Un programme d’engagement de Robeco montre que l’attitude à l’égard du renforcement de la sécurité des données s’est améliorée maintenant que la cybercriminalité représente un risque de plusieurs milliards de dollars.
Points clés
Engagement de trois ans pour améliorer la cybersécurité
Stratégie clairement définie mais réticence à dévoiler les points faibles
Développer les compétences en interne en raison de la pénurie de talents
L’équipe Actionnariat actif vient d’achever un programme d’engagement de trois ans auprès de neuf entreprises, qui a été une réussite pour sept d’entre elles. Ces neuf entreprises avaient été initialement choisies parce qu’elles utilisent des données clients sensibles dans les secteurs des paiements, des télécoms et des produits ménagers.
À la suite de plusieurs violations de données très médiatisées ayant touché certaines d’entre elles, la plupart ont adopté une stratégie clairement définie, axée sur le renforcement de leur cybersécurité. Mais elles étaient majoritairement réticentes à lever complètement le voile sur leurs points faibles, notamment dans un souci de ne pas révéler à des criminels ou à des concurrents les défaillances de leur gestion des risques.
La cybercriminalité est devenue une activité mondiale de la même ampleur que l’industrie pharmaceutique, dont le coût est passé d’environ 500 milliards USD en 2017 à un montant estimé à 6 000 milliards USD en 2020. Comme pratiquement toutes les entreprises réalisent des opérations numériques sous une forme ou une autre, il est plus nécessaire que jamais qu’elles renforcent et qu’elles protègent leurs actifs numériques.
« La numérisation s’étend bien au-delà du domaine de la technologie, et il en va de même pour les cybermenaces qu’elle soulève, explique Carolina Vergroesen, analyste au sein de l’équipe Actionnariat actif. La cybercriminalité désigne une multitude d’infractions, allant de petits incidents de sécurité locaux ayant des conséquences mineures jusqu’aux cyberattaques pouvant perturber des parties importantes de l’économie mondiale. »
« Le manque de rigueur en matière de cybersécurité constitue une menace indéniable pour les modèles économiques des entreprises. Si ces risques sont apparus clairement ces dernières années, les mesures prises par les entreprises pour les atténuer n’ont pas la même visibilité. »
Cinq thématiques d’engagement
L’engagement s’articule autour de cinq thématiques : gouvernance et surveillance, politique et procédure, gestion des risques et contrôles, transparence et information, et respect de la vie privée dès la conception. Initialement, en 2018, onze entreprises avaient été choisies, mais l’une d’elles a été abandonnée après avoir été cédée en raison de mauvais résultats financiers, et une autre a été rachetée.
« La plupart des entreprises de notre groupe d’engagement ont reconnu l’existence de risques liés à la cybersécurité, déclare Carolina Vergroesen, mais leurs approches de ce type de risques différaient grandement. Alors que certaines considéraient la cybersécurité comme une priorité absolue et un élément essentiel de la légitimité de leurs activités, d’autres la considéraient simplement comme un risque parmi d’autres. Cette disparité des approches s’est traduite par des taux de réussite nettement différents entre les entreprises et par rapport aux objectifs fixés. »
« En ce qui concerne l’objectif de gouvernance et de surveillance, près de 80 % des entreprises disposaient d’une stratégie clairement définie et avaient mis en place une hiérarchie de gouvernance afin de gérer la cybersécurité. Mais elles ont rencontré davantage de difficultés concernant plusieurs questions liées à la transparence, car la plupart d’entre elles ne souhaitaient pas dévoiler leur jeu. »
Contourner les obstacles
« C’est compréhensible quand on sait que les pirates peuvent plus facilement contourner les obstacles s’ils savent exactement quels systèmes de sécurité sont en place. Cependant, cette hésitation à fournir des informations a particulièrement pénalisé notre taux de réussite pour l’objectif politique et procédure et l’objectif transparence et information, pour lesquels seulement cinq des neuf entreprises ont réussi le programme d’engagement. »
En revanche, l’équipe a constaté une plus grande ouverture des entreprises concernant l’objectif gestion des risques et contrôles. « Bien que les entreprises aient hésité à dévoiler leurs mesures spécifiques de riposte aux cybermenaces, elles ont accepté plus volontiers de discuter de la sensibilité et de l’intégrité de leurs contrôles de sécurité », précise Carolina Vergroesen.
