Comment les cyberattaques affectent les détenteurs d'actions et les membres du conseil

Auteur: Roger Morrison
Date De Création: 26 Septembre 2021
Date De Mise À Jour: 21 Juin 2024
Anonim
Comment les cyberattaques affectent les détenteurs d'actions et les membres du conseil - La Technologie
Comment les cyberattaques affectent les détenteurs d'actions et les membres du conseil - La Technologie

Contenu


Source: iStock

À emporter:

Nous examinons ici les répercussions durables des cyberattaques, en particulier les dommages à court et à long terme causés au prix des actions et la manière dont la haute direction et les membres du conseil d’administration sont désormais directement impliqués dans les mesures préventives et réactionnaires prises pour faire face aux cyberattaques.

La cybersécurité est un sujet omniprésent pour l'informatique, mais les cyberattaques touchent aujourd'hui un large éventail de personnes en dehors de l'informatique. Les violations de données peuvent avoir un impact sur la vie des personnes à qui des informations personnelles ont été volées des années après l’oubli de l’incident. Dans d'autres cas, des informations confidentielles peuvent être volées, ce qui élimine les avantages concurrentiels des unités commerciales internes et des divisions de produits. Les attaques de ransomware et de DDoS peuvent perturber les opérations et les services de l'entreprise pour les clients et les fournisseurs pendant des jours et des semaines. En outre, l’ampleur de certaines cyberattaques pèsent aujourd'hui sur les revenus et les bénéfices tout en ternissant gravement l’image de marque des personnes affligées. (2017 a été une année record pour la cybercriminalité, mais découvrez ce que les entreprises font pour la contrer dans Cybercriminalité 2018: The Enterprise Strikes Back.)


En conséquence, ces incidents entraînent, du moins à court terme, une dépréciation du prix des actions, ce qui affecte les actionnaires et, par conséquent, sonne l'alarme dans les salles de conseil d'administration. Selon l'enquête sur les pratiques du conseil de Deloitte / Society for Corporate Governance de 2016, la cybersécurité se classe au premier rang des risques sur lesquels les conseils se concentrent aujourd'hui. Comme preuve supplémentaire, selon le Manuel de la supervision des cyber-risques du NACDs, moins de 40% des administrateurs de sociétés ont déclaré que les risques de cybersécurité étaient systématiquement abordés lors des réunions du conseil d'administration en 2014. En 2017, ce chiffre était de 90%.

Les pertes sont stupéfiantes

Les préoccupations en matière de cybersécurité au sein des salles de conseil d'entreprise sont fondées, compte tenu de certaines des menaces pesant en 2017 sur les grandes entreprises.


  • Nuance Communications est un fournisseur majeur d’outils vocaux et linguistiques basé à Burlington, dans le Massachusetts, qui produit une suite de services de dictée et de transcription qui dessert plus de 500 000 cliniciens et 10 000 établissements de santé. Ces services permettent aux médecins de dicter des notes au téléphone. La société a été touchée par l’attaque mondiale de Petya le 27 juin, perturbant ses activités principales pendant trois à cinq semaines, forçant la société à proposer des solutions de rechange aux services de dictée aux clients touchés par la panne. Il a fallu cinq semaines complètes pour restaurer tous ses services cloud. Près de la moitié des revenus de la société provenant de ces produits, la société a annoncé fin juillet que l’attaque aurait un impact négatif sur les résultats trimestriels. Les actions ont chuté de quatre pour cent immédiatement après l’annonce et la négociation a été arrêtée le matin même.

  • À la fin du mois de septembre, nous avons assisté à l'une des plus grandes violations de données de l'histoire: 145,5 millions d'Américains ont été volés lors de la violation désormais notoire d'Equifax. Pour aggraver la situation, les hauts responsables ont mis du temps à annoncer l'incident et les mesures initiales prises pour résoudre le problème étaient mal conçues. Equifax est devenue la cible de blagues et de critiques intenses au cours des semaines qui ont suivi l'attaque. Son stock a plongé de 30% en une semaine, pour finalement s’effondrer après une chute supplémentaire de 15%. Les pertes en actions au cours de cette période se sont élevées à plus de 4 milliards de dollars. Les coûts de nettoyage à eux seuls se sont élevés à 87,5 millions de dollars et Equifax a annoncé une baisse de 27% de son bénéfice net au troisième trimestre. (La violation d'Equifax a été causée par une vulnérabilité tierce. Pour en savoir plus, consultez Qualitative ou quantitatif: il est temps de changer notre façon d'évaluer la gravité des vulnérabilités liées à des tiers?)

