses concurrents.
Deuxièmement, si la prévention active des cyberévénements est en train de devenir la norme, nombre de cyberattaques sont construites de telle sorte qu’elles deviennent plus difficiles à déceler. La détection active deviendra donc un avantage compétitif.
Nous avons pu voir combien la détection active était importante dans le cas de SolarWinds Holdings Inc., victime, au début de l’année 2020 – soit plusieurs mois avant que l’entreprise ne le remarque –, d’une cyberintrusion abondamment commentée depuis. Le temps écoulé entre l’attaque et le moment où elle a été détectée a augmenté l’échelle et l’ampleur de l’événement. Les conséquences et le coût de l’attaque ont contribué en partie à la récente dégradation de la note attribuée par S&P’s à SolarWinds, passée de B+ à B.
Troisièmement, quoique la pandémie de Covid-19 augmentera probablement la propension des dirigeants à allouer des fonds à la protection de leur entreprise contre le risque cyber, ce n’est pas assez. Étant donné l’importante proportion d’intrusions informatiques qui peuvent être attribuées à une culture du risque déficiente ou à l’erreur humaine, même des dépenses considérables consenties dans les technologies numériques de l’information ne seront pas suffisantes. L’argent seul ne peut surmonter ce risque. Nous prévoyons dès lors un soutien accru des directions d’entreprise aux exercices de simulation, afin d’évaluer et de tester le degré de préparation.
Quatrièmement, les conséquences sur le crédit d’une cyberattaque sont fonction du type d’attaque et des motifs qui la sous-tendent. Des entreprises peuvent souffrir indirectement à la suite d’une attaque centralisée, guidée peut-être par des considérations politiques, comme lors des épisodes qui ont frappé SolarWinds et le Microsoft Exchange Server, mais elles n’en ressentirons pas toujours les conséquences directes, qu’elles soient financières ou qu’elles portent atteinte à leur réputation. Il est plus probable en revanche que des attaques directes sur des entreprises ou des institutions déterminées, qui mêlent un événement de bilan à des disruptions opérationnelles matérielles se traduisent au niveau de la notation, notamment si les attaques sont mal gérées.
Cinquièmement, les entreprises sont engagées dans une course à l’armement virtuelle avec les pirates. Elles ont donc besoin d’une bonne évaluation du risque cyber, ne serait-ce que pour avoir une chance de disposer d’une longueur d’avance. Celles dont les standards de gouvernance sont médiocres ne jouiront probablement que d’une note de crédit relativement plus faible avant même une cyberattaque.
Nous serons de plus en plus attentifs aux standards laxistes de gouvernance cyber, et plus particulièrement à l’absence de mesures élémentaires comme la formation des employés et la mise à jour des logiciels déjà en service. Les mises à jour et corrections de logiciels adéquates et effectuées à temps réduisent l’exposition potentielle des entreprises aux vulnérabilités connues que les pirates tentent souvent d’exploiter.
Nous considérons la gestion des risques cyber comme l’une des catégories de la gestion opérationnelle globale du risque. La gouvernance et la gestion conventionnelles des risques peuvent être aisément adaptées ; il est donc important que les entreprises connaissent leur appétence au risque cyber et leur degré de tolérance. Dès lors qu’une entreprise ne peut maintenir une longueur d’avance, elle doit au moins s’assurer qu’elle ne fait pas moins bien que ses pairs. Au minimum, nous attendons d’une entreprise qu’elle ait un système de sauvegarde et une stratégie de récupération des données fiables et abondamment testés.
Sixièmement, la prochaine grande menace qui pèsera sur le système financier mondial pourrait fort bien être d’ordre informatique, avec des risques corrélés plus importants et une contagion plus rapide que ce qui est actuellement prévu. Les entreprises et les pouvoir publics devraient y penser. Selon son ampleur et ses conséquences financières, en fonction également du succès des mesures prises pour l’atténuer, un tel événement pourrait déclencher d’importantes réactions de la part des agences de notation. Les entreprises aux bilans les plus faibles et dépourvues d’une bonne assurance contre les risques informatiques devront probablement faire face à une pression plus forte sur leur note de crédit.
