L’essor des sociétés technologiques
L’évolution constante de la technologie a permis aux sociétés de tous les secteurs de l’économie de se moderniser et de s’adapter pour mieux servir leurs clients. La capacité de déployer des solutions technologiques dans un monde connecté représente une occasion de modernisation et un autre risque important à gérer. L’ajout de bornes libre-service pour les commandes dans les restaurants, l’accent mis sur le commerce électronique par les grands détaillants et la mise en place de logiciels de réseaux intelligents par les services publics d’électricité ne sont que quelques exemples d’une tendance à long terme : l’essor des sociétés technologiques.
Contrairement à la conception traditionnelle de ce que sont les sociétés technologiques, par exemple les géants comme Apple, Microsoft ou IBM, une société axée sur la technologie tire parti des dernières technologies disponibles pour améliorer un marché existant. Les sociétés qui tirent parti de ces technologies sont en mesure de réaliser des gains d’efficacité dans des marchés bien établis en offrant une expérience plus conviviale, en permettant une meilleure commodité et, dans certains cas, en établissant des sources de revenus supplémentaires en atteignant de nouveaux consommateurs.
Cependant, alors que les sociétés de tous les secteurs et de toutes les régions tentent de tirer parti des occasions générées par les développements technologiques et la numérisation, l’augmentation de la vulnérabilité est une conséquence involontaire de cette utilisation de la technologie à cause du risque croissant de subir une cyberattaque.
Plus de 2 200 cyberattaques ont lieu chaque jour1. Pas plus tard qu’en avril 2024, deux événements majeurs en matière de cybersécurité ont retenu l’attention des investisseurs. Premièrement, un logiciel malveillant a été ajouté à Linux, un système d’exploitation libre qui fonctionne pratiquement sur la totalité des serveurs Internet. Heureusement, un ingénieur curieux a détecté et arrêté l’attaque avant qu’elle ne puisse causer des dommages généralisés2. Deuxièmement, Change Healthcare, qui fait partie de UnitedHealth Group, la plus grande organisation de soins de santé aux États-Unis, a été piraté et aurait perdu plus de six téraoctets de données, y compris des dossiers médicaux. Cela a coûté 872 millions de dollars américains à la société en « effets défavorables liés à une cyberattaque »3.
Les coûts d’une cyberattaque
L’incidence financière directe d’une cyberattaque peut être très importante, notamment les coûts en lien avec le temps d’indisponibilité du réseau, les enquêtes, les améliorations en matière de sécurité, le soutien bonifié à la clientèle, les frais juridiques, les paiements de règlement et même les rançons potentielles.
Cependant, une fois la poussière retombée, les coûts réels d’une telle attaque vont souvent au-delà de ces dommages quantifiables sur le plan monétaire. À long terme, si une cyberattaque ébranle la confiance à l’égard des activités d’une société, le coût pour rétablir la confiance de ses clients et sa réputation en matière de gestion prudente des risques liés à la sécurité des données peuvent largement dépasser les frais d’exploitation et les frais juridiques initiaux.
En parallèle, le travail à distance permet aux pirates informatiques et aux cybercriminels de pirater plus facilement les réseaux des sociétés. À cela s’ajoutent les progrès des modèles en matière d’intelligence artificielle (IA) et l’essor imminent de l’informatique quantique (qui pourrait hypothétiquement mettre fin aux pratiques actuelles de cryptage déployées sur l’Internet4), qui soulignent tous l’importance financière des risques liés à la cybersécurité pour les sociétés.
En 2023, environ 343 millions de personnes ont été victimes de cyberattaques à l’échelle mondiale, en raison d’une hausse de 72 % des atteintes à la sécurité des données de 2021 à 20235. Les effets de la cybercriminalité mondiale, qui peuvent comprendre la perte de données, le vol d’argent, la fraude et les dommages à la réputation, coûtent chaque année des milliers de milliards de dollars à l’économie mondiale. L’équipe Cybersecurity Ventures prévoit que ce montant atteindra à l’échelle mondiale 9 500 milliards de dollars américains en 2024, comparativement à 3 000 milliards de dollars américains en 20156. À titre de comparaison, le PIB annuel de l’économie canadienne s’élevait à 2 160 milliards de dollars américains en 20227. Les effets de la cybercriminalité entraînent d’autres changements importants dans l’ensemble de l’économie, notamment sur le marché de l’emploi, où il devrait y avoir un stock de 3,5 millions d’emplois non pourvus en cybersécurité en 20248. Quant au marché de l’assurance contre la cybercriminalité, il devrait atteindre 14,8 milliards de dollars américains par an d’ici 20259.