Les énormes pertes causées par les cyberattaques ne sont pas apparues subitement en 2017. En 2011, les coûts de la cybercriminalité pour les entreprises aux États-Unis se sont élevés à 9 milliards de dollars. En 2015, ces coûts avaient grimpé à plus de 400 milliards de dollars et étaient passés à 600 milliards de dollars en 2016. Les cyberattaques devraient coûter près de 2 billions de dollars aux entreprises d'ici 2019. Les montants associés aux cyberattaques sont choquants et le public commence à en prendre conscience. En outre, les investisseurs sont de plus en plus informés des perturbations et des coûts énormes liés à une cyberattaque aujourd'hui.

La question de la performance des actions à long terme

Il ne fait guère de doute que les marchés boursiers peuvent frapper une entreprise cotée en bourse dans les jours qui suivent une atteinte à la sécurité des données, mais il existe des preuves contradictoires quant à savoir si les incidents de cybersécurité ont ou non un effet négatif durable à long terme. Une étude publiée par les sociétés de conseil en informatique CGI et Oxford Economics a montré que les violations de la cybersécurité érodent le prix des actions des sociétés d’environ 1,8% de façon permanente. L'étude portait sur 65 entreprises ayant subi une violation impliquant des centaines de milliers d'enregistrements ou plus depuis 2013. Le coût total pour les actionnaires des 65 entreprises étudiées s'élevait à plus de 52 milliards de dollars. La conclusion du rapport était que les investisseurs d’une entreprise type du FTSE 100 sont nettement moins bien lotis après une rupture de longue durée.

Une autre étude menée par Compairtech l'année dernière a abouti à des résultats similaires. L’étude portait sur 24 sociétés cotées en bourse, telles que Target et Yahoo, victimes d’une violation de données impliquant au moins 1 million d’enregistrements. Les résultats de l'étude ont montré ce qui suit:

  • Les actions ont en moyenne subi une baisse immédiate du prix de leurs actions à la suite d'une violation de 0,43%, ce qui correspond à peu près à leur volatilité quotidienne moyenne.

  • À long terme, les cours des actions continuent d’augmenter en moyenne, mais à un rythme beaucoup plus lent. Le cours de l’action a augmenté de 45,6% au cours des trois années précédant la rupture et de 14,8% au cours des trois années suivantes. La volatilité quotidienne était à peu près la même pour les deux périodes.

  • Les entreprises en infraction ont tendance à sous-performer le NASDAQ. Ils retrouvent le niveau de performance de l’indice après 38 jours en moyenne, mais au bout de trois ans, le NASDAQ les surperformait de plus de 40%.

Une étude récente menée par l’Université de Georgetown montre toutefois peu de corrélation entre les atteintes à la sécurité et la performance à long terme des actions. L'étude portait sur un ensemble de données de 235 sociétés dont les violations avaient été enregistrées depuis 2005. Ces sociétés représentaient tous les secteurs, y compris la consommation discrétionnaire, les services financiers, les soins de santé et la technologie. L'étude n'a révélé aucune différence significative entre les performances avant et après la performance 90 jours après la rupture. Les auteurs de l'étude ont conclu que les pertes liées aux atteintes à la confidentialité des données sur le stock de l'entreprise semblaient fortement dépendre de nombreuses variables propres à l'entreprise. Une autre étude publiée dans le Harvard Business Review en 2015 a conclu que, même si les cours des actions chutaient considérablement dans les jours suivant une attaque comme celle sur Home Depot, les cours des actions commençaient à rebondir au bout de deux semaines en moyenne et se comportaient normalement en fonction des conditions du marché. L'étude a révélé que les entreprises de services financiers, de soins de santé et de télécommunication mondiales subissaient les dommages les plus durables.

Réactions à un incident de cybersécurité

En politique, il y a le vieil adage qui dit que la dissimulation est bien pire que le crime. Cela peut aussi être le cas pour les cyberattaques. Par exemple, TalkTalk, le fournisseur britannique de téléphones et de haut débit, a été victime d'une violation de données impliquant 4 millions de ses clients en 2015. Le titre a chuté de plus de 10% au cours des deux premiers jours. La direction a été vivement critiquée au cours des mois suivants pour sa gestion médiocre de la situation, qui a entraîné la perte de plus de 90 000 clients. Le stock n'a pas réussi à se reconstituer à la manière de ceux des études menées à Georgetown et à l'Université Harvard.

Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire

Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.

C'est la raison même pour laquelle le poids de la responsabilité de protéger une organisation des cyber-menaces, ainsi que de la réaction à l'une d'elles, incombe au PDG, au CIO / CTO / CSO et à l'équipe de direction. La cybersécurité n'est plus un «problème informatique». C'est une question qui devrait impliquer à la fois la haute direction et le conseil d'administration dont ils relèvent. Deux choses semblent sûres: les attaques ne feront qu'augmenter dans les années à venir et leur coût va certainement augmenter avec elles.