Cybersécurité et cyberassurance alliées contre les attaques informatiques!

De manière schématique, on peut distinguer 3 grandes catégories de produits ou services de sécurité:

• Les produits de sécurité physique: sécurité des transports, systèmes avancés d’assistance au conducteur (ADAS), caméras de vidéosurveillance et systèmes anti-effraction, casques et autres systèmes de protection mobiles, airbags, outils et kits de police et de médecine légale, etc.
• Les produits de sécurité informatique: sécurité des points d’accès, surveillance des réseaux, biométrie, solutions d’identification, paiements électroniques sécurisés,…
• Les services de sécurité: gardiennage et protection des personnes, gestion des déchets dangereux, gestion des déchets "domestiques" et de l’eau, essais et contrôles (traçabilité), etc.

La cybersécurité, faisant partie de la sécurité informatique, est un ensemble de processus, d’outils et de cadres visant à protéger les réseaux, les appareils, les programmes et les données des cyberattaques ou attaques informatiques. Celles-ci visent tout autant les personnes, les entreprises, les gouvernements, les hôpitaux, les écoles et universités ou les ASBL. Les cybercriminels lancent des attaques sur ces cibles pour obtenir un accès non autorisé à des systèmes informatiques, interrompre des opérations d’entreprise, modifier, manipuler ou voler des données, réaliser de l’espionnage industriel, visant la plupart du temps à extorquer, directement ou indirectement, de l’argent aux victimes.

Le marché de la cybersécurité est déterminé par de nombreux facteurs tels que la digitalisation accrue, les réglementations sur la confidentialité des données (RGPD par exemple), le nombre croissant d’objets connectés, le développement du travail à distance, la multiplication et la montée en puissance des réseaux sociaux, l’intelligence artificielle, la professionnalisation des pirates informatiques (incluant même des organisations étatiques en Iran, Russie, Chine ou Corée du Nord…), etc.

La taille du marché de la cybersécurité n’arrête pas de de croître fortement, en parallèle au développement exponentiel des cyberattaques. Par exemple, selon le Bureau australien des statistiques, 22% des entreprises ont subi une cyberattaque en 2021-2022 contre seulement 8% en 2019-2020. Autre exemple interpellant, le FBI américain a reçu plus de 800.000 plaintes pour cybercriminalité en 2022, un peu moins qu’en 2021 mais les dégâts sont beaucoup plus importants. La perte totale possible est passée de 6,9 ​​milliards de dollars en 2021 à 10,2 milliards de dollars en 2022…

Le constat de l’aggravation du phénomène de cybercriminalité est aussi reflété dans le Microsoft Digital Defense Report (MDDR) 2023. Selon les informations partagées avec leurs clients, les principales menaces identifiées par Microsoft sont les attaques sur les mots de passe avec un taux de réussite de 42%. Les attaques sont passées de 529 chaque seconde en 2021 à 921 attaques en 2022 et à 4.000 par seconde en moyenne en 2023, avec un record de 11.000 attaques/seconde en avril! Ensuite on trouve les attaques par rançongiciels (ou "ransomware") en légère baisse comparée à 2022 mais qui représentent toujours une menace importante avec un taux de réussite de 29%. En 3e position viennent les attaques par courriels d’hameçonnage (ou "phishing") qui constituent 25% des attaques identifiées. Enfin les attaques sur les emails professionnels ont connu une très forte hausse, atteignant plus de 156.000 tentatives quotidiennes entre avril 2022 et avril 2023!

Selon Precedence Research, une organisation mondiale d’études de marché et de conseil, la valeur du marché de la cybersécurité a atteint 211 milliards de dollars en 2022 et devrait plus que tripler 10 ans plus tard pour atteindre près de 700 milliards de dollars comme on le voit sur le tableau ci-dessous.

Toutefois, même si ces chiffres sont impressionnants, une étude réalisée en 2022 par McKinsey suggère qu’avec un taux de pénétration actuel de seulement 10% des solutions de sécurité, le marché pourrait représenter un montant stupéfiant de 1.500 milliards à 2.000 milliards de dollars!

Être "cybersécurisé" est évidemment important mais un 2^e moyen de se défendre contre les attaques informatiques est évidemment de souscrire une assurance contre ce type de risque, soit donc via une cyberassurance. Les 2 moyens sont complémentaires, le 1^er anticipant les attaques, le second en minimisant leur impact.

Toutefois, fin décembre 2022, l’interview au Financial Times de Mario Greco, emblématique patron de Zurich Insurance, a fait l’effet d’un coup de tonnerre. Selon lui, les cyberattaques vont devenir "inassurables", davantage encore que les catastrophes naturelles qui font pourtant les gros titres des médias sur fond de dérèglement climatique. Il a ajouté "Si quelqu’un prenait le contrôle de parties vitales de l’infrastructure d’une société, quelles en seraient les conséquences?"

D’autant que différentes études prouvent que si les grandes entreprises souscrivent souvent à une cyberassurance, c’est beaucoup moins le cas pour les petites sociétés qui seraient donc, pour la plupart, incapables d’assumer une cyberattaque. Ainsi en France, en 2022, si 83% des grandes sociétés avaient souscrit à une telle assurance, même pas 1% des PME et TPE avaient fait de même selon le Rapport LUCY (Light Upon Cyber insurance) 2023 de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise).

