Comment les marchés financiers réagissent aux cyberattaques impactant les sociétés financières ?

HAL Id: hal-02881359

https://hal.archives-ouvertes.fr/hal-02881359

Preprint submitted on 25 Jun 2020

HAL is a multi-disciplinary open access

archive for the deposit and dissemination of sci-entific research documents, whether they are pub-lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

Comment les marchés financiers réagissent aux

cyberattaques impactant les sociétés financières ?

Amandine Iat

To cite this version:

Amandine Iat. Comment les marchés financiers réagissent aux cyberattaques impactant les sociétés financières ?. 2020. �hal-02881359�

Comment les marchés financiers réagissent aux

cyberattaques et incidents SSI impactant les sociétés

financières ?

IAT Amandine

ESSCA

RÉSUMÉ

Les sociétés financières ont connu d’importants bouleversements numériques dans l’objectif de s’adapter aux nouveaux besoins des consommateurs. A présent, ces sociétés sont dépendantes au cyberespace et doivent faire face à de nouveaux risques. Notre étude s’intéresse à la réaction des marchés financiers à l’annonce des cyberattaques et des incidents SSI impactant les sociétés financières. Nous avons mené ce travail de recherche en utilisant la méthodologie de l’étude d’évènements. Les résultats suggèrent que les marchés financiers réagissent hostilement à l’annonce des cyberattaques menées à l’encontre des sociétés financières. Par ailleurs, l’ampleur et la vitesse de réaction des marchés financiers dépendent de plusieurs facteurs (typologie de l’attaque, secteur financier impacté et places boursières). Nos résultats indiquent que tous les marchés financiers réagissent vivement à l’annonce publique des cyberattaques et incidents SSI. Toute l’économie repose sur la confiance des clients des sociétés financières a géré et conserver leurs avoirs. Dès lors, les sociétés financières doivent, pour préserver leurs actifs, investir plus massivement dans les projets de cybersécurité.

Introduction

La mondialisation et le développement du cyberespace provoquent d’importants changements au sein de notre société. A l’heure de la digitalisation et de la course effrénée après le temps, nos données personnelles n’ont jamais été aussi exposées. Michel VOLLE, économiste et informaticien, va même jusqu’à employer le terme d’Iconomie pour caractériser cette nouvelle ère et la définit comme étant « la société dont l’économie, les institutions et les modes de vie

s’appuient sur la synergie de la microélectronique, du logiciel et d’internet. » (Volle, 2006)1

. Dès lors, les entreprises et sociétés financières ont connus des bouleversements numériques drastiques dans l’objectif de s’adapter aux nouveaux besoins des consommateurs. Néanmoins, les organisations devenues dépendantes au cyberespace se trouvent à présent confrontées à de nouvelles problématiques et doivent être préparées « aux attaques massives opérées via les

réseaux informatiques et visant l’exfiltration d’informations confidentielles »2

(D’Elia, 2014). Mentionné pour la première fois par William Gibson, celui-ci qualifiait le cyberespace d’« hallucination consensuelle vécue quotidiennement par des dizaines de millions d’opérateurs dans tous les pays » (Gibson, 1984). Aujourd’hui, la norme ISO 27032 « Guidelines for cybersecurity », le décrit comme étant un environnement virtuel qui n’existe sous aucune forme physique. Il s’agirait alors d’un espace complexe ou d’un environnement résultant de l’émergence d’internet, ainsi que des personnes, des organisations et des activités sur tous les types de dispositifs technologiques et réseaux qui y sont connectés.

Dans ce contexte, la cybersécurité et la sécurité des systèmes d’information sont aujourd’hui au cœur des préoccupations des organisations puisqu’elles ont un impact sur leur valeur financière et

leur rentabilité (Hennion et Makhlouf, 2018)3. En effet, les cyberattaques génèrent à la fois des

impacts financiers directs (valeur des actifs physiques, des logiciels et de l’information, sanctions des autorités nationales et internationales compétentes) et indirects (pertes de confiance des clients et des investisseurs).

