Investissement responsable

L’incidence de la COVID-19 : La cybersécurité et la confidentialité des données

Ce parcours vers un monde plus axé sur le numérique apportera certainement d’excellents avantages et occasions, mais il n’est pas sans risques importants.
Novembre 2020

La COVID-19 est en train de transformer de nombreux aspects de nos vies. Elle accélère notamment notre dépendance à la technologie. Ce parcours vers un monde plus axé sur le numérique apportera certainement d’excellents avantages et occasions, mais il n’est pas sans risques importants.

Au cours des derniers mois, nous avons examiné l’incidence de la COVID-19 sur la cybersécurité et la confidentialité des données, ainsi que la façon dont nous, les investisseurs, pouvons apporter notre aide.

Aperçu

La façon dont les gouvernements et les entreprises utilisent les solutions technologiques pendant cette crise menace notre cybersécurité et notre droit de la personne relativement à la confidentialité des données. Voici quelques chiffres à ce sujet :

  • 18 millions courriels d’hameçonnage liés à la COVID-19 qui ont été bloqués quotidiennement par Google en avril 2020
  • 400% pourcentage correspondant à l’augmentation du nombre de plaintes liées aux cyberattaques reçues par le service de cybersécurité du FBI en mars et en avril 2020
  • 18,000 nombre de personnes qui ont vu leurs renseignements dévoilés en ligne dans le cadre d’une brèche de sécurité de Public Health Wales

Ces chiffres sont inquiétants, mais tout n’est pas perdu. Les investisseurs peuvent utiliser leur influence en tant que gérants de capitaux pour aider les entreprises à gérer ces risques et ainsi créer un cyberespace plus sûr pour nous tous.

Le contexte du risque : en constante évolution

Cybersécurité

Partout dans le monde, des entreprises ont été forcées de perturber leurs flux de travail et structures habituels afin de permettre à leurs employés de travailler de la maison. De nombreuses entreprises ont pris des risques en matière de sécurité des données qu’elles n’auraient peut-être jamais acceptés dans des circonstances normales, ne pouvant ainsi plus compter sur la sécurité relative des systèmes d’exploitation centraux. Malheureusement, il s’agit d’une période où les fraudes sont fréquentes : les cybercriminels ont adapté leurs tactiques pour mieux tirer parti de ces nouveaux modèles de travail. Comme les employés sont occupés à s’adapter à leur nouvelle façon de travailler, ils pourraient être plus vulnérables aux fraudes par hameçonnage qui, dans de telles circonstances, pourraient sembler plus légitimes et crédibles.

Entre-temps, il va sans dire qu’en ce moment les membres de la direction sont distraits, car ils font de leur mieux pour guider leurs entreprises tout au long de la pandémie. Par conséquent, l’attention portée à la gouvernance de l’information pourrait être détournée vers des questions apparemment plus urgentes, ce qui menace davantage la cybersécurité de leurs entreprises.

Confidentialité des données

À l’heure actuelle, de grandes quantités de données circulent, car les gouvernements collaborent avec des entreprises privées pour mettre au point des solutions technologiques permettant de maîtriser le virus, comme des application de recherche des contacts. Chaque mise à jour relative aux symptômes et chaque inscription au registre d’un restaurant fournissent de plus en plus de renseignements sur la santé et les déplacements de populations entières. Même si cette situation peut donner l’impression que c’est Noël pour les employés du secteur des données, le traitement de ces renseignements de nature délicate nécessite une extrême prudence. Chaque solution proposée pour maintenir la santé publique comporte des risques liés à notre droit de la personne relativement à la confidentialité qui doivent être examinés attentivement; la surveillance de masse peut sembler orwellienne, mais elle n’est actuellement pas exclue. Les entreprises et les gouvernements doivent s’assurer que les données recueillies au moyen de ces solutions sont utilisées pour lutter contre le virus et qu’elles sont utilisées uniquement à cette fin.

