27 Sep Le facteur cybersécurité caché dans les investissements ESG impacte le cadre de gestion du risque des investissements : entrevue avec Marc Riel
Les investissements qui tiennent compte des facteurs environnementaux, sociaux et de gouvernance (ESG) ont atteint de nouveaux sommets au cours des dernières années. Lorsque l’on pense aux bonnes raisons d’investir dans les ESG, on s’arrête souvent à la protection de l’environnement, alors que la posture de cybersécurité d’une entreprise est une autre composante qui, selon différents experts, devrait être prise en considération dans toute thèse d’investissement.
Croesus a rencontré Marc Riel, professionnel certifié en placements durables (CPPD) du John Molson School of Business, qui propose une perspective nouvelle sur l’intégration du facteur cybersécurité dans l’évaluation des investissements.
Le dernier rapport du Forum économique mondial sur les risques mondiaux a une fois de plus classé la cybersécurité parmi les cinq principaux risques auxquels sont confrontés les entreprises et les gouvernements. Ce problème leur coûte des milliards de dollars chaque année, renforçant la nécessité pour le conseil d’administration d’adopter une approche proactive.
« Les investisseurs institutionnels prennent désormais beaucoup plus au sérieux les failles de sécurité et leurs effets à long terme. Tout comme il y a quelques décennies, lorsqu’ils ont commencé à se retirer progressivement des entreprises socialement et écologiquement nuisibles, comme les compagnies de tabac et d’autres industries jugées immorales ainsi que celles qui avaient la réputation d’être de gros pollueurs », explique M. Riel.
L’essor des investissements ESG
La montée en puissance des investissements ESG, soit les investissements qui tiennent compte des facteurs environnementaux, sociaux et de gouvernance, ces dernières années a été fulgurante, avec une croissance de 42 % de 2018 à 2020, et un gain de plus de 21 milliards de dollars (USD) au premier trimestre de 2021. Ces résultats sont d’autant plus impressionnants que certaines opinions, qui prétendent que les investissements qui incluent des facteurs ESG sont sous-performants, ont longtemps été dominantes dans les marchés financiers.
Les motivations des investisseurs qui souhaitent intégrer les critères ESG à leur choix d’investissements ne se résument plus uniquement à l’alignement de leur portefeuille avec leurs valeurs personnelles en matière d’amélioration de l’environnement, des sociétés et de la gouvernance. Des études éprouvées ont réfuté cette opinion et ont montré que les entreprises qui intègrent les facteurs ESG directement dans leur modèle d’affaires obtiennent des résultats financiers meilleurs ou équivalents à long terme que celles qui ne le font pas. C’est une des raisons pour laquelle de plus en plus d’investisseurs exigent aujourd’hui l’intégration des facteurs ESG dans les entreprises sous-jacentes à leurs placements.
Les facteurs sociaux et de gouvernance de plus en plus importants
La vitesse et l’ampleur de la transmission des informations, notamment en raison de la démocratisation des médias sociaux, obligent les entreprises à prendre de plus en plus au sérieux les facteurs sociaux et de gouvernance.
« Ces facteurs sont liés, car la gouvernance influence les politiques sociales d’une entreprise. Comme les actions et les décisions problématiques des entreprises sont rapidement exposées et deviennent virales, les politiques de gouvernance doivent constamment être adaptées pour éviter les situations qui pourraient affecter négativement la valeur d’une entreprise et de ses partenaires », affirme M. Riel.
Il prévient donc qu’il est bien plus dommageable d’être attaqué sur des aspects de mauvaise gouvernance que de sortir un produit défectueux, par exemple.
« Tout défaut d’un produit peut être corrigé, alors qu’il est difficile de changer la réputation d’une entreprise perçue comme délinquante. Parlez-en aux entreprises textiles qui ont dû dépenser des millions de dollars en publicité pour faire savoir qu’elles avaient cessé d’exploiter leurs travailleurs. C’est un bon exemple de situation où il aurait mieux valu prévenir que guérir », précise-t-il.
« C’est pourquoi de nos jours, les politiques d’investissement ont été adaptées pour inclure les entreprises ayant des politiques d’investissement socialement responsable (ISR). Ces politiques d’investissement favorisent des entreprises respectueuses de l’environnement, d’énergie renouvelable propre, qui traitent leur personnel et leurs chaînes d’approvisionnement avec respect et sont dotées de solides politiques de gouvernance. Ces dernières incluent des politiques de cybersécurité afin d’éviter d’investir dans des entreprises qui sont à risque et qui réagissent au lieu de prévenir », ajoute-t-il.