1 _{( iconomie, Michel Volle, Economica, 2014, p. 11.)} 2

(La guerre économique à l'ère du cyberespace Danilo D’Elia Dans Hérodote 2014/1-2 (n° 152-153), pages 240 à 260) 3

Plus précisément, « comprendre le véritable impact des cyberattaques sur le rendement boursier est crucial dans la détermination du montant des investissements à placer dans les activités de

sécurité »4 (Arcuri et al., 2017) et de gestion de risques.

Les entreprises sont exposées à des attaques de différents types. Il est nécessaire de distinguer les cyberattaques des incidents relevant de la sécurité des systèmes de l’information (SSI) qui ne sont pas qualifiés de « cyber ». On entend par incident SSI, un incident portant atteinte à la disponibilité, l’intégrité, la confidentialité ou la piste d’audit d’une ressource, d’un service SI ou d’une information (norme ISO 27032). Un incident lié à la cybersécurité (cyberattaque) reprend la même définition mais a lieu dans le cyberespace. Dès lors, un incident de cybersécurité est un incident de sécurité des systèmes d’information mais la réciproque n’est pas vraie puisqu’il existe des incidents SSI non-cyber tel que l’utilisation d’une clé USB malveillante sur un poste de travail (exemple donné par le groupe BPCE).

A travers cette étude, nous prendrons en considération l’ensemble des incidents évoqués précédemment et nous procèderons à une analyse comparative détaillée de leurs effets sur l’entreprise.

Quelques travaux de recherche se sont intéressés aux conséquences économiques générées par l’annonce publique d’incidents de sécurité des systèmes d’information. Les premières études menées ont présenté des résultats assez mitigés. Campbell, Gordon et Loeb (2002), Hovav et D’arcy (2003) ont ainsi démontré que les incidents de sécurité des systèmes d’information dévoilés au public ne produisaient pas systématiquement des impacts économiques significatifs. Les plus récentes ont prolongé ces études et ont cherché à établir une corrélation entre l’origine de ces incidents et leurs conséquences (Goel et Shawky 2009 ; Odulaja et Wada 2012 ; Morse et al., 2011 ; Parameswaran et al. 2013 ; Arcuri et al.,2017).

Les méthodologies employées et les résultats de ces études sont très similaires. Ainsi, l’annonce des cyberattaques génère bien un impact négatif sur la performance financière des entreprises concernées. En revanche, les réactions des marchés financiers ne sont pas les mêmes suivant le type d’attaque subi et le degré de confidentialité des données ciblées. Plus précisément, il semblerait que les investisseurs soient plus sensibles aux attaques ayant des répercussions sur la

4

“Understanding the true impact of cyber attacks on stock market returns is crucial in deciding investment levels in information

sécurité des données des entreprises proposant des services financiers (Morse et al., 2011).5 Ces résultats ont également été démontrés et confirmés par Acuri et al. (2017). Ces deux études soulignent que les attaques révélées au grand public (non-confidentielles) font baisser beaucoup plus significativement la valeur boursière des établissements bancaires concernés. Cependant, ces recherches ne détaillent pas suffisamment l’ampleur des impacts selon le type d’attaque concerné et n’effectuent pas de comparaison entre les données historiques récoltées et les données plus récentes.

Jusqu’à présent, aucune étude ne s’est focalisée exclusivement sur les répercussions des cyberattaques sur la valeur de marché des sociétés financières concernées. Or, au cours de ces dernières années les cyberattaques sont devenues sophistiquées et agressives obligeant les banques et institutions financières à renforcer leur système de sécurité. En effet, selon une étude menée par F-Secure, le nombre de cyberattaques aurait augmenté de 32% en 2018 et les attaques envers les banques sont de plus en plus généralisées et ciblées. Cela est d’autant plus vrai que les sociétés financières vivent une transformation numérique et digitale qui se traduit par le

développement du mobile banking6, des banques en ligne et du cloud based payment7 (Béziade &

Assayag, 2014).

