alphaspirit - Fotolia
Moody’s sanctionne Equifax pour ses dépenses en cybersécurité
L’agence donne ainsi un aperçu de la manière dont elle entend prendre en compte la sécurité informatique dans ses notes de solvabilité. Et cela ne va pas forcément simplifier la tâche des RSSI.
Moddy’s vient d’abaisser la note de solvabilité qu’il attribue à Equifax. D’aucuns pourraient être tentés d’imaginer qu’il s’agit de taper sur les doigts d’une entreprise qui s’est faite étriller à plusieurs reprises pour ses pratiques de sécurité : pour certains, l’intrusion de 2017 aurait pu être évitée si Equifax s’était montré plus rigoureux. Mais ce n’est pas l’impression que donne aujourd’hui Moody’s.
Interrogé par nos confrères de CNBC, un porte-parole de l’agence de notation explique sa décision. Certes, c’est la première fois que la cybersécurité est invoquée comme facteur dans un changement de perspectives. Surtout, c’est la première fois « que les retombées d’une brèche » ont un impact suffisant pour « contribuer à ce changement ». Mais quelles retombées et pourquoi, alors que cette inflexion intervient près de deux ans après l’incident ?
Selon nos confrères, il y a d’abord les 690 M$ provisionnés par Equifax pour faire face aux multiples et diverses procédures en cours à son encontre. Mais ce n’est pas tout, car Equifax investit significativement pour améliorer sa posture de sécurité : 114 M$ durant l’exercice 2017, 326 M$ au cours du suivant et probablement un montant comparable pour l’exercice 2019. Et Moody’s ne le voit pas vraiment d’un bon œil.
A nos confrères, un porte-parole de l’agence de notation indique ainsi estimer une facture à 400 M$ cette année, autant en 2020 et de l’ordre de 250 M$ pour l’exercice suivant. Au-delà, « les investissements d’infrastructure resteront probablement au-dessus de ce qu’ils étaient avant la brèche de 2017 ». Une bonne chose, peut-être ? Par pour Moody’s.
Pour l’agence, c’est une mauvaise nouvelle : « nous nous attendons à ce que ces coûts de cybersécurité plus élevés continuent à pénaliser les bénéfices et les liquidités disponibles de l’entreprise », au moins pour un certain temps.
Moody’s travaille depuis plusieurs années à la prise en compte du risque cyber dans ses analyses de solvabilité. Mais jusqu’ici, cela pouvait paraître encore très théorique et abstrait. Equifax donne peut-être une première illustration de ce qui est à venir.