Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • La SEC explique pourquoi vous ne pouvez pas vous permettre de négliger la cybersécurité

La SEC explique pourquoi vous ne pouvez pas vous permettre de négliger la cybersécurité

Il existe des parallèles évidents entre l'accession à la propriété et la cybersécurité. Les fenêtres et les portes verrouillées ainsi que les alarmes domestiques ont bien sûr des analogues cybernétiques et sont souvent utilisées pour illustrer l'importance de technologies telles que l'infrastructure à clé publique (PKI), l'intelligence du réseau et autres. Mais l'état de l'environnement d'une maison et la menace qu'il peut représenter pour ses propriétaires ne font généralement pas partie de l'analogie. Ils devraient pourtant l'être. Une alarme domestique connectée par Wi-Fi n'est pas efficace contre un cambrioleur si l'électricité est coupée - ou si le réseau domestique est en panne.

Le même principe général s'applique aux entreprises publiques. Il est possible qu'une société semble excellente sur le papier pour les investisseurs. Elle a peut-être mis au point une nouvelle technologie prometteuse et a enregistré une croissance impressionnante de son chiffre d'affaires au cours des 12 derniers mois. Mais il se peut aussi qu'elle soit nulle en matière de cybersécurité et qu'elle ait involontairement divulgué sa propriété intellectuelle la plus précieuse à une entreprise située à l'autre bout du monde, qui est en train de cloner son produit. Il se peut aussi que des cybercriminels aient réussi à prendre le contrôle des systèmes de contrôle industriel d'un fabricant, ce qui a entraîné des temps d'arrêt imprévus ou des problèmes de sécurité.

Dans notre monde connecté, de nombreux investisseurs continuent de chercher à investir dans des entreprises aux résultats financiers solides, mais ne se soucient guère de leur maturité en matière de cybersécurité. La position des entreprises publiques en matière de cybersécurité peut contribuer à la volatilité des actions. Selon une analyse du groupe CGI, une violation grave peut réduire de 1,8 % l'évaluation permanente des actions d'une entreprise. Même la perspective d'une utilisation non autorisée des données peut avoir de graves conséquences, comme ce fut le cas récemment pour Facebook, dont les actions sont passées de 185 dollars le 16 mars à 153 dollars le 28 mars. L'action d'Equifax a connu une chute encore plus spectaculaire l'année dernière lorsqu'il a été révélé que plus de 140 millions d'Américains avaient été victimes d'une violation de la cybersécurité, chutant de quelque 35 %, passant de 141 dollars l'action le 6 septembre à 93 dollars le 15 septembre. L'action ne s'est toujours pas rétablie.

Il est facile de comprendre pourquoi la SEC a publié ses orientations en matière de cybersécurité au début de cette année, pour la première fois depuis 2011. D'une part, les technologies de mise en réseau et de gestion des données sont aujourd'hui aussi essentielles pour les entreprises modernes que l'électricité l'était au siècle dernier. D'autre part, il reste difficile pour les investisseurs de prendre des décisions éclairées lors de l'évaluation des entreprises, étant donné qu'une seule violation peut avoir des conséquences à long terme pour les entreprises publiques. Souvent, de nombreuses entreprises continuent de cacher ou de diminuer l'importance de la cybersécurité.

Dans notre monde connecté, les pirates informatiques disposent d'une myriade de cibles potentielles qui pourraient causer des problèmes aux entreprises individuelles ou collectives. Comme l'explique la SEC dans ses nouvelles orientations : "Qu'il s'agisse des entreprises dans lesquelles les investisseurs investissent, de leurs comptes auprès des sociétés de services financiers, des marchés sur lesquels ils négocient ou de l'infrastructure sur laquelle ils comptent quotidiennement, le public investisseur et l'économie américaine dépendent de la sécurité et de la fiabilité des technologies de l'information et de la communication, des systèmes et des réseaux. De plus, la liste des acteurs menaçants dont il faut se préoccuper est longue. Outre les pirates informatiques qui cherchent à gagner de l'argent, la SEC met en garde contre les États-nations, les hacktivistes et même les concurrents qui perpètrent des attaques contre les entreprises publiques.