Quelle est la place de la cybersécurité dans l’ESG ?
La cybersécurité a historiquement été traitée comme une question du domaine technologique, mais elle est désormais vue comme faisant partie des considérations ESG. Elle s’inscrit principalement dans le cadre des normes de gouvernance en termes de gestion des risques opérationnels et de protection des données et des renseignements personnels, mais aussi dans les facteurs sociaux en termes de risques réputationnel et de gestion des communications suivant une attaque informatique.
En tant que risque opérationnel majeur pouvant avoir un impact important sur la marque, la réputation et le profil d’une entité, la cybercriminalité mérite cependant de plus en plus d’attention.
On estime qu’un incident de sécurité informatique grave entraîne en moyenne une baisse permanente de près de 2 % du cours de l’action d’une entreprise, selon une étude de CGI-Oxford Economics daté de 2017. Il est donc essentiel pour les investisseurs que les entreprises reconnaissent les risques de cybersécurité et démontrent, par le biais de leurs rapports, qu’elles prennent des mesures solides pour pallier ces risques.
Les rapports des entreprises à ce sujet sont souvent en deçà de ces attentes, rendant presque impossible, pour les investisseurs, l’évaluation des capacités d’une entreprise à se positionner afin d’identifier, de gérer et de contrer une éventuelle violation de leur cybersécurité.
L’importance croissante de la gestion des risques numériques
M. Riel estime que beaucoup reste à faire et que les entreprises et les gouvernements n’en font pas suffisamment pour protéger leur personnel et leurs clients, d’autant plus que beaucoup de gens ne sont pas conscients des dangers, même pour eux-mêmes. Étant donné l’accélération de l’adoption du numérique depuis le début de la pandémie (c’est-à-dire la généralisation du travail à domicile), les menaces de cybercriminalité sont un phénomène croissant dans tous les secteurs. C’est particulièrement vrai dans ceux des technologies de l’information, de la consommation discrétionnaire, des services financiers et de la communication.
« De nos jours, tout le monde connaît un voisin ou un ami qui s’est fait voler son identité ou dont l’ordinateur a été piraté. Il y a en effet de plus en plus de crimes virtuels et de nouveaux types apparaissent sans cesse. Dans la gouvernance d’entreprise, la cybersécurité va devenir de plus en plus importante et il faudra des spécialistes et des comités permanents. Pour l’instant, nous n’avons personne vers qui nous tourner lorsqu’un crime est commis, car même les autorités ne savent pas comment réagir », affirme M. Riel.
Dans cette nouvelle économie numérique, la cybersécurité est devenue une préoccupation ESG essentielle, présentant un facteur de risque substantiel pour la valeur des entreprises sur les marchés et, en fin de compte, la stabilité des portefeuilles d’investissement.
C’est pourquoi la mise en œuvre d’une bonne stratégie de sécurité, incluant des audits et la surveillance des risques, est désormais une préoccupation majeure pour la direction des entreprises, les investisseurs du monde entier et les acteurs de tous horizons. En étant plus exposés aux technologies numériques, ils sont plus à risque de subir des cyberattaques.
Comment le manque de considération des ESG diminue-t-il la sécurité de votre investissement ?
Le peu de considération des facteurs ESG dans la gestion peut avoir un impact direct sur la stabilité des entreprises, des communautés et des gouvernements. À elle seule, la criminalité financière coûte chaque année des milliards de dollars aux entreprises et aux gouvernements. Ces fonds détournés sont alors utilisés pour favoriser des activités illicites. Le coût d’opportunité est aussi important pour la société, car cet argent pourrait plutôt être utilisé par des organisations légitimes afin de sensibiliser aux enjeux environnementaux, avoir un impact social positif et atteindre des objectifs de gouvernance essentiels.
« La différence entre le risque engendré par un produit défectueux, par exemple, et celui dû aux failles de cybersécurité est qu’il est très difficile d’estimer combien une attaque coûtera à l’entreprise. Il ne faut pas seulement prendre en compte les dommages directs de l’attaque, mais aussi ceux liés à la réputation de l’entreprise, à l’image de marque, au rejet de la communauté des investisseurs ainsi qu’au risque de poursuites pour négligence », soutient M. Riel.
La cybersécurité doit donc figurer parmi les priorités de la stratégie ESG des sociétés publiques. Elles devraient désormais faire preuve de transparence vis-à-vis de leurs investisseurs en ce qui concerne les cyber menaces potentielles et partager ce qu’elles font pour en atténuer les risques.