Par conséquent, la question essentielle devient la suivante : Comment les investisseurs peuvent-ils évaluer et gérer plus efficacement les risques liés à la cybersécurité inhérents à leurs placements et à leurs portefeuilles?
Risques sectoriels négligés et meilleures pratiques du secteur
Les risques financiers des sociétés se reflètent habituellement dans leur bilan, leurs états des résultats et d’autres états financiers. Les risques non financiers, comme la cybersécurité, découlent des activités de la société et sont plus difficiles à repérer et à évaluer. Par le passé, les gestionnaires de placement profitaient des cadres et des meilleures pratiques du secteur pour mieux évaluer ces risques non financiers.
Le tableau de bord du Sustainability Accounting Standards Board (SASB), qui repère les problèmes financiers importants par secteur d’activité, en est un exemple10. Le SASB considère notamment que la confidentialité des renseignements sur les clients et la sécurité des données sont des enjeux d’affaires importants dans des secteurs comme les services de télécommunication, les banques commerciales et la prestation de soins de santé.
Cependant, les secteurs, dans leur ensemble, ne semblent pas reconnaître adéquatement les risques en matière de cybersécurité. Le SASB, et la plupart des autres cadres acceptés dans le secteur, prennent en compte les risques liés à la cybersécurité dans des secteurs comme les technologies de l’information (TI), les services bancaires et la santé, mais selon les services de renseignements sur les menaces d’IBM, le secteur de la fabrication est le secteur le plus ciblé par les cybercriminels. Les secteurs de la finance, des services professionnels, de l’énergie et du commerce de détail complètent la liste des cinq secteurs les plus ciblés11.
Part des cyberattaques par secteur en 2023
Secteur d’activité | 2023 |
|---|---|
Manufacturier | 25,7 % |
Finances et assurance | 18,2 % |
Services professionnels, aux entreprises et aux consommateurs | 15,4 % |
Énergie | 11,1 % |
Commerces de détail et de gros | 10,7 % |
Source : IBM Security X-Force Threat Intelligence Index 2024
Étant donné l’adoption rapide de nouvelles technologies, comme l’Internet des objets (IdO) et l’intelligence artificielle (IA), il est désormais primordial de reconnaître que la cybersécurité est un risque financier important dans tous les secteurs et toutes les régions. Dans un monde de plus en plus connecté, ces risques doivent être reconnus et gérés par les investisseurs.
Que peuvent faire les sociétés et les investisseurs?
À l’instar des autres enjeux en matière de durabilité, les sociétés devraient établir des évaluations adéquates des risques liés à la cybersécurité, élaborer des processus et des politiques assurant une gestion adéquate des risques évalués, intégrer la surveillance et la responsabilité au sein des fonctions de gestion des risques et de gouvernance de l’organisation, et divulguer les progrès aux investisseurs au moyen de rapports publics. Idéalement, les sociétés devraient effectuer des évaluations des risques ou des audits récurrents et obtenir des certifications pour leurs systèmes de gestion de la sécurité de l’information, comme la norme ISO 27001.
Une évaluation globale est nécessaire, car les investisseurs pourraient ne pas tenir compte de ce risque critique dans plusieurs secteurs. De nouvelles sources de données et de nouveaux paramètres émergent et permettent aux investisseurs de mieux évaluer l’exposition de leurs placements aux risques liés à la cybersécurité dans un plus grand nombre de secteurs. Maintenant, les sociétés déclarent périodiquement la quantité de données personnelles recueillies, leur exposition à l’évolution ou au resserrement de la réglementation en matière de protection des renseignements personnels, les atteintes à la sécurité des données et leurs systèmes de protection des renseignements personnels.