Les assureurs eux-mêmes apprennent de l’ambiguïté diffusée par la pandémie dans leurs produits, et cela doit demeurer l’une de leurs préoccupations. La cyberattaque du mois d’août 2020 sur la Bourse de Nouvelle-Zélande (NZX) n’aurait pas dû constituer une surprise étant donné le rôle joué par les échanges de titres dans le système financier. NZX a par la suite admis que ses moyens technologiques et son planning de gestion de crise avaient besoin d’améliorations.
Enfin, les événements des douze derniers mois ont souligné la vulnérabilité des réseaux de production complexes et interdépendants, raison pour laquelle les chaînes d’approvisionnement constituent dans les prochaines années une source croissante de risques informatiques. Comme l’ont souligné un certain nombre d’attaques récentes – y compris celles qui ont été perpétrées contre SolarWinds, le Microsoft Exchange Server et Codecoy – ainsi que l’intrusion dont Target a été victime en 2013, la gouvernance du risque cyber doit porter une attention particulière aux chaînes logistiques, notamment pour ce qui concerne les normes informatiques des fournisseurs tiers.
Les entreprises devraient intégrer à leur ADN les leçons des cyberattaques passées et prendre des mesures concrètes afin de prévenir et de détecter les menaces futures. Étant donné l’importance de la gouvernance du risque cyber pour les notes de crédit, les bénéfices d’une cybersécurité éprouvée s’étendront très probablement au-delà du seul domaine informatique.
Traduit de l’anglais par François Boisivon
Simon Ashworth est responsable de l’analyse de données et de l’assurance chez S&P’s Global Ratings.
© Project Syndicate 1995–2021
Il n’est donc pas étonnant que le risque cyber soit devenu un facteur de plus en plus important dans la notation. Au cours des six derniers mois, nous avons été témoins, chez Standard & Poor’s Gobal Ratings de plus de cyberévénements dont les conséquences touchent le crédit qu’au cours des six dernières années, et nous surveillons attentivement les récentes évolutions de la cybernétique pour aiguiser nos analyses. Nos estimations les plus récentes renforcent nombre de nos points de vue, mais nos attentes concernant la gestion du risque cyber continuent elles aussi d’évoluer.
Beaucoup de nos entités notées, notamment dans les technologies de l’information et dans l’assurance, voient émerger plus d’opportunités dans les cyberservices. Mais les entreprises auraient intérêt à prendre certaines mesures pour contribuer à atténuer les conséquences potentielles des cyberattaques sur leur crédit.
Premièrement, il est toujours vital d’agir rapidement – comme nous l’avons récemment vu à la suite de la cyberattaque dont a été victime l’assureur CNA aux États-Unis. La compagnie n’a pas tardé à prendre des mesures de sauvegarde – parmi lesquelles une communication d’urgence avec les employés, les clients, les courtiers et les agents, les investisseurs et les autorités de régulation – qui ont contribué à limiter l’étendue des dégâts et à calmer notre inquiétude initiale concernant les conséquences potentielles sur la marque, sa réputation et sa position vis-à-vis de ses concurrents.
Deuxièmement, si la prévention active des cyberévénements est en train de devenir la norme, nombre de cyberattaques sont construites de telle sorte qu’elles deviennent plus difficiles à déceler. La détection active deviendra donc un avantage compétitif.
Nous avons pu voir combien la détection active était importante dans le cas de SolarWinds Holdings Inc., victime, au début de l’année 2020 – soit plusieurs mois avant que l’entreprise ne le remarque –, d’une cyberintrusion abondamment commentée depuis. Le temps écoulé entre l’attaque et le moment où elle a été détectée a augmenté l’échelle et l’ampleur de l’événement. Les conséquences et le coût de l’attaque ont contribué en partie à la récente dégradation de la note attribuée par S&P’s à SolarWinds, passée de B+ à B.
Troisièmement, quoique la pandémie de Covid-19 augmentera probablement la propension des dirigeants à allouer des fonds à la protection de leur entreprise contre le risque cyber, ce n’est pas assez. Étant donné l’importante proportion d’intrusions informatiques qui peuvent être attribuées à une culture du risque déficiente ou à l’erreur humaine, même des dépenses considérables consenties dans les technologies numériques de l’information ne seront pas suffisantes. L’argent seul ne peut surmonter ce risque. Nous prévoyons dès lors un soutien accru des directions d’entreprise aux exercices de simulation, afin d’évaluer et de tester le degré de préparation.