Face à ces transformations numériques, les hackers ont développé le vol de données à grande échelle, comme le révèlent les fréquentes attaques par malwares d’APT38 qui auraient affecté plus de 16 institutions financières à travers 11 pays différents depuis 2015. Les hackers actuels agissent désormais pour des raisons pécuniaires plutôt que par malveillance en privilégiant notamment la revente de données sensibles et personnelles, le détournement d’argent ou encore le

vol d’actifs financiers (Lee Fischer, 2017)8

. Dès lors, les cyberattaques peuvent nuire à la stabilité économique et financière mondiale puisque les sociétés financières proposent des produits et des services interconnectés. De plus, ils disposent de données personnelles sensibles fortement convoitées favorisant leur exposition aux incidents SSI. C’est pourquoi ces menaces et les failles

5

« Investors are more sensitive to the data security impact in the financial services sector » (Morse et al, 2011) 6

« Le mobile banking est l’ensemble des techniques qui permettent d’effectuer des opérations bancaires à partir d’un téléphone portable, d’un mobile, d’une tablette ou d’un Smartphone. Il s’agit d’une mise en relation technique, à distance et sans fil, d’une institution financière avec ses clients. » Meilleurebanque.com

7

« Service de paiement en ligne mis à disposition de l’utilisateur / du client via un serveur Cloud ». Impact du numérique sur la banque et ses clients

8

des systèmes de sécurité de l’information représentent désormais un risque potentiellement systémique.

Ainsi, la cybersécurité est progressivement devenue une préoccupation majeure pour les Etats et les sociétés financières puisque les conséquences des cyberattaques et des incidents SSI non-cyber peuvent s’avérer désastreuses notamment en termes de réputation et de pertes de confiance des clients et des investisseurs. Dans ce cadre, nous cherchons à apporter des éléments de réponse à la question suivante : comment les marchés financiers réagissent-ils aux cyberattaques et aux incidents SSI non-cyber impactant les sociétés financières ?

Pour pouvoir mener à bien ce travail de recherche, nous élaborerons tout d’abord une revue de littérature des différents travaux de recherche conçus autours de ce sujet. Nous étendrons également nos recherches aux plateformes de cryptomonnaies et aux agences de notation de crédit.

Ensuite, dans la continuité des articles et ouvrages évoqués précédemment, nous émettrons plusieurs hypothèses concernant la réaction des acteurs des marchés financiers. Afin de les évaluer et de les vérifier, nous mènerons une étude d’évènements basée sur la théorie de l’efficience de marché. Il s’agira alors de mettre en exergue la réaction des différents acteurs de marché à l’annonce d’un cyber-incident ou d’un incident SSI non-cyber en mesurant l’écart constaté entre la rentabilité réelle de l’actif étudié et la rentabilité théorique qui aurait dû être observée si l’incident ne s’était pas produit.

Cette étude sera élaborée à partir d’un échantillon de 115 incidents déclarés dans la presse et les médias ayant eu lieu de 2003 à 2019. La collecte de ces informations nous permettra d’affiner notre recherche, analysant l’ampleur des impacts sur les cours boursiers en fonction du type d’attaque subi.

Enfin, nous présenterons les résultats de cette étude découlant de notre méthodologie hypothético-déductive. Nous exposerons également les limites de cette recherche et nous ouvrirons la réflexion sur des sujets qui mériteraient d’être poursuivis.

Revue de littérature

Les pratiques de « hacking »9 et de piratage informatique sont apparues au début des années 1970

(Hennion et Maklouf, 2018)10. De nos jours, les méthodes employées par les hackers11 sont de

plus en plus sophistiquées et représentent une véritable menace pour les entreprises. Selon une

étude menée par Gartner12 (société de conseil et de recherche dans le domaine informatique), les

dépenses mondiales relatives à la cybersécurité sont de l’ordre de 96 milliards d’euros en 2018 et sont estimées à 152 milliards d’euros en 2020. L’importance de ces montants investis dans la cybersécurité s’explique notamment par les pertes subies par les entreprises attaquées.