Les investisseurs peuvent encourager les sociétés émettrices à prendre ces mesures et à gérer adéquatement les risques liés à la cybersécurité. BMO Gestion mondiale d’actifs a rendu publiques les énoncés de ses attentes à l’égard de pratiques environnementales, sociales et de gouvernance. Nous attendons essentiellement des sociétés qu’elles disposent d’un conseil d’administration chargé de superviser les contrôles internes et tous les risques importants, y compris les risques ESG tels que le changement climatique, la cybersécurité et la protection des consommateurs.
En 2023, nous avons discuté avec notre tiers fournisseur de services de mobilisation, le service de représentation reo®, de la cybersécurité et de la sécurité des données dans le cadre de différentes activités de mobilisation avec des sociétés émettrices en sein de divers secteurs et de diverses régions. Les discussions ont porté sur des sujets liés aux certifications en lien avec la sécurité de l’information, en encourageant la divulgation d’une plus grande quantité d’informations sur les évaluations et en améliorant les politiques de confidentialité relatives aux renseignements sur les utilisateurs. La technologie continue d’imprégner progressivement tous les aspects de notre vie quotidienne et nous prévoyons une mobilisation beaucoup plus importante en matière de cybersécurité à partir de 2024. En plus de nous engager de façon significative, nous aspirons à mieux harmoniser les placements de nos clients dans un marché en constante évolution, en intégrant de nouvelles mesures et perspectives en matière de cybersécurité à nos évaluations des facteurs ESG, afin d’accroître continuellement la valeur pour nos investisseurs.
« Chaque année, nous voyons la quantité et les coûts des attaques atteindre des sommets record, les manchettes annonçant des atteintes à la sécurité des données d’entreprises provenant de presque tous les secteurs d’activité. Cela prouve qu’il est nécessaire de reconnaître la cybersécurité comme un risque financier important dans tous les secteurs et toutes les régions. »
Marco Iaboni
Associé, Technologie et communications, Actions mondiales
BMO Gestion mondiale d’actifs
Sources
Footnotes
1 115 cybersecurity statistics + trends to know in 2024 (norton.com)↩
2 One engineer’s curiosity may have saved us from a devastating cyber-attack | John Naughton | The Guardian↩
3 UnitedHealth says Change Healthcare cyberattack cost it $872 million – CBS News↩
4 https://www.forbes.com/sites/forbestechcouncil/2024/02/06/the-impact-of-ai-on-post-quantum-cybersecurity/↩
5 Cybersecurity Stats: Facts And Figures You Should Know – Forbes Advisor↩
6 Top 10 Cybersecurity Predictions and Statistics For 2024 (cybersecurityventures.com)↩
7 GDP (current US$) – Canada | Data (worldbank.org)↩
8 Cybersecurity Jobs Report: 3.5 Million Unfilled Positions In 2025 (cybersecurityventures.com)↩
9 Cyberinsurance Market To Reach $34 Billion By 2031 (cybersecurityventures.com)↩
10 Find Industry Topics – SASB (ifrs.org)↩
11 IBM Security X-Force Threat Intelligence Index 2024↩
Disclaimers
Tout énoncé qui repose nécessairement sur des événements futurs peut être une déclaration prospective. Les déclarations prospectives ne sont pas des garanties de rendement. Elles comportent des risques, des éléments d’incertitude et des hypothèses. Bien que ces déclarations soient fondées sur des hypothèses considérées comme raisonnables, rien ne garantit que les résultats réels ne seront pas sensiblement différents des résultats attendus. L’investisseur est prié de ne pas se fier indûment aux déclarations prospectives.
Ces renseignements ne constituent pas une recommandation d’achat ou de vente d’un titre particulier.
BMO Gestion mondiale d’actifs est une marque de commerce sous laquelle BMO Gestion d’actifs inc. et BMO Investissements inc. exercent leurs activités. Certains des produits et services offerts sous le nom BMO Gestion mondiale d’actifs sont conçus spécifiquement pour différentes catégories d’investisseurs au Canada et peuvent ne pas être accessibles à tous les investisseurs. Les produits et les services ne sont offerts qu’aux investisseurs au Canada, conformément aux lois et aux exigences réglementaires applicables.
« BMO (le médaillon contenant le M souligné) » est une marque de commerce déposée de la Banque de Montréal, utilisée sous licence.
