79% des investisseurs hésiteraient à investir dans une entreprise ayant été piratée. Une cyber-attaque peut donc coûter fort cher à une entreprise : outre une perte financière et une perte de crédibilité, elle perdrait le soutien de la part des investisseurs, révèle une étude de KPMG menée auprès de 133 investisseurs institutionnels mondiaux gérant un capital de 3.000 milliards USD.
Méfiance. Les investisseurs croient que moins de la moitié des Conseils d’administration des sociétés dans lesquelles ils investissent actuellement possèdent les compétences nécessaires pour gérer le risque cybernétique. En outre, ils estiment que seulement 43% des membres du Conseil ont des compétences et connaissances insuffisantes pour gérer l’innovation et le risque au sein du monde numérique.
Impliquer tout le monde, y compris le Conseil
«Les investisseurs considèrent les violations de données comme une menace vis-à-vis de la valeur matérielle de l’entreprise et se sentent démotivés pour investir dans une entreprise dont les informations sensibles sont désormais compromises», estime Bart Meyer, Partner KPMG en Belgique.
Les administrateurs et directeurs se réalisent qu’il leur manque de connaissance. Ce sentiment était perceptible dans une étude récente de KPMG, adressée aux conseils et gestionnaires des entreprises faisant partie du FTSE 350, qui a révélé que 39% des Conseils d’administration et direction reconnaissaient manquer cruellement de connaissance dans ce domaine.
Les investisseurs attendent des entreprises qu’elles augmentent leurs capacités cybernétiques, y compris le Conseil. Dans un monde où les attaques sont fréquentes, il est raisonnable d’attendre des conseils d’administration qu’ils s’y soient préparés.
Bart Meyer: «Les entreprises et organisations ayant subi une attaque sont souvent mieux préparées pour faire face aux risques futurs. Une violation grave met en évidence la compétence et le travail d’équipe des cadres supérieurs et du Conseil. Ce que nous constatons, c’est que les entreprises se démènent pour démontrer à leur base d’investisseurs existants et potentiels qu’elles prennent le risque cybernétique très au sérieux. Mais l’incapacité de l’entreprise à démontrer cette démarche pourrait la rendre moins attractive aux propositions d’investissement. Un bon début pour les Conseils serait de placer la cybersécurité dans les priorités de l’ordre du jour et d’y consacrer plus de temps. Notre enquête révèle que 84% des investisseurs souhaitent voir une augmentation du temps consacré par les Conseils à la cybersécurité, par rapport à l’année dernière.»
Conseils pour les Conseils d’administration
> Les membres du conseil d’administration doivent comprendre et aborder la cyber-sécurité comme un risque pour l’entreprise et pas seulement comme un problème informatique.
> Les administrateurs doivent comprendre les implications juridiques des cyber-risques en ce qui concerne les circonstances spécifiques de leur entreprise.
> Les Conseils devraient avoir une expertise suffisante en matière de cyber-sécurité et des discussions sur la gestion des cyber-risques devraient être inscrites à l’ordre du jour des Conseils, de manière régulière et en y consacrant le temps nécessaire.
> Les administrateurs devraient attendre de la direction qu’elle mette en place un cadre de gestion des cyber-risques ayant suffisamment de latitude sur le plan du personnel affecté et du budget.
Un appétit accru en entreprises cybernétiques
Après un certain nombre d’attaques majeures très médiatisées, les investisseurs mondiaux sont devenus plus attentifs à la question de la cyber-sécurité. L’effet en retour est une augmentation de l’appétit des investisseurs pour les entreprises cybernétiques, l’enquête révélant que 86% des investisseurs les considèrent comme un… pôle de croissance !