De nombreuses études se sont intéressées aux répercussions financières engendrées par les cyber-incidents. Dans un premier temps, nous verrons qu’il existe plusieurs manières de mesurer l’impact financier produit par un incident SSI ou une cyberattaque.

Ensuite, nous présenterons les résultats des recherches qui se sont intéressées aux caractéristiques des cyberattaques et des entreprises impactées. Enfin, nous montrerons dans quelle mesure cette étude s’inscrit dans la continuité des différents travaux de recherche précédemment réalisés et présenterons nos hypothèses retenues dans le cadre de notre travail de recherche.

Notre revue de littérature portera sur l’ensemble des articles étudiés qui sont synthétisés ci-dessous (tableau 1).

9 _{« L’activité qui consiste à modifier l'un des éléments d'un logiciel et/ou d'un matériel afin que celui-ci puisse avoir un comportement (une} utilité) autre que celui (celle) pour lequel il a été conçu. Le terme se rapproche sensiblement du piratage informatique. »

https://www.journaldunet.fr/

10

(Cyber-sécurité, Romain Hennion et Anissa Maklouf dans Eyrolles p.47, 2018) 11

« Personne qui, par jeu, goût du défi ou souci de notoriété, cherche à contourner les protections d'un logiciel, à s'introduire frauduleusement dans un système ou un réseau informatique. ». Larousse.fr

12

Auteurs Période étudiée Echantillon Type d'étude sujet résultats Ettredge et Richardson

(2003) 7 - 9 Février 2000 299 étude d'évènements

Evaluation des réactions des acteurs des marchés financiers à l'annonce d'attaques par DoS

Les conséquences boursières observées à la suite de l’annonce d’une cyberattaque dépendent de la taille de l’entreprise et du secteur d’activité concerné. Garg et al. (2003) 1996 - 2002 22 étude d'évènements

Evaluation des réactions des marchés financiers suite à l'annonce des violations de la sécurité informatique

Le coût de ces incidents peut atteindre jusqu’à 1% du chiffre d’affaires réalisé sur l’année

Campbell et al. (2003) 1995 - 2000 84 étude d'évènements

Classification par nature de l’attaque avec ou sans réussite à accéder aux données confidentielles

Le vol de données confidentielles (par exfiltration) affecte de manière plus conséquente la valeur de l’entreprise. Son impact financier est non-négligeable comparé aux autres formes d’attaques étudiées (DDOS, malwares et malvertisings).

Hovav et D’arcy (2003) 1998 - 2002 25 étude d'évènementsAttaques par DoS et leurs répercussions sur le cours de l'action des entreprsies victimes

L’annonce des DDOS n’a pas eu de répercussion manifeste sur le marché.

Les conséquences boursières observées à la suite de l'annonce des DDOS dépendent du secteur d’activité concerné (e-commerce et entreprises web plus affectées)

Cavusglu et al. (2004) 1996 - 2001 66 étude d'évènements

Evaluation des réactions des marchés financiers suite à l'annonce d'un incident SSi ou cyberattaque (entreprises attaquées et développeurs de logiciels informatiques)

Une baisse anormale des cours des actions le jour de l’annonce de l’incident (en moyenne -0.86%) et le jour suivant (en moyenne -1.23%). Plus généralement, après la révélation de l’incident, les entreprises affectées ont perdu en moyenne 2,1% de leur valeur de marché.