Les pirates pourraient, par exemple, s'attaquer aux systèmes automatisés utilisés par des fonds quantiques tels que BlackRock. La DARPA s'efforce de renforcer les défenses de ces systèmes, car elle craint que des pirates informatiques ne s'attaquent à l'intégrité de l'infrastructure financière en introduisant de fausses informations dans les bases de données boursières ou en modifiant les algorithmes de négociation.

Bien que ces scénarios puissent sembler théoriques, le risque de telles attaques est de plus en plus grand. Les pirates informatiques ont déjà un effet délétère sur les actions d'entreprises bien connues et, dans certains cas, la SEC prend des mesures coercitives à leur encontre. L'exemple le plus récent est celui de Yahoo, dont la société holding Altaba a récemment été condamnée à une amende de 35 millions de dollars. Yahoo avait omis de divulguer aux investisseurs qu'elle avait été piratée en 2014 jusqu'à deux ans plus tard.

Les orientations les plus récentes de la SEC traitent de ces retards et fournissent des conseils pour la divulgation en temps utile des cyber-attaques. Elles se concentrent moins sur la stratégie de cybersécurité ou sur des recommandations concrètes concernant les mesures que les entreprises publiques devraient prendre pour se protéger.

En fin de compte, cependant, les cyber-risques augmentent en volume et en type. Les cybercriminels peuvent désormais avoir un impact négatif sur les entreprises publiques par l'intermédiaire de tiers qui font des affaires avec elles. Parmi les exemples de ce principe, citons le piratage de Target en 2013 par l'intermédiaire d'un fournisseur de systèmes de chauffage, de ventilation et de climatisation, et l'attaque Dyn basée sur le botnet Mirai en 2016, qui a perturbé la disponibilité de l'internet pour des entreprises bien connues telles qu'Amazon, Spotify et Netflix.

Mais l'internet des objets (IoT) ouvre également la voie à toute une série de nouveaux cyber-risques. Des pirates informatiques ciblant des installations industrielles pourraient blesser, voire tuer des travailleurs, ce qui pourrait nuire à la réputation d'une entreprise et l'accabler de poursuites judiciaires. Pour en revenir à l'exemple de la maison évoqué au début de ce billet, que pourraient devenir les actions des géants de la technologie si des pirates informatiques parvenaient à accéder à des haut-parleurs intelligents et à espionner des millions de personnes ? Ou que pourrait-il arriver aux actions d'un fabricant de détecteurs de fumée à connexion Wi-Fi si des pirates informatiques parvenaient à désactiver ces dispositifs à l'insu de leurs propriétaires, et que plusieurs d'entre eux voyaient leur maison brûler ? La variété des cyberattaques possibles n'a jamais été aussi grande.

En tout état de cause, les entreprises publiques ont certainement du pain sur la planche pour comprendre les vulnérabilités en matière de sécurité au fur et à mesure qu'elles évoluent, tout en déterminant la quantité d'informations à partager avec la SEC. L'agence de régulation elle-même déclare qu'elle n'a pas l'intention de demander aux entreprises d'en faire trop. Elle affirme qu'il n'est pas nécessaire que les entreprises lui fournissent "des informations détaillées qui pourraient compromettre leurs efforts en matière de cybersécurité - par exemple, en fournissant une "feuille de route" à ceux qui cherchent à pénétrer les protections de sécurité d'une entreprise". Or, pour que les entreprises publiques conservent la confiance des investisseurs, il est essentiel qu'elles disposent d'une telle feuille de route et qu'elles fassent preuve d'honnêteté et de franchise en donnant un aperçu des cyber-vulnérabilités et des atteintes à la sécurité. Comme l'a dit Franklin D. Roosevelt en 1933 : "La confiance... se nourrit d'honnêteté, d'honneur, du caractère sacré des obligations, d'une protection fidèle et d'une performance désintéressée. Sans eux, elle ne peut pas vivre".