Par ailleurs, comme le soulignait Les Echos en février 2023, "ces dernières années, la menace cyber se fait de plus en plus pesante pour les entreprises, et le secteur financier est particulièrement ciblé". Ainsi selon un rapport du Financial Services Information Sharing and Analysis Center (FS-ISAC) intitulé "The Evolution of DDoS: Return of the Hacktivists", en 2022 le volume des attaques DDoS (pour Distributed Denial of Service) ciblant les sociétés financières a augmenté de 22%. Cela est particulièrement vrai en Europe, où les attaques ont augmenté de 73% et où les services financiers ont été la cible de 50% de toutes les attaques DDoS.

Et il y a quelques mois, corroborant cette crainte, le marché de l'assurance britannique Lloyds a modélisé (conjointement avec le Cambridge Centre for Risk Studies) les dommages que pourrait causer une attaque informatique majeure sur les services financiers. Des "hackers" réussiraient ainsi à introduire un code malveillant ou virus dans des logiciels exploités par des services financiers qui contamineraient ensuite des milliers de réseaux partenaires et clients. Cela anéantirerait les systèmes de protection et autres systèmes pare feux, permettant alors aux pirates de détourner massivement des fonds et/ou d'interrompre toutes les transactions en cours…

Si une telle cyberattaque devait avoir lieu, la perte mondiale pourrait atteindre 3.500 milliards de dollars sur une période de 5 ans (il s’agit de la perte moyenne pour 3 niveaux de gravité modélisés par l’étude). Si le scénario le moins grave se produisait, la perte économique sur 5 ans pourrait atteindre 2.300 milliards de dollars "seulement". Par contre dans le cas du scénario le plus grave cela pourrait entraîner une perte économique pouvant atteindre 16.000 milliards de dollars sur 5 ans!

En conclusion, face aux risques financiers et juridiques, Mario Greco, a appelé alors les gouvernements à "mettre en place des dispositifs privé-public pour gérer les cyberrisques systémiques qui ne peuvent être quantifiés, à l'instar de ce qui existe dans certains pays pour les tremblements de terre ou les attaques terroristes".

Plusieurs indices existent pour cette thématique dont le MSCI ACWI IMI Cyber Security Index comprenant 83 sociétés internationales dont une très large proportion d’américaines (près de 79% fin décembre 2023), devant des israéliennes (près de 8%), le solde étant constitué principalement de sociétés néerlandaises, indiennes et japonaises.

Comme on le constate sur le graphe ci-dessous, cet indice "cybersécurité" (en blanc) a clairement mieux performé que les indices généraux S&P 500 et Stoxx 600 Europe. Mais on voit aussi que la prise de conscience du risque croissant engendré par les cyberattaques a été crescendo. L’indice a décollé progressivement il y a environ 5 ans. Toutefois si, en regard des commentaires ci-dessus, le secteur dispose indéniablement d’un important potentiel à moyen et long terme, les objectifs de cours actuels des analystes pour de nombreuses actions du secteur sont atteints voire dépassés. A court terme, il convient donc d’être prudent concernant cette thématique à moins que les sociétés du secteur annoncent des nouvelles ou résultats obligeant les analystes à revoir à la hausse leurs objectifs de cours…

^{Cette publication a été rédigée par Michel Ernst, Stratégiste Actions de CBC Banque. Toutes les considérations reprises dans cette publication reflètent l'analyse personnelle de l’auteur à la date mentionnée. Cette analyse est basée sur des sources accessibles au public et prend en compte des éléments relevant des contextes économique, politique et financier du moment. Elle est donc susceptible d’être modifiée à tout moment, sans notification préalable.} 

^{Les données de cette publication sont générales et purement informatives. Ces informations ne peuvent pas être considérées comme une offre d'achat ou de vente d'instruments financiers. Elles ne peuvent pas non plus être assimilées à des conseils ou recommandations d'investissement ou à des recherches en investissements au sens de la législation et de la réglementation sur les marchés d'instruments financiers.}

^{Bien que les informations fournies se fondent sur des sources pouvant être considérées comme fiables, et bien que toutes les précautions raisonnables aient été prises pour préparer ce document, CBC Banque ne garantit ni son exactitude ni son exhaustivité.} 

^{Ni CBC Banque ni aucune entité du Groupe KBC ne pourra être tenue pour responsable des conséquences pouvant résulter de l’utilisation des informations, opinions ou estimations contenues dans le présent document.}

^{L’auteur de ce document confirme ne pas détenir, pour compte propre, à la date de la publication, d’instruments financiers émis par les sociétés qui pourraient y être mentionnées.}

^{Toute transmission, vente, diffusion ou reproduction des informations, publications et données est interdite sous quelque forme et par quelque moyen que ce soit, sauf autorisation expresse, écrite et préalable de CBC Banque, CBC Banque SA, Avenue Albert Ier 60, 5000 Namur, Belgique. TVA BE 0403.211.380, RPM Liège division Namur.}