Les entreprises de petites tailles sont plus sévèrement affectées par les cyber-incidents et incidents SSI. Hovav et D’arcy (2004) 1988 -2002 186 étude d'évènementsAttaques par Virus et leurs répercussions sur

la valeur boursière des entreprises

Absence de réaction négative des marchés financiers à l’annonce d’une attaque menée par virus informatique sur les 10 jours suivants la publication de l’attaque Ko et Dorantes (2006) 1997 - 2003 19 étude comptable

Impact d'une annonce d'une cyberattaque sur la performance financière d'une entreprise

4 ratios de performance analysés, seul le ROA est affaibli

Acquisti et al. (2006) 2000 - 2005 79 étude d'évènementsEtude menée sur la nature et les caractéristiques de l'attaque

La répercussion de l’évènement est plus importante le jour de l’annonce

la situation financière de l’entreprise se rétablit systématiquement trois jours après l’apparition de l’évènement

Kannan et al. (2007) 1997 - 2003 72 étude d'évènementsLa nature de l'attaque fait varier l'ampleur de la réponse des marchés financiers

Les marchés financiers réagissent de manière hostile à l’annonce d’une attaque menée par virus ou par DDOS. Ishiguro et al. (2007) 2002 - 2005 70 étude d'évènementsEffet de la publication des cyberattaques sur

les entreprises Japonaises

Une même société attaquée mais cotée sur des places boursières différentes verra le cours de son action varier différemment

Hovav et Andoh

Baïdoo (2007) 1990 - 2003 185 étude d'évènements

Classification par profil du hacker, motivations du hacker, types d'attaques, résultats des attaques, moyens employés et mode d'accès

Les marchés sanctionnent plus sévèrement les entreprises victimes d’attaques perpétrées par des pirates informatiques non-professionnels.

La réaction des marchés financiers diffère en fonction des caractéristiques des attaques étudiées.

Les moyens et outils employés par les hackeurs exercent une influence notable sur les résultats obtenus. Des anomalies de rentabilité sont observées lorsque les hackers recourent aux scripts tandis que l’annonce d’attaques par malwares (virus, vers Cheval de Troie) ne semble pas particulièrement perturber les marchés financiers.

Ce retentissement est cependant plus faible que celui provoqué par des attaques mettant en péril la confidentialité des données de l’entreprise. Telang et Wattal (2007) 1999 - 2004 147 étude d'évènements

Evaluation du cours des actions des fabricants des logiciels attaqués par cyberattaques

Les entreprises perdent en moyenne 0.6% de leur valeur de marché quand la vulnérabilité est publiée.

Leung et Bose (2008) 2003 - 2007 2994 étude d'évènements

Attaques par phishing et leurs répercurssions sur le cours de l'action des entreprises

Les grandes entreprises souffrent de pertes financières plus conséquentes

Goel et Shawky. (2009) 2004 - 2008 168 étude d'évènements

Failles de la sécurité des SI et leurs répercussions sur le cours de l'action des entreprises américaines affectées

Les rentabilités observées deux jours précédant l’annonce présentaient des anomalies et celles-ci ont été plus importantes le jour de l’annonce et le jour suivant l’annonce.

L’entreprise peut perdre en moyenne jusqu’à 1% de sa valeur de marché les jours suivants l’annonce d’un cyber-incident.

Andoh Baidoo et al.

(2010) 1997 - 2003 41 étude d'évènements

Comparaison hackers professionnels et hackers non-professionnels

Les acteurs des marchés financiers ont tendance à sanctionner plus sévèrement les entreprises victimes d’attaques perpétrées par des pirates informatiques non-professionnels

Gordon et al. (2011) 1995 - 2007 121 étude d'évènements

3 différentes catégories d’incidents ont été répertoriées : les incidents ayant permis aux hackers d’avoir accès à des informations confidentielles , les violations générant un impact sur la disponibilité de l’information (DDOS) et les attaques ayant affecté « l’intégrité de l’information »

Les violations générant un impact sur la disponibilité de l'information est le paramètre ayant le plus affecté la valeur de marché des entrerpises attaquées. Morse et al. (2011) 2000 - 2010 306 étude d'évènementsComparaison sur 3 secteurs d'activité: retail,

services financiers et industriels

Des anomalies de rendement des actions des institutions financières attaquées ont été observées

