Pour une meilleure divulgation des cyber-risques

12 mai 2019 | Samantha Cameron

Yahoo!, Equifax et Sony ont tous été touchés par un phénomène croissant : leurs données ont fait l’objet de fuites importantes, ce qui a entaché leur réputation et fragilisé la confiance de leur clientèle. Alors que des attaques de ce type sont de plus en plus fréquentes, les investisseurs doivent comprendre comment les Sociétés dans lesquelles ils investissent protègent leurs données. Ils doivent être convaincus que les entreprises réduisent les risques associés et qu’elles sont prêtes à répondre rapidement et efficacement à un incident.

Dépasser les attentes

Le Sustainability Accounting Standards Board définit la « sécurité des données » comme « les technologies, les processus et les pratiques employés par les entreprises pour protéger les réseaux, les ordinateurs, les programmes, les produits numériques et les données des attaques extérieures, des dommages et des accès non autorisés. »* Ainsi, « sécurité des données » et « cyber-sécurité » sont interchangeables dans ce contexte.

Selon le sondage Protect.me effectué par PwC aux États-Unis en 2017, 92 % des consommateurs conviennent que les entreprises doivent être proactives en matière de protection des données. De plus, 60 % affirment que la responsabilité de protéger les données incombe aux entreprises, et non aux gouvernements. Par ailleurs, les consommateurs s’attendent à ce que les entreprises aillent au-delà de leurs obligations légales. Compte tenu de ces opinions, PwC propose que les entreprises accordent une place prioritaire à la cyber-sécurité et à la protection des renseignements personnels dans leur stratégie d’affaires afin de conserver la confiance de leurs clients.

Causes et effets

Une étude menée par Ponemon Institute et IBM Security auprès de 419 entreprises dans 13 pays a révélé que les atteintes à la sécurité des données sont principalement causées par des attaques malveillantes ou criminelles (47 %), une erreur humaine (28 %) ou un dysfonctionnement du système (25 %). Fait étonnant, ils ont découvert que le coût total d’une atteinte à la sécurité s’élève en moyenne à 3,62 millions de dollars.

En 2017, les Autorités canadiennes en valeurs mobilières (ACVM) ont examiné les documents annuels de 240 entreprises constituant l’indice composé S&P/TSX. L’organisme a noté qu’une variété d’émetteurs de différents secteurs mentionnait les répercussions possibles suivantes suite à un cyber incident :

  • atteinte à la confidentialité des renseignements sur un client ou un salarié;
  • accès non autorisé à de l’information exclusive ou sensible;
  • destruction ou corruption de données;
  • perte de revenus en raison d’une perturbation des activités, engagement de coûts pour corriger la situation;
  • litiges, amendes et responsabilité en cas de non-respect des lois sur la protection de la vie privée et la sécurité de l’information;
  • enquêtes réglementaires et une plus grande surveillance des autorités de réglementation;
  • augmentation des primes d’assurance;
  • atteinte à la réputation venant ébranler la confiance des clients et des investisseurs;
  • diminution de l’avantage concurrentiel et incidences négatives sur les occasions futures;
  • efficacité du contrôle interne à l’égard de l’information financière.

Un argument fort en faveur de la divulgation

Les investisseurs qui veulent évaluer si une entreprise est protégée contre les fuites de données se réfèrent généralement aux informations que celle-ci divulgue à ce sujet. Cela inclut les cyber-risques auxquels la Société est exposée, leurs répercussions potentielles, la gouvernance ainsi que les mesures mises en place pour atténuer ces risques. Cependant, les entreprises ne dévoilent pas ces renseignements de manière systématique et exhaustive. Au cours du même exercice d’évaluation, l’ACVM a conclu que seulement 61 % des entreprises incluent la cyber-sécurité dans leurs facteurs de risque.

Cette observation semble aussi applicable aux entreprises en dehors du Canada. L’initiative PRI a récemment publié un rapport après avoir examiné les informations que 100 entreprises divulguent publiquement en matière de gouvernance d’internet et de gestion des risques. L’échantillon de recherche comprenait des entreprises de divers secteurs en Europe, aux États-Unis, en Australie et en Asie. Le rapport affirme que « bien que les entreprises perçoivent la cyber-sécurité comme un risque organisationnel important, très peu mentionnent des politiques, structures de gouvernance et processus efficaces contre les cyber-menaces. »* Ce rapport est un excellent outil pour les investisseurs qui veulent engager un dialogue auprès des entreprises au sujet des cyber-risques. Pour chaque enjeu clé abordé, le rapport explique en quoi celui-ci est pertinent pour les investisseurs et il définit les bonnes pratiques d’entreprise.

Les incidents qui compromettent la cyber-sécurité ont le potentiel d’avoir des répercussions importantes sur une Société. Les investisseurs doivent dialoguer avec les entreprises pour exiger à ce qu’elles fournissent des renseignements complets concernant leur gouvernance des cyber-risques et leurs pratiques de gestion du risque. Espérons qu’à l’avenir les entreprises communiqueront mieux en matière de sécurité des données. En attendant, les investisseurs peuvent utiliser le rapport de l’initiative PRI pour guider leurs activités d’intendance.

Sources:

  • The Sustainability Accounting Standards Board. “The State of Disclosure 2017” (2017).
  • “Consumer Intelligence Series: Protect.me” (2017).
  • IBM Security and Ponemon Institute. “2017 Cost of Data Breach Study” (2017).
  • Autorités canadiennes en valeurs mobilières. “Avis multilatéral 51-347 du personnel des ACVM — Information sur les risques et les incidents liés à la cybersécurité” (2017).
  • Principles for Responsible Investing. “Stepping Up Governance on Cyber Security: What is Corporate Disclosure Telling Investors?” (2018).
Clause de non-responsabilité
Les points de vue et opinions exprimés dans cet article n’engagent que leurs auteurs et ne reflètent pas nécessairement le point de vue ou la position de l’Association pour l’investissement responsable (AIR). L’AIR n’approuve, ne recommande ni ne garantit aucune des revendications formulées par les auteurs. Cet article est conçu comme une information générale et non comme un conseil en investissement. Nous vous recommandons de consulter un conseiller qualifié ou un professionnel en investissement avant de prendre une décision de placement ou liée à un investissement.

Auteur

Samantha Cameron

Junior Analyst, Sustainable Investing
Addenda Capital

Samantha works closely with Addenda Capital investment teams to help them further integrate environmental, social and governance (ESG) factors into their investment analysis and to conduct active stewardship through proxy voting and engagement.