Outre son impact sociétal, l’investissement ESG est une stratégie que les conseillers en placement peuvent mettre en place afin d’améliorer les rendements ajustés au risque. Les entreprises dotées de bons protocoles ESG ont en effet tendance à avoir un profil de risque plus faible. Même si les investisseurs ne voient pas encore la corrélation directe entre les rendements et la notation du risque ESG, les informations sur les ESG sont utiles pour comprendre et évaluer les risques à la réputation, juridiques et réglementaires des entreprises bénéficiaires. Par conséquent, il est absolument nécessaire que ces informations ESG soient facilement accessibles à tous les investisseurs.
Comment la technologie peut-elle aider les conseillers ?
La technologie peut aider les conseillers en investissement à répondre aux besoins de leurs clients. En utilisant un logiciel de gestion de portefeuille, ils peuvent facilement construire des portefeuilles personnalisés en s’appuyant sur des données fiables et pertinentes, notamment en matière de ESG. Ainsi, ils sont en mesure de prendre des décisions d’investissement pertinentes. Tout au long du processus, ils ont également besoin d’une technologie qui examine la conformité et les guide pour rester alignée avec les politiques et les objectifs d’investissements. Un autre atout de ce type d’outil est la possibilité de générer sans effort des rapports de performance personnalisés afin d’informer les investisseurs des performances financières et ESG de leur portefeuille.
Avec l’augmentation et la complexification des critères d’investissement, incluant les préférences ESG, le temps nécessaire au rééquilibrage manuel des portefeuilles augmente exponentiellement. Afin d’assurer un rééquilibrage optimal, dans un délai court et sans nécessiter de ressources considérables, il est préférable d’utiliser un outil de rééquilibrage automatisé. Pour être pertinent dans le contexte actuel, cet outil doit au moins permettre un rééquilibrage en fonction de critères ESG. Mieux encore, un logiciel offrant un haut degré de personnalisation permettra aux gestionnaires de portefeuille non seulement d’intégrer des critères ESG au rééquilibrage, mais aussi d’ajouter des critères propres à chaque investisseur. Ils pourraient ainsi éviter les secteurs industriels qui présentent un taux plus élevé de risques de cybersécurité, par exemple.
Qu'est-ce que l’investissement ESG ?
L’investissement ESG a évolué à partir d’approches d’investissement socialement responsable pour devenir une forme distincte d’investissement responsable. Alors que les décisions d’investissement ESG impliquaient autrefois principalement un filtre d’exclusion et des jugements de valeur, elles se concentrent aujourd’hui principalement sur une meilleure performance financière à long terme et un meilleur alignement avec les valeurs de chacun.
En effet, lorsqu’ils analysent des investissements, ceux qui accordent de l’importance aux facteurs ESG tiennent compte à la fois de l’analyse matérielle fondamentale traditionnelle (l’identification des actions offrant un fort potentiel de croissance à un bon prix, l’examen des activités des sociétés sous-jacentes, l’étude des conditions au sein du secteur ou de l’économie au sens large) et d’un éventail plus large de paramètres non financiers, afin de mieux comprendre le profil de risque environnemental, social et de gouvernance des sociétés bénéficiaires.
Et tout comme l’ESG est une partie inextricable du modèle économique d’une entreprise, ses éléments individuels (environnementaux, sociaux et de gouvernance) sont interdépendants. En fait, chaque élément peut créer une dynamique pour alimenter les autres, instaurer la confiance et, en fin de compte, offrir une performance financière durable aux investisseurs.
Quels sont les types de cybermenaces ?
Au-delà du rôle évident de la cybersécurité dans la protection des systèmes, des réseaux, des programmes et des données, les experts en sécurité vous diront qu’il est également très important pour les investisseurs institutionnels qui évaluent les politiques de protection des données et de sécurité de l’information dans le cadre de leur stratégie d’investissement, d’évaluer les risques de cybersécurité d’une entreprise.
Voici quelques-uns des principaux types de risques :
« Malware »
Les « malwares » ou logiciels malveillants comprennent les virus et les attaques par rançongiciels qui sabotent les ordinateurs d’une entreprise.
Hameçonnage
L’hameçonnage est une fraude dans laquelle un pirate se fait passer pour quelqu’un d’autre en utilisant un courriel ou d’autres formes de communication.
Attaque par injection SQL
Une attaque par injection SQL est une technique de piratage qui donne un accès non autorisé à des données sensibles, telles que des mots de passe, des détails de cartes de crédit ou des informations personnelles sur l’utilisateur, en utilisant un formulaire Web, des cookies, etc.
Attaque de type « Cross-Site Scripting » (XSS)
Attaque par laquelle des scripts malveillants sont injectés dans des sites Web par ailleurs bénins et fiables.