Arcuri et al. (2017) 1995 - 2015 226 étude d'évènementsComparaison entre le secteur financier et les secteurs non-financiers

Variations des cours évidentes le jour et le lendemain de la divulgation de l’attaque sur le secteur financier et les

Impact financier lié à l’annonce de cyberattaques et incidents SSI

Pour estimer l’impact financier d’un cyber-incident, Ko et Dorantes ont évalué la performance financière des entreprises étudiées en utilisant une approche comptable à travers l’analyse de quatre ratios de performance (ROA, ROS, OI/A et OI/S). Pour mener à bien cette étude, un seul

type d’incident a été considéré13_{, à savoir l’accès non autorisé à des données confidentielles.}

L’échantillon de cette étude portant sur des données de 1997 à 2003, est de petite taille (N=19). Les résultats obtenus montrent que la rentabilité des actifs (ROA) a diminué au cours du troisième trimestre suivant la survenue de l’attaque. Néanmoins, les performances financières des entreprises attaquées étudiées sont restées plutôt stables au cours des quatre trimestres consécutifs post attaque.

La performance comptable peut sensiblement différer de la performance financière (Peillex & Ureche-Rangau, 2016 ; Benlemlih & Peillex, 2019 ; El Ouadghiri & Peillex, 2020 ; Peillex et Comyns, 2020). Alors, d’autres travaux de recherche ont été réalisés et se sont focalisés sur la valeur de marché de l’entreprise en menant des études d’évènements. Cette approche statistique permet de mesurer l’impact d’une attaque sur le cours de l’action de l’entreprise. Le cours de la valeur de marché de l’entreprise reflète d’autres paramètres, des éléments intangibles tels que la confiance des clients, des investisseurs et des partenaires commerciaux (Ko et Dorantes, 2006) ou l’avantage compétitif de la firme (la place qu’elle occupe au sein de son marché) et sa réputation (D’Amico, 2000).

Suivant cette méthodologie, Cavusglu et al. (2004) ont démontré qu’il existait une corrélation significative entre l’annonce d’un cyber-incident ou incident SSI et la valeur de marché de l’entreprise attaquée. L’échantillon a été élaboré à partir de la révélation de 66 incidents produits entre 1996 et 2001. En comparant les rentabilités théoriques aux rentabilités observées, Cavusglu et al. ont constaté une baisse anormale des cours des actions le jour de l’annonce de l’incident (en moyenne -0.86%) et le jour suivant (en moyenne -1.23%). Plus généralement, après la révélation de l’incident, les entreprises affectées ont perdu en moyenne 2,1% de leur valeur de marché.

(Cavusglu et al., 2004)14.

13

« unauthorized access to confidential data » (Ko et Dorantes, 2006) 14

“On announcement day (t = 0), an average of –0.86 percent abnormal returns was observed. The stocks realized, on average,

Une étude similaire, réalisée sur la même période par Garg et al. (2003), corrobore ce constat. De plus, elle met en évidence que le coût de ces incidents peut atteindre jusqu’à 1% du chiffre

d’affaires réalisé sur l’année au cours de laquelle l’incident s’est produit. 15

Ces résultats convergent avec les conclusions plus récentes apportées par Goel et Shawky (2009). Ceux-ci ont réalisé une étude à partir d’un échantillon plus important (N=168), sur des données d’annonces publiques d’incidents de sécurité informatique et cyberattaques ayant eu lieu entre 2004 et 2008. « Les rentabilités observées deux jours précédant l’annonce présentaient des anomalies et celles-ci ont été plus importantes le jour de l’annonce et le jour suivant

l’annonce »16

(Goel et Shawky, 2009). Selon les résultats obtenus, l’entreprise peut perdre en moyenne jusqu’à 1% de sa valeur de marché les jours suivants l’annonce d’un cyber-incident. Ces trois études précédentes suggèrent que l’impact financier serait de plus grande ampleur les jours suivants la révélation de l’incident tandis que les recherches menées par Acquisti et al.

