Ce qu’implique la prochaine notation du risque cyber par Moody’s

L'accès au crédit est essentiel pour toute entreprise en bonne santé, que ce soit pour des acquisitions, le financement de la croissance organique ou même le maintien de l'entreprise à flot pendant les périodes difficiles. Les analyses de solvabilité tiennent compte de nombreux facteurs, comme les antécédents de paiement, les formes et les niveaux d'endettement, le secteur d’activité, la géographie, ou encore la longévité de l'entreprise. Mais cela ne s’arrête pas là.

Moody’s avait annoncé, fin 2015, que le risque informatique devrait être appréhendé à la manière d’autres risques exceptionnels, comme les catastrophes naturelles, « avec tout impact de crédit consécutif en fonction de la durée et de la sévérité de l’événement ». Dont acte : l’agence va désormais prendre en compte les risques cyber et les brèches dans ses notations. Sa décision aura un impact global sur tous les secteurs. Et celui-ci pourrait affecter à long terme le comportement des organisations notées, à mesure que le concept s'étend à d'autres systèmes de notation. Des entreprises comme la jeune pousse française Cyrating l’ont bien anticipé.

Les notations du risque cyber de Moody's se limiteront aux organisations et aux industries définies par l’agence. Mais dans un avenir très proche, toute entreprise demandant à emprunter de l'argent pourrait être confrontée à des questions sur ses cyber-risques. En fait, d'autres entreprises qui se fient aux notes de risque conçoivent déjà des façons de le faire dans leur propre contexte.

Si l’on considère que les notes de solvabilité constituent une mesure de la capacité d'une entreprise à rembourser l'argent qu'elle emprunte, alors les cyberattaques constituent une classe de risque importante à considérer. Prenons l'exemple des rançongiciels, par exemple. Les dégâts qu’ils peuvent causer sont loin d’être anecdotiques. Pour certaines entreprises, un tel incident a conduit à la cessation de l’activité. Mais celles qui s’en relèvent peuvent être gravement lésées, tant sur le plan financier que sur celui de leur réputation.

Alors pourquoi un organisme prêteur ne serait-il pas légitimement préoccupé par de tels risques ? Une attaque en déni de service peut être dévastatrice pour une entreprise qui dépend de sa présence sur Internet. Et les atteintes à la confidentialité de l'information, si fréquemment rapportées, peuvent également avoir des effets importants et durables.

Des coûts de remédiation et d’investigation jusqu'à ceux liés à l’accompagnement des clients, en passant par les frais juridiques, et les pénalités réglementaires, la facture peut être lourde, voire fatale pour certaines entreprises.

Comment tout cela sera-t-il géré ? Moody's s'attend-elle à ce que les entreprises annoncent publiquement les efforts qu'elles déploient ? L’agence va-t-elle se contenter d'évaluer sur la base de moyennes ? Demandera-t-elle expressément aux entreprises de préciser comment elles minimisent leur exposition ? Il est probable qu’il faudra tu temps avant que nous ne l’apprenions. Mais comme pour tout programme d'évaluation de la cybersécurité, il faudra un cadre de gestion des risques reconnu et mesurable. Le choix d'un cadre inconnu pourrait entraîner des redondances d’efforts et, en définitive, empêcher d'atteindre les objectifs d’une telle démarche.

Mais on le sait bien, suivre un cadre n'est pas une approche suffisante pour obtenir une posture de sécurité satisfaisante. Et la probabilité d'une (dés)illusion n’est jamais bien loin lorsqu’il s’agit d’évaluer l’exposition d’une entreprise au risque cyber.