Les conséquences financières d’une cyberattaque constituent une telle perte de valeur pour les investisseurs que la cybersécurité devrait être systématiquement auditée lors des due diligence.
Cette chronique partenaire est proposée par Luc Declerck, managing partner de Board of Cyber.
Une entreprise française sur deux a été victime d’une cyberattaque en 2022.
Dans 60% des cas, ces attaques ont fortement impacté leur activité avec une perturbation de la production et une baisse du chiffre d’affaires, d’après le baromètre du Club des experts de la sécurité de l’information et du numérique (CESIN).
Et selon le dernier panorama de la menace informatique de l’ANSSI, 60 % des entreprises victimes d’une cyberattaque déposent le bilan dans les six mois.
Le risque n°1
Ces chiffres doivent faire réfléchir. Ils montrent d’abord que la cyberattaque est, désormais, le risque numéro un de l’entreprise et que ses conséquences peuvent être beaucoup plus graves qu’on ne le pense, allant même jusqu’au risque létal.
Il rejaillit sur l’ensemble des participants à la chaîne de valeur de l’entreprise et notamment sur ses actionnaires.
Du coup, c’est l’ensemble du processus d’investissement ou d’acquisition qui doit être repensé à l’aune du risque cyber.
Il ne viendrait à l’idée d’aucun investisseur sensé de faire l’impasse sur les due diligence juridiques et financières dans le cas d’une acquisition, d’autant moins que ce sont des procédures qui s’imposent de facto dans ce genre d’opération pour protéger les acquéreurs contre les « vices cachés ».
Or, concernant le risque cyber, ce réflexe est encore très loin de s’imposer : seules 15 à 20% des opérations d’acquisition font aujourd’hui l’objet d’une due diligence de la cybersécurité.
C’est bien peu si l’on considère qu’une entreprise victime d’une attaque peut voir sa production empêchée, ses données stratégiques perdues et ses relations avec son écosystème interrompues.
Le reflet d’une bonne gouvernance
Réaliser une due diligence de la cybersécurité répond donc à plusieurs objectifs.
Le premier est évidemment d’analyser le niveau de protection de l’entreprise contre les cyberattaques et la robustesse de ses réponses techniques et organisationnelles. Ce premier travail peut se faire au travers l’utilisation d’outils de notation pour permettre d’étalonner l’entreprise par rapport à ses concurrents.
Une due diligence plus poussée permet d’évaluer les processus internes de l’entreprise, ses délais de réponses à un incident, l’état de ses réseaux, ses procédures d’authentification, de sécurisation et de back-up, mais aussi la qualité de la réponse assurantielle au risque de cyber attaque.
Les solutions technologiques actuelles permettent de procéder à ces opérations à un coût accessible et dans des délais rapides, ce qui n’était pas encore le cas voici quelques années.
Un réel effort de pédagogie et de conviction reste, néanmoins, à accomplir pour que cette due diligence de la cybersécurité devienne un réflexe, une sorte d’évidence pour les investisseurs mais aussi pour les entreprises elles-mêmes, s’agissant notamment des midcaps, particulièrement exposées aux attaques car plus fragiles et moins préparées.
Une telle due diligence a une autre vertu : elle donne une bonne idée de la qualité de la gouvernance de l’entreprise qui en fait l’objet.
La posture cyber devient un avantage compétitif et les entreprises seront de plus en plus souvent évaluées par leur écosystème en fonction de la qualité de leur réponse à ce risque. Soit on le subit, soit on l’anticipe…
