Incidences d’une atteinte à la cybersécurité sur les organisations du secteur public

Récemment, CGI a parrainé une recherche d’Oxford Economics – The Cyber-Value Connection – qui explore le lien entre un incident de sécurité et la valeur d’une entreprise. Plus précisément, nous souhaitions développer une méthode analytique pour examiner les mouvements du cours de l’action d’une entreprise ayant divulgué publiquement les atteintes à la sécurité qu’elle a subies.

Au cours des dernières années, de nombreux rapports et articles d’opinion ont affirmé qu’il y avait un lien entre un cyberincident et la valorisation d’une entreprise. La plupart sont basés sur des faits anecdotiques ou encore sur des évaluations faites par les entreprises elles-mêmes et présentées dans leurs rapports annuels. Le problème avec les premiers est qu’ils sont fondés sur des opinions plutôt que sur des faits. Quant aux seconds, ils manquent de données puisque seules quelques entreprises ont publiquement dévoilé l’impact financier d’un cyberincident sur leur performance.

Avec l’aide d’Oxford Economics*, CGI a établi le lien grâce à un modèle économétrique rigoureux, qui, nous espérons, encouragera les entreprises partout dans le monde à investir davantage dans des mesures protectrices dont ont besoin nos économies de plus en plus axées sur le numérique. L’impact moyen d’un incident sévère sur la valeur d’une entreprise est mesuré à 1,8 %, ce qui peut sembler relativement modeste. Mais pour une entreprise type figurant à l’indice FTSE100, ce pourcentage correspond à une perte de valeur d’environ 120 millions £, une somme substantielle.

En quoi cette constatation concerne-t-elle les organisations du secteur public?

Évidemment, il n’y a pas de mesures des impacts sur les organisations publiques à la suite d’un cyberincident. Il n’y a pas de cours d’action à analyser. Au Royaume-Uni, il est possible d’examiner les amendes pour infractions aux réglementations imposées par le bureau du commissionnaire à l’information. Les organisations publiques, qu’il s’agisse d’organisations de soins de santé ou de gouvernements locaux, figurent parmi les organismes qui reçoivent ces amendes de façon trop fréquente. Les rapports d’infraction présentent le déroulement et la nature de chaque atteinte, mais ne reflètent pas l’impact réel sur l’organisation en question et sont, de toute façon, d’une valeur maximale de 500 000 £ (cette limite augmentera cependant en vertu du Règlement général sur la protection des données de l’Union européenne qui entrera pleinement en vigueur le 25 mai 2018).        

Y aurait-il moyen d’examiner les leçons apprises dans le secteur privé et de les transposer au secteur public? Le lien le plus direct consiste à comprendre que la réduction du cours de l’action qui suit un cyberincident représente une chute des résultats prévisionnels de l’entreprise. Cette réduction des gains découle soit d’une diminution des ventes ou d’une hausse des coûts. Une réduction des ventes reflète généralement une perte de la confiance des consommateurs, une atteinte à la marque ou une interruption des services; trois éléments qui réduisent les revenus d’une entreprise.

Il y a un impact similaire sur une organisation du secteur public. Par exemple, si les citoyens évitent d’utiliser les services en ligne à la suite d’une violation, il y a une incidence supplémentaire puisqu’ils doivent alors avoir recours aux processus manuels. Il y aura également des répercussions sur les cibles de service puisque des délais seront occasionnés, jusqu’à ce que les citoyens soient assurés que les services en ligne sont sécuritaires. Le second élément, l’augmentation des coûts, s’applique également aux organisations du secteur public qui ont été victimes d’une atteinte à la cybersécurité. Il y a des coûts directs découlant de la gestion d’un incident, liés notamment aux spécialistes juridiques et d’enquête qui tentent de résoudre l’incident, aux communications aux personnes et aux organisations concernées par la violation des données, à la réparation des systèmes d’information touchés, aux amendes qui pourraient être imposées par les autorités réglementaires, etc. Il y a également des augmentations indirectes des coûts puisque les citoyens se tournent vers les anciennes formes d’interaction avec l’organisation, qui s’avèrent invariablement plus onéreuses.

Tout comme dans le secteur privé, les organisations du secteur public étant les plus affectées sont celles qui dépendent largement d’une prestation numérique des services ou celles qui ont l’obligation de démontrer que leurs interactions avec les citoyens sont sécuritaires. Ces deux facteurs deviennent de plus en plus importants pour toutes les organisations du secteur public. On trouve de bons exemples au Royaume-Uni : l’administration fiscale britannique (Her Majesty’s Revenue & Customs), le ministère du Travail et des Pensions, le service des poursuites judiciaires de la Couronne (Crown Prosecution Service), le Home Office, l’agence nationale de lutte contre la criminalité, le ministère des Affaires étrangères et du Commonwealth ainsi que le ministère de la Justice. Toutes ces organisations reposent largement sur la sécurité pour soutenir les interactions avec des millions de citoyens de façon quotidienne. De plus, les organisations vouées à la justice doivent composer avec un ensemble complexe d’enjeux puisqu’elles doivent garder l’information hautement sensible en sécurité de peur de compromettre une poursuite criminelle, d’exposer un témoin à l’intimidation, de permettre la falsification de preuves, etc.

Ces autorités prennent bien soin d’intégrer la sécurité nécessaire à leurs services afin que l’information soit traitée et gérée avec les soins appropriés, mais une cyberattaque de toute forme pourrait être catastrophique pour ces organisations publiques.

Donc, en prenant en considération que le secteur commercial commence à pleinement saisir l’impact d’une atteinte à la cybersécurité sur la performance d’une entreprise, les organisations du secteur public découvrent que les mêmes facteurs menant à une sous-performance s’appliquent également à elles. Elles n’ont pas de cours d’action tangible comme indicateur, mais elles ont des cibles d’amélioration de service à atteindre et des budgets à respecter, et tous ces éléments seront touchés en cas de violation. Un changement de mentalité doit s’effectuer au sein d’organisations où les menaces de cybersécurité constituent un véritable risque. Il est en effet important de soutenir les services numériques sur lesquels reposent désormais toutes les organisations et d’établir la priorité des investissements pour s’assurer que les mesures de protection essentielles sont mises en œuvre.

Je vous invite à lire mon blogue à ce sujet, également inspiré du rapport sur la cybersécurité et la valeur de l’entreprise, et dans lequel je propose des questions clés que les chefs de la direction devraient poser à leur organisation.

*en anglais