Risque cyber : une société mal préparée peut perdre jusqu'à 20 % de sa valeur

Les cyberattaques ont augmenté de 13 % l'année dernière, selon la société Orange cyberdefense. Et ce sont les TPE et PME qui sont le plus souvent visées. Elles font l'objet de 3 attaques sur 4. Quant au risque le plus élevé, il s'agit du ransomware ou rançongiciel qui constitue 38 % des incidents enregistrés. Les conséquences de ces attaques sont, elles, très difficiles à évaluer.

En cas de cyberattaque, les pertes de données mais aussi les pertes financières varient d'une entreprise à l'autre, selon le degré de préparation ou d'impréparation plutôt de chaque entreprise. Peu d'études ont tenté jusque-là d'en évaluer précisément le coût direct , et surtout indirect.

Un vol de données dévalorise l'actif

Une enquête réalisée par Bessé, en partenariat avec PwC France, avec Guy-Philippe Goldstein, chercheur et spécialiste des questions de cyberdéfense, apporte un éclairage nouveau sur cette question. L'étude analyse 30 incidents majeurs de cybersécurité s'étant produits dans 28 entreprises mondiales entre 2008 et 2017.

Les deux tiers de ces sociétés ont vu leur valeur boursière affectée avec, en moyenne, plus d'un an après l'incident, une perte de la valeur patrimoniale de 10 %, et même de 20 % pour les entreprises les moins réactives et les moins bien préparées. Au bout de douze mois, la diminution globale du cours de l'action est de 19,5 %, ce qui peut être vu comme une perte structurelle pour l'entreprise, et génère de facto un déficit de confiance.

Si la variation du cours de Bourse traduit l'impact du cyberrisque sur les entreprises cotées, quel est l'indicateur pour les entreprises non cotées ? Investisseurs et repreneurs potentiels analysent et estiment les risques cyber dans leur calcul de valorisation. « La menace cyber impacte la valeur des actifs. Un entrepreneur qui achète des données clients, et qui n'est pas certain de leur sécurité, va généralement défalquer 20 % de la valeur de la société cible », rapporte Laurent Bernier, dirigeant de la société Les Oies du Cyber, spécialisée dans la cybersécurité pour les PME.

L'ampleur des enjeux plaide donc pour une stratégie d'anticipation et une analyse amont du risque cyber. « La cybermenace concerne aussi bien la réputation de l'entreprise que la perte de confiance, poursuit Laurent Bernier. Si l'entreprise se voit piller dix ans d'historique clients, un secret de fabrication dans un vol de données, si une cyberattaque remet en cause la relation avec l'un de ses principaux clients à la suite d'une fuite d'informations, le nouvel acquéreur va perdre une partie de la jouissance future du bien ».

Auditer le système d'information

Un investisseur ou un repreneur va donc s'efforcer de comprendre comment l'entreprise qu'il convoite se protège, se prépare et cherche à diminuer l'impact d'une éventuelle attaque. Pour cela, il va analyser en profondeur les dispositifs de prévention et les outils de réponse. Notamment en menant un audit. « Plus l'entreprise est digitale, plus l'audit est complexe », prévient Laurent Bernier. Il convient de détailler la politique de mots de passe et d'autorisations, les conditions de connexion sur site et en dehors de l'entreprise.

Un audit devrait aussi comporter un scanner des vulnérabilités pour identifier les points faibles des infrastructures matérielles et logicielles afin de détecter rapidement les failles de sécurité qui pourraient être exploitées par une personne malveillante. Enfin, il faut s'assurer que l'entreprise a bien mis au point un plan de continuité efficace en cas d'incident majeur

Pour que cette analyse soit la plus pertinente, l'investisseur ou le repreneur s'entoure en général d'un expert qui devra s'assurer de la qualité des outils informatiques et évaluer le dispositif technique de détection des attaques. Evidemment, cette analyse devrait aussi être conduite par toute entreprise qui souhaite ouvrir son capital ou trouver un repreneur. « Pour prouver sa fiabilité, un vendeur a tout intérêt à anticiper. Cette démarche demande du temps, environ un an. Une entreprise bien protégée, dotée d'une approche globale et structurée, va augmenter sa valeur de 10 à 15 % », conclut l'expert en cybersécurité Laurent Bernier.