Attaque par déni de service (DoS)
Cette attaque vise à mettre hors service un réseau, le rendant inaccessible à ses utilisateurs.
Attaques par commentaires négatifs
Attaques menées par des trolls qui peuvent avoir un impact direct sur les performances financières.
Quels sont les impacts d'une faille de sécurité ?
Au-delà des coûts directs initiaux associés aux cyberattaques et aux failles de sécurité (amendes réglementaires, enquêtes techniques, notification aux clients, coûts de protection des clients, améliorations de la cybersécurité, honoraires d’avocat et coûts de relations publiques), il existe une série d’autres coûts potentiels découlant d’un incident de sécurité informatique.
Parmi ceux-ci, on compte l’augmentation des primes d’assurance et du coût de l’endettement, la perte de revenus contractuels et de relations avec les clients. D’autres impacts profonds, bien qu’intangibles, peuvent persister pendant des années. C’est le cas, notamment de l’atteinte à la réputation, des perturbations opérationnelles, ainsi que de la perte de propriété intellectuelle ou d’autres actifs stratégiques.
Sécurité des entreprises : comment se protéger contre les cyberattaques ?
Le risque cybernétique est l’une des préoccupations matérielles les plus immédiates auxquelles sont confrontées les organisations aujourd’hui. Malheureusement, ces attaques se sont multipliées ces derniers mois, entraînant un nombre sans cesse croissant de brèches dans les infrastructures critiques, les réseaux financiers, les soins de santé et d’autres systèmes réseautiques de tous les secteurs.
Afin d’atténuer les cybermenaces, les entreprises doivent commencer à placer la cybersécurité au cœur de leur stratégie environnementale, sociale et de gouvernance, en employant des équipes de cybersécurité, en investissant dans des politiques de sécurité et en adoptant un cadre standardisé pour mesurer les cyber-risques, tout ceci afin d’aider les organisations et les régulateurs à gérer ces risques de sécurité.
Des inspections régulières, des vérifications de routine des données, ainsi que des audits de confidentialité, devraient être mises en place afin de s’assurer que les entreprises continuent à respecter les normes réglementaires et à adhérer aux pratiques commerciales responsables, en plus de permettre de découvrir les risques cachés. Des normes de cybersécurité et des audits de fournisseurs devraient également être instaurées afin d’atténuer davantage les risques liés aux tiers partis concernant les risques liés aux données des employés et des clients, ainsi qu’aux informations financières et aux opérations provenant de la chaîne d’approvisionnement de l’organisation et d’autres fournisseurs directs ou prestataires de services.
Un bon point de départ est l’indice MSCI ACWI IMI Global Cyber Security. Il s’agit d’un indice boursier mondial de premier plan qui suit la performance d’un large éventail de titres censés représenter l’ensemble du marché boursier mondial. Il couvre 9 200 titres répartis sur 23 marchés développés et 24 marchés émergents. Son objectif est d’identifier les entreprises qui pourraient bénéficier d’un investissement accru dans les systèmes, les produits et les services qui offrent une protection contre les cyberattaques sur un large éventail de marchés.
Pour aider les entreprises à conserver leur avantage concurrentiel en se conformant aux nouvelles exigences ESG, Marc Riel recommande vivement à tous les décideurs, qu’ils proviennent d’entreprise ou de la classe politique, de suivre une formation continue orientée vers l’investissement ESG. Une accréditation telle que celle du SIPC (Johns Molson School of Business) permet de mieux prendre conscience des effets dévastateurs des actions humaines sur la société et sur notre planète.
Autre risque caché dans le facteur de gouvernance
Le travail forcé secrètement utilisé dans les chaînes d’approvisionnement des entreprises des économies développées est en opposition directe avec la conduite responsable des affaires, les pratiques de gouvernance d’entreprise et les normes de gouvernance. Cela est particulièrement problématique lorsqu’il s’agit d’ESG, car c’est une violation directe des droits de l’homme. En effet, bien que le travail forcé soit un problème social qu’on croit généralement éradiqué dans les pays développés, une étude récente de l’OIT indique qu’il est toujours d’actualité.
En fait, presque tous les pays européens ont signalé une augmentation des cas de travail forcé au cours des dernières années. Le travail forcé caché est, bien entendu, susceptible d’avoir des répercussions très réelles sur la réputation des parties prenantes, notamment des investisseurs, des clients, des partenaires commerciaux, des autorités de réglementation et du personnel des entreprises de tous les marchés. Mais ce n’est rien, comparé à l’impact social que ces problèmes sociaux ont sur les travailleurs forcés.