De plus, les mesures d’urgence maintenant adoptées pour contrôler le virus, comme la production rapide d’applications médicales, posent de réels problèmes en matière de protection des données. Il existe de nombreux exemples : le programme britannique de dépistage et de traçage a récemment été accusé d’avoir enfreint le Règlement général sur la protection des données (RGPD), après avoir été lancé sans évaluation de son incidence sur la confidentialité4. Par ailleurs, le fait que les gouvernements se fient à des entreprises privées pour gérer les données publiques risque d’accroître les pouvoirs des principales plateformes de données et des acteurs principaux du domaine, ce qui amplifie les risques associés à la collecte de données, à la monétisation des données sur la santé et aux services qui pourraient porter atteinte à la confidentialité.

Enquête menée en collaboration

Entre 2017 et 2019, nous avons collaboré avec plus de 50 investisseurs institutionnels dans le cadre de l’initiative Principes pour l’investissement responsable des Nations Unies afin de travailler avec des entreprises sur les enjeux de cybersécurité et de protection des données.

Notre collaboration visait trois objectifs principaux :

  • Améliorer nos connaissances sur ce que les entreprises font pour gérer les risques liés à la cybersécurité (en particulier en évaluant leurs politiques et leurs structures de gouvernance)
  • Participer à un accroissement de la qualité de l’information divulguée et l’encourager
  • Présenter à plus grande échelle sur le marché l’orientation que nous entrevoyons et élaborer un régime de meilleures pratiques pour nous guider/li>

Les entretiens avec les entreprises ont révélé d’importantes lacunes dans l’information liée à cybersécurité divulguée au public. Certaines entreprises n’en sont encore qu’aux premières étapes quant à la compréhension de l’enjeu, tandis que d’autres craignent que divulguer trop d’information puisse involontairement faire en sorte que les pirates informatiques en profitent.

Toutefois, dans l’ensemble, les entreprises ont été très ouvertes aux échanges en privé et ont volontairement mis à la disposition leurs experts (habituellement des chefs de la sécurité de l’information ou des délégués à la protection des données) afin de donner aux investisseurs un bon aperçu de la façon dont ils gèrent les risques liés à la cybersécurité.

Attentes en matière de meilleures pratiques

Nous considérons les enjeux de cybersécurité et de confidentialité des données comme un élément clé du « G » (gouvernance) des facteurs ESG.

Supervision par le conseil d’administration

Les entreprises doivent s’assurer que la cybersécurité et la confidentialité des données sont des priorités organisationnelles. Nous nous attendons à ce que le conseil d’administration lui-même considère ces enjeux comme des éléments essentiels à l’ensemble de la stratégie d’affaires et soit sûr que les procédures les plus rigoureuses sont suivies. Lorsque nous communiquons avec les entreprises, nous cherchons à savoir de quelle façon les membres du conseil d’administration supervisent ces procédures. Par exemple, ont-ils accès à l’organisation? Rencontrent-ils des gestionnaires internes individuellement? À quels indicateurs clés de performance internes ont-ils accès?

Expertise

Nous nous attendons à ce qu’un expert attitré en cybersécurité siège au conseil d’administration ou à ce qu’il y ait une connaissance suffisante et à jour des risques connexes qui soit transmise aux membres du conseil d’administration. Par le passé, cela ne s’appliquait qu’aux entreprises axées sur la technologie, mais dans le monde de plus en plus numérique d’aujourd’hui, davantage d’entreprises sont fondamentalement axées sur la technologie et ont donc besoin de membres du conseil d’administration capables de gérer les cybermenaces.

