Pour beaucoup d’entreprises, la cybersécurité constitue une priorité. Elle l’est encore davantage pour les fonds de capital-investissement et leurs sociétés de portefeuille, qui cherchent à maximiser le rendement.
Actuellement, pour les sociétés, les rançongiciels et les fraudes par courriel représentent les deux principales cybermenaces.
Bon nombre d’attaques au rançongiciel utilisent une tactique à double extorsion, c’est-à-dire que le fraudeur vole des renseignements, les chiffre, puis menace de les vendre ou de les rendre publics si la rançon n’est pas payée. Malheureusement, plusieurs pirates se trouvent dans un lieu sûr et peuvent facilement éviter d’être poursuivis par les autorités canadiennes.
La falsification de factures et les usurpations d’identité représentent les arnaques les plus courantes. Les fraudes par courriel constituent l’autre menace majeure. Par exemple, le fraudeur peut prendre le contrôle du compte d’un employé pour modifier l’information liée au paiement de factures. Il peut aussi usurper l’identité d’un fournisseur ou d’un partenaire d’affaires, ce qui se traduit par des opérations frauduleuses.
Même si toutes les entreprises sont des cibles potentielles, certaines sociétés de portefeuille font face à plus de cybermenaces que d’autres. En 2022, le Centre antifraude du Canada a remarqué que les secteurs les plus représentés étaient les gouvernements, les entreprises de livraison, le commerce de détail, les soins de santé et les services financiers.
Le secteur dans lequel une société exerce ses activités, le type de données confidentielles qu’elle recueille et stocke ainsi que les droits de propriété intellectuelle qu’elle détient influent sur son profil de risque lié à la cybersécurité. Les entreprises qui comptent des entités gouvernementales (fédérales, provinciales ou municipales) au sein de leur clientèle sont généralement des cibles de choix.
Les sociétés de portefeuille des fonds de capital-investissement ou celles qu’ils prévoient acquérir n’ont pas nécessairement de stratégie en matière de cybersécurité ou un programme efficace de gestion des cyberrisques. L’absence de contrôle diligent relatif à la cybersécurité peut donner lieu à un risque élevé.
Les sociétés de portefeuille sont toutes différentes, tout comme leurs profils de cyberrisque. Pour tirer le meilleur parti des efforts de sécurité, de bonnes méthodologies d’évaluation de l’ampleur des risques et des mesures d’atténuation adéquates sont essentielles.
Répercussions sur les évaluations
Comme bon nombre de fonds de capital-investissement misent sur la croissance et sur la maximisation de leurs sociétés de portefeuille, investir dans la gestion des cyberrisques est une excellente manière de préserver la valeur et de s’armer contre l’introduction de risques graves au sein de la société.
Oui, la création de valeur est importante, mais le fait de négliger les risques liés à la cybersécurité peut également exposer la société de portefeuille à des menaces additionnelles et en réduire la valeur lors du contrôle diligent. Un investissement dans des mesures de cybersécurité se traduit non seulement par une meilleure gestion des risques, mais aussi par des évaluations plus élevées. En cas de brèche informatique, il permet d’éviter les répercussions néfastes sur la société de portefeuille et une détérioration de sa valeur.
Des sociétés victimes de cyberattaques ont constaté une baisse de leur valeur. Par exemple, en 2017, Verizon a diminué son offre initiale pour Yahoo de 350 millions de dollars américains après que la société Internet a révélé avoir été victime de deux brèches de données. En décembre 2020, l’action de SolarWinds, entreprise de logiciels appartenant majoritairement à deux fonds de capital-investissement, a chuté de 40 % en une semaine après une atteinte à la sécurité d’agences gouvernementales américaines par l’intermédiaire de son produit.
Mesures préventives
Quels sont les auteurs de menaces? Des États-nations, des cybercriminels ou des amateurs de sensations fortes. Il leur est de plus en plus facile de mener une attaque, car ils ont accès à l’information en ligne par l’intermédiaire de forums, de plateformes de partage ou du Web profond.
Pour s’en prémunir, les fonds de capital-investissement doivent agir. L’équipe responsable des investissements et les hauts dirigeants des sociétés de portefeuille doivent se concerter pour protéger leurs activités. La cybersécurité est bien plus qu’une question d’informatique.
Ils ont donc tout intérêt à envisager les mesures suivantes :
Par-dessus tout, les fonds de capital-investissement ont intérêt à effectuer un examen indépendant plus formel des sociétés de portefeuille pour les surveiller et pour déterminer l’efficacité de chaque programme de cybersécurité afin d’assurer leur tranquillité d’esprit. À cette étape, un partenaire de confiance peut vous aider.
Comment pouvons-nous vous aider?
Nos Services-conseils en cybersécurité, composés de professionnels en technologies, ont proposé des solutions personnalisées et pratiques à des centaines de sociétés ouvertes et fermées de divers secteurs d’activité. Nos professionnels des Solutions en matière de capital-investissement savent comment les opérations sont structurées et conclues. Nous collaborons avec vous pour vous offrir des solutions qui conviennent à votre entreprise.