« Plusieurs d’entre elles ont des équipes dédiées qui testent régulièrement les défenses de l’entreprise afin d’identifier les lacunes éventuelles de leurs pratiques actuellement en vigueur. Nous avons trouvé cette initiative particulièrement encourageante, car les menaces évoluent en permanence et les entreprises doivent être prêtes à adapter leur dispositif de sécurité en conséquence et à se protéger rapidement face aux nouvelles menaces. »
Priorité à la confidentialité
Les violations de données d’identification personnelle portent gravement atteinte aux clients concernés ainsi qu’à la réputation et à la responsabilité juridique de l’entreprise. Pour ce qui est de l’objectif respect de la vie privée dès la conception, six des neuf entreprises ont réussi le programme.
« Les entreprises doivent indiquer clairement à leurs clients quel type de données est collecté et dans quel but, et être informées en cas de violation accidentelle », rappelle Carolina Vergroesen.
« Même si la plupart des entreprises avaient adopté une forme ou une autre de politique de confidentialité, la qualité de ces politiques variait considérablement. Certaines étaient d’envergure mondiale et très détaillées, alors que d’autres n’avaient qu’une portée locale et se contentaient de satisfaire aux exigences légales plutôt que d’être une vraie source d’informations pour les clients. »
Le rôle de la réglementation
Dans l’intervalle, la législation sur la cybersécurité n’a cessé de se mondialiser, en grande partie sous l’impulsion de l’adoption en 2018 du règlement général sur la protection des données (RGPD) de l’UE. Ce règlement a durci les exigences entourant la collecte d’informations à des fins commerciales au sein de l’UE et il a déjà été utilisé contre les entreprises qui ne s’y conformaient pas. Aux États-Unis, la loi sur la protection de la vie privée (California Privacy Rights Act) devrait avoir sur les entreprises un impact semblable à celui du GDPR dans l’UE.
« Il est encourageant de constater que près de 80 % des pays du monde entier se sont dotés d’une législation en matière de cybersécurité, commente Carolina Vergroesen. Il est indispensable que cette législation continue de s’étendre pour que les entreprises disposent de normes clairement définies auxquelles adhérer. »
« Bien que plusieurs des entreprises participant au programme d’engagement soient allées bien au-delà des exigences légales, un grand nombre de cyberstratégies étaient directement liées à une législation spécifique. »
Pénurie de compétences
Mais il existe un revers à la médaille de l’attention accrue dont a fait l’objet la cybersécurité : la demande de spécialistes en informatique a augmenté au point de créer une pénurie de compétences. Un rapport de l’Information Systems Security Association montre que l’écart entre la demande et l’offre de techniciens qualifiés s’est maintenu pour la cinquième année consécutive en 2021.
« À mesure que les normes de cybersécurité se durcissent au niveau mondial, les entreprises devront se disputer les talents pour pouvoir recruter des personnes capables de travailler dans ce domaine, estime Carolina Vergroesen. Nous pensons donc que les entreprises devraient se concentrer sur le développement de ce type de compétences au sein de leur organisation, car l’acquisition de talents extérieurs pourrait s’avérer un véritable parcours du combattant. »
Poursuite des activités liées à la cybersécurité
Le programme d’engagement étant terminé, l’équipe va maintenant s’attacher à traiter les problèmes que soulève indirectement le processus de transition numérique dans son ensemble.
« Même si ce programme d’engagement est arrivé à son terme, la cybersécurité reste à nos yeux un véritable enjeu dans pratiquement tous les secteurs », souligne Carolina Vergroesen.
« Plus précisément, nos thématiques d’engagement sur la numérisation des soins de santé et l’impact social de l’intelligence artificielle continuent de cibler l’adoption par les entreprises de pratiques rigoureuses en matière de cybersécurité et de confidentialité des données. Il reste encore beaucoup de travail ; c’est comme la technologie, ça ne s’arrête jamais. »
Par Peter van der Werf, Engagement Specialist, Robeco
Pour accéder au site, cliquez ICI.