Chaîne d’approvisionnement des données

Souvent, les données ne restent pas sur les serveurs de l’entreprise – elles sont transmises à des chaînes d’approvisionnement et, de plus en plus, à des tiers externes et au-delà. En tant qu’investisseurs ESG, nous sommes habitués à la mobilisation des chaînes d’approvisionnement liées à la main-d’œuvre et à l’environnement – nous devons maintenant l’appliquer aussi aux données. Nous nous attendons à ce que les entreprises appliquent des normes de cybersécurité et de confidentialité des données tout au long de leur chaîne d’approvisionnement et qu’elles soient en mesure de démontrer comment elles y veillent.

Barrière humaine

Lorsqu’il est question d’une stratégie relative à la sécurité d’une entreprise, votre solidité dépend de votre maillon le plus faible. Les cyberattaques impliquent souvent du piratage psychologique, qui consiste à manipuler d’autres personnes afin qu’ils commettent des erreurs. Par conséquent, chaque employé qui a accès au réseau d’une entreprise est un facteur de vulnérabilité. Nous nous attendons à ce que les entreprises créent une « barrière humaine » en développant au sein du personnel une culture où la cybersécurité et la confidentialité des données sont prioritaires et essentielles à ce que signifie être un employé au sein de cette entreprise.

Un examen rapproché de la culture organisationnelle

La direction peut aider à mettre en place une barrière humaine pour protéger ses activités en favorisant une culture organisationnelle efficace en matière de cybersécurité et de traitement responsable des données. Par exemple, elle pourrait faire en sorte que les règles entourant ces questions fassent partie des principes de base de l’entreprise. Cependant, les indicateurs clés de performance culturelle peuvent être difficiles à mettre en œuvre et à mesurer.

À BMO, nous mobilisons les banques depuis un bon moment. Nous croyons que le ton donné par la direction est important – elle doit s’assurer que les dirigeants d’entreprises assument la responsabilité de leurs agissements et que ces derniers sont éloquents, ce qui démontre ainsi la priorité accordée au fait d’aborder ces enjeux.

Parmi les autres moyens possibles d’établir la bonne attitude à adopter à l’égard de la cybersécurité et de la confidentialité des données, mentionnons notamment le fait de souligner de façon adéquate ces enjeux par la participation à des événements comme la Journée de la protection des données ou une formation efficace du personnel. Mais sur ce dernier point, il est important de noter que les vidéos dépassées relatives à la conformité avec lesquels nous sommes maintenant plus que familier ne suffisent plus. Les entreprises doivent maintenant aller au-delà des exigences minimales en matière de conformité pour s’assurer que la cybersécurité et la confidentialité des données sont prises au sérieux au sein de leur entreprise.

Dernières observations

La COVID-19 a perturbé nos vies professionnelles d’une manière qui semblait inimaginable pour beaucoup de gens auparavant. Les modèles de télétravail ont mis à rude épreuve la cybersécurité de nombreuses entreprises et organisations. Par ailleurs, les solutions technologiques visant à contrôler le virus pourraient s’avérer de sérieuses menaces pour notre droit de la personne relativement à la confidentialité si les données en cause ne sont pas traitées de manière responsable. Il doit y avoir un équilibre entre les priorités en matière de santé et nos droits en tant que citoyens, qui doivent être respectés, et ce, peu importe la crise.

Malgré tous les problèmes engendrés par le virus, il a également créé des occasions de mobiliser les investisseurs. Alors que les entreprises composent avec de nouveaux environnements de travail, le moment est plus propice que jamais pour les investisseurs de mobiliser la direction à l’égard de leurs stratégies de cybersécurité afin de s’assurer que ces stratégies sont suffisamment robustes à mesure que nous nous dirigeons vers un avenir axé sur le numérique.

Avis

Les points de vue et opinions sont ceux de BMO Gestion mondiale d’actifs et ne doivent pas être considérés comme des recommandations ou des sollicitations d’achat ou de vente des sociétés éventuellement mentionnées.

Les renseignements, opinions, estimations et prévisions qui figurent dans le présent document sont tirés de sources considérées comme fiables et peuvent changer à tout moment.

Articles sur des sujets connexes

No posts matching your criteria