En quoi la cybersécurité devient un élément de (de)valorisation de l’entreprise ?

  

Cette table-ronde porte sur le risque de dévalorisation des entreprises lié aux failles de cybersécurité. Son objectif est d’exposer l’impact réel d’une brèche informatique sur la valeur d’une société et de proposer des solutions pour faire face aux conséquences d’une cyberattaque.

Quel est l’impact boursier d’un défaut de cybersécurité ?

 

En règle générale, l’impact boursier sur les sociétés cotées est très fort en cas de cyberattaque et de « data breach ». A titre d’exemple, la société Equifax a perdu l’ensemble de l’information de création de comptes bancaires de 140 millions d’Américains. Le jour même de son annonce, elle a perdu 30% de sa valeur, soit 4 milliards de dollars. Autre exemple, avec l’affaire Cambridge Analytica, Facebook a perdu 9% de sa valeur boursière.

À plus long terme, les prix des actions remontent. Cela est généralement lié au fait que les impacts cash (portant sur la capacité de trésorerie de l’entreprise) attendus ne se réalisent pas. De ce fait, le marché reprend confiance dans les résultats de la marque. Mais cela varie d’une société à une autre : Facebook a mis 8 semaines pour récupérer sa valeur initiale, Equifax a perdu son CEO et a attendu 6 mois. Deux exemples illustrent le phénomène :

  • En 2009, le processeur de cartes américain Heartland subit un détournement de données de 140 millions de cartes de crédit. Sa valeur s’effondre de 80% et la société perd 4 milliards de dollars disparaissent. L’impact cyber dépend de l’industrie dans laquelle l’entreprise se trouve. Si l’activité est orientée exclusivement sur les technologies de l’information et de la communication (TIC), alors l’impact est considérable.
  • Durant l’été 2017, Saint-Gobain est affecté par le ransomware NotPetya. Les cours de la Bourse chahutent légèrement au moment des annonces, mais il s’agit d’un producteur industriel qui produit du matériel pour des entreprises du bâtiment. Si l’enseigne perd tout de même 80 millions d’euros de résultats et presque 250  millions de chiffre d’affaires, elle s’en sort relativement bien car son industrie n’est pas liée fondamentalement aux TIC.

Quelle est la valeur réelle des entreprises d’aujourd’hui ?

 

Chaque entreprise dispose d’une valeur propre, mais cette valeur s’est radicalement transformée en 20 ans. Par le passé, les cinq plus grandes capitalisations boursières étaient General Electric, Exxon, Coca-Cola, Altria et Walmart. Aujourd’hui, il s’agit d’Apple, Alphabet (Google), Microsoft, Amazon et Facebook.

Un véritable basculement a eu lieu. Il y a 20 ans, 80% des actifs de ces compagnies étaient tangibles, contre 20% d’intangibles. Aujourd’hui, c’est l’inverse. Or, comme ces actifs sont de plus en plus digitaux, le risque de cybersécurité est d’autant plus important. Il s’intègre désormais au catalogue de risques à laquelle l’entreprise doit faire face au quotidien. Toutefois si la société démontre qu’elle est résiliente, sa valorisation boursière revient, voire augmente.

Zoom sur l’impact du RGPD

 

Le RGPD est un nouvel arsenal législatif partagé au sein de l’Europe et qui s’impose aux entreprises. Dans la gestion des risques, ce sont les impacts potentiels d’un risque qui constituent les éléments les plus inquiétants. Cet impact peut toucher la capitalisation boursière, les ressources humaines, l’opérationnel, les finances et la génération de cash-flow.

Le RGPD se présente comme un élément ajoutant une couche de conformité, mais ne représente qu’une dimension du risque de la protection des données. En d’autres termes, cela signifie qu’au sein des données sensibles, on trouve les données personnelles.

L’Europe a pris de l’avance sur les Etats-Unis avec le RGPD. À titre d’exemple, en Amérique, Equifax n’a écopé que de 35 millions de dollars d’amende, loin du milliard envisagé initialement. Il est par ailleurs deux fois plus cher de s’assurer contre le risque de cybersécurité aux États-Unis qu’en Europe.

Comment traiter le risque de dévalorisation ?

 

Dans le cadre d’opérations de fusion-acquisition, l’acheteur doit regarder sa cible et prendre en compte le risque de cybersécurité en plusieurs étapes :

  1. Qualifier l’impact cash (capacité de trésorerie), réglementaire (RGPD) ou autre.
  2. Quantifier les risques.
  3. Prendre en compte les coûts dans son business plan

Par exemple, la brèche ayant donné lieu à des fuites d’informations chez Yahoo a permis à Verizon de renégocier le contrat de rachat en faisant diminuer la valeur de l’enseigne.

Il est essentiel pour les entreprises de disposer d’équipes interdisciplinaires mobilisées autour des évaluations du risque. Dans l’idéal, les risk managers et les directeurs de la sécurité informatique doivent être impliqués. Le travail collectif permet d’anticiper les risques.

Dans le cas des fonds de capital investissement, enfin, les gestionnaires de fonds investissent dans un portefeuille de société. Ils ont pour mission d’équilibrer ce portefeuille en diversifiant leurs investissements afin de mutualiser les risques de cybersécurité et d’obtenir une rentabilité satisfaisante.

Intervenants : Philippe COTELLE, AIRBUS, Léopold LARIOS DE PINA, MAZARS et Charlie PUJO, BRYAN, GARNIER & CO

 

VOIR LES AUTRES CONFERENCES