L’impact des cyberattaques est plus fort pour les entreprises non cotées

Les cyberattaques visant des entreprises françaises (CMA CGM, Eurofins, Sopra Steria…) se sont accentuées au cours des derniers mois avec la crise sanitaire liée au Covid-19. Selon une étude publiée mercredi par Bessé, société de courtage en assurances, «les attaques par rançongiciel ont progressé de 25% au premier trimestre 2020 et les attaques externes sur les comptes ‘cloud’ ont bondi de 630% de janvier à avril 2020». Si les effets d’une cyberattaquesont plus facilement visibles sur les entreprises cotées en Bourse, ils peuvent être in fine plus importants pour les entreprises non cotées qui ont un accès plus difficile à desfinancements à long terme en fonds propres ou par le biais du crédit. Ces dernières n’ont de surcroît pas les mêmes obligations de transparence que leurs homologues cotées et une pression actionnariale plus limitée favorise le choix d’un profil d’exposition plus risqué.

Recul en Bourse

«Ayant un impact à la fois stratégique, technique et financier, les attaques cyber ont des conséquences qui affectent véritablement la viabilité des entreprises», relève Pierre Bessé, président de la société de courtage. Dans une précédente étude portant sur un échantillon de 30 entreprises françaises cotées victimes d’une cyberattaque, un recul moyen de 9% du cours de Bourse a été constaté à l’issue d’un mois dans 63% des cas. Ce groupe s’est ensuite séparé en deux catégories. Une proportion de 40% des entreprises du panel ont enregistré une baisse moyenne de 19,5% de leur valorisation boursière 12 mois après l’incident, alors que les 23% restants affichaient à cette échéance un rebond moyen de 5,7% de leur cours de Bourse par rapport au niveau initial.

Pour les sociétés non cotées, l’impact financier d’une cyberattaque a cette fois pu être évalué par l’examen du risque de défaillance ou des retards de paiement, ce qui a permis de pallier l’absence d’informations de marché. A partir de données émanant d’Altares/Dun & Bradstreet, l’analyse menée par Bessé sur 30 incidents ayant touché à parts égales des PME et ETI françaises et étrangères entre 2017 et 2019 fait ressortir une augmentation de moitié du taux de défaillance trois mois après l’attaque et cette hausse demeure comprise entre 40 et 50% durant les trois mois suivants. Si l’on restreint l’échantillon aux seules sociétés françaises, la détérioration de la situation est à la fois plus forte et plus rapide. «L’augmentation de la probabilité de défaillance comparée au mois avant l’annonce de l’incident est de 70% dès le premier mois et atteint 88% au bout du sixième mois», souligne l’étude.

Un effet de latence plus important a été observé sur le critère des délais de paiement. La dégradation commence trois mois après l’annonce du cyber-incident et le nombre de jours de retard de paiement augmente de 55% au bout de six mois. La probabilité accrue d’un recours à une procédure collective contribue logiquement à amoindrir la valeur patrimoniale des entreprises françaises non cotées. Cette perte de valeur est estimée à 8,5% au bout de trois mois et de 9,5% six mois après la cyberattaque pour une entreprise dont la croissance moyenne est de 3% par an.

Détérioration potentielle de la réputation

A ce risque financier s’ajoute une détérioration potentielle de la réputation de l’entreprise qui constitue pourtant l’un de ses actifs immatériels les plus précieux. Le recours grandissant au télétravail, la montée en puissance de l’intelligence artificielle et des transferts de données mobiles à très haut débit (5G, objets connectés) contribueront à accentuer cette menace et à rendre les exercices de simulation de crise aussi importants que les tests d’intrusion. L’ONU a estimé le mois dernier que le coût de la cybercriminalité représenterait près de 4.400 milliards d’euros pour l’économie mondiale d’ici à 2025.

Il semble donc nécessaire d’augmenter la capacité de résistance des entreprises à ce type d’attaques afin de garantir leur pérennité. Cette «cyber-résilience» constitue d’ailleurs un facteur de différenciation opérationnelle et concurrentielle. D’autre part, une meilleure organisation du transfert du risque résiduel aux compagnies d’assurances permettra d’indemniser les entreprises couvertes et de préfinancer les dépenses liées à la gestion de ce type de crise. Ceci obligera les assureurs à procéder à une cartographie des risques cyber qui, en devenant systémiques, devront à terme être couverts à la fois par le marché privé et par les Etats, à l’image de ce qui a été mis en place pour les catastrophes aériennes après les attentats de septembre 2001 aux Etats-Unis.