Quatrièmement, les conséquences sur le crédit d’une cyberattaque sont fonction du type d’attaque et des motifs qui la sous-tendent. Des entreprises peuvent souffrir indirectement à la suite d’une attaque centralisée, guidée peut-être par des considérations politiques, comme lors des épisodes qui ont frappé SolarWinds et le Microsoft Exchange Server, mais elles n’en ressentirons pas toujours les conséquences directes, qu’elles soient financières ou qu’elles portent atteinte à leur réputation. Il est plus probable en revanche que des attaques directes sur des entreprises ou des institutions déterminées, qui mêlent un événement de bilan à des disruptions opérationnelles matérielles se traduisent au niveau de la notation, notamment si les attaques sont mal gérées.
Cinquièmement, les entreprises sont engagées dans une course à l’armement virtuelle avec les pirates. Elles ont donc besoin d’une bonne évaluation du risque cyber, ne serait-ce que pour avoir une chance de disposer d’une longueur d’avance. Celles dont les standards de gouvernance sont médiocres ne jouiront probablement que d’une note de crédit relativement plus faible avant même une cyberattaque.
Nous serons de plus en plus attentifs aux standards laxistes de gouvernance cyber, et plus particulièrement à l’absence de mesures élémentaires comme la formation des employés et la mise à jour des logiciels déjà en service. Les mises à jour et corrections de logiciels adéquates et effectuées à temps réduisent l’exposition potentielle des entreprises aux vulnérabilités connues que les pirates tentent souvent d’exploiter.
Nous considérons la gestion des risques cyber comme l’une des catégories de la gestion opérationnelle globale du risque. La gouvernance et la gestion conventionnelles des risques peuvent être aisément adaptées ; il est donc important que les entreprises connaissent leur appétence au risque cyber et leur degré de tolérance. Dès lors qu’une entreprise ne peut maintenir une longueur d’avance, elle doit au moins s’assurer qu’elle ne fait pas moins bien que ses pairs. Au minimum, nous attendons d’une entreprise qu’elle ait un système de sauvegarde et une stratégie de récupération des données fiables et abondamment testés.
Sixièmement, la prochaine grande menace qui pèsera sur le système financier mondial pourrait fort bien être d’ordre informatique, avec des risques corrélés plus importants et une contagion plus rapide que ce qui est actuellement prévu. Les entreprises et les pouvoir publics devraient y penser. Selon son ampleur et ses conséquences financières, en fonction également du succès des mesures prises pour l’atténuer, un tel événement pourrait déclencher d’importantes réactions de la part des agences de notation. Les entreprises aux bilans les plus faibles et dépourvues d’une bonne assurance contre les risques informatiques devront probablement faire face à une pression plus forte sur leur note de crédit.
Les assureurs eux-mêmes apprennent de l’ambiguïté diffusée par la pandémie dans leurs produits, et cela doit demeurer l’une de leurs préoccupations. La cyberattaque du mois d’août 2020 sur la Bourse de Nouvelle-Zélande (NZX) n’aurait pas dû constituer une surprise étant donné le rôle joué par les échanges de titres dans le système financier. NZX a par la suite admis que ses moyens technologiques et son planning de gestion de crise avaient besoin d’améliorations.
Enfin, les événements des douze derniers mois ont souligné la vulnérabilité des réseaux de production complexes et interdépendants, raison pour laquelle les chaînes d’approvisionnement constituent dans les prochaines années une source croissante de risques informatiques. Comme l’ont souligné un certain nombre d’attaques récentes – y compris celles qui ont été perpétrées contre SolarWinds, le Microsoft Exchange Server et Codecoy – ainsi que l’intrusion dont Target a été victime en 2013, la gouvernance du risque cyber doit porter une attention particulière aux chaînes logistiques, notamment pour ce qui concerne les normes informatiques des fournisseurs tiers.
Les entreprises devraient intégrer à leur ADN les leçons des cyberattaques passées et prendre des mesures concrètes afin de prévenir et de détecter les menaces futures. Étant donné l’importance de la gouvernance du risque cyber pour les notes de crédit, les bénéfices d’une cybersécurité éprouvée s’étendront très probablement au-delà du seul domaine informatique.
Traduit de l’anglais par François Boisivon
Simon Ashworth est responsable de l’analyse de données et de l’assurance chez S&P’s Global Ratings.
© Project Syndicate 1995–2021
Accueil
Envoyer à un ami
Version imprimable
Partager