(2006) montrent que la répercussion de l’évènement est plus importante le jour de l’annonce. D’autre part, ils précisent que la situation financière de l’entreprise se rétablit systématiquement

trois jours après l’apparition de l’évènement. Or, les précédentes études présentent des périodes de retour à l’équilibre différentes.

Dès lors, on peut supposer que d’autres facteurs influencent les résultats obtenus. C’est pourquoi de nombreuses études se sont intéressées aux paramètres susceptibles d’influencer les rentabilités observées.

abnormal return over the event window. Compromised firms lost, on average, around 2.1 percent of their market value within the two days surrounding the events”(Cavusglu et al., 2004)

15

“We estimate that security incidents can cost companies between $17 and $28 million per incident or 0.5 to 1.0 percent of

annual sales for the average publicly listed company.” (Garg et al., 2003)

16

“In two of the three days prior to the security breach, we observed negative and statistically significant abnormal returns.

Moreover, there was a negative effect on the returns of these firms on the day of the event with a highly significant negative impact occurring on the day following the incident.” (Goel et Shawky, 2009)

Etudes sur la nature des attaques

De nombreux chercheurs ont pris en considération la nature de l’attaque afin d’expliquer ces différences constatées. Les attaques peuvent prendre les formes suivantes :

- d’APT17(Menace persistante avancée)

- de défiguration de sites web18

- de déni de service (DDOS)19

- de malvertising20(insertion de logiciels malveillants dans les publicités)

- de malware21(virus, vers informatique)

- de ransomware22(blocage de l’accès aux données de l’entreprise)

- de phishing23(hameçonnage)

- de watering hole24(attaque via des sites fréquemment consultés par l’entreprise)

- d’exfiltration et de divulgation de données25.

Campbell et al. (2003) ont évalué les conséquences financières pouvant être générées par des méthodes d’exfiltration et de divulgation de données. Il s’agit d’une étude comparative pour mettre en évidence les différences constatées entre les attaques ayant permis aux hackers d’avoir accès aux informations confidentielles et non-confidentielles. Pour mener à bien cette étude, 84 éléments ont été recueillis entre janvier 1995 et décembre 2000. Selon les résultats obtenus, il semblerait que les dommages financiers occasionnés ne soient pas similaires pour les deux types

17

« Une advanced Persistent Threat ou menace persistante avancée est un piratage informatique qui vise à placer du code malveillant personnalisé sur des postes de travail. Et ceci en restant inaperçu le plus longtemps possible » L’essentiel de la cybersécurité pour les dirigeants, édition Eyrolles.

18 _{« L’attaque consiste à modifier le contenu du site web, par exemple la page d’accueil qui peut alors devenir un écran noir, ou} bien afficher les revendications politiques ou idéologiques des hackers » L’essentiel de la cybersécurité pour les dirigeants, édition Eyrolles.

19

« Consiste à rendre indisponible un serveur, principalement en le saturant par un trop grand nombre de requêtes simultanées. » L’essentiel de la cybersécurité pour les dirigeants, édition Eyrolles.

20

« (Malicious advertising) Utilise les publicités en ligne pour diffuser des logiciels malveillants » L’essentiel de la cybersécurité, édition Eyrolles.

21

« Programme informatique dans le but de nuire. Virus, vers, cheval de Troie sont des malwares très répandus. » L’essentiel de la cybersécurité, édition Eyrolles.

22

« Programme informatique qui bloque l’accès aux données tant qu’une rançon n’a pas été payée » L’essentiel de la cybersécurité, édition Eyrolles.

23

« Consiste à usurper une identité afin d’obtenir des renseignements personnels ou des identifiants bancaires pour en faire un usage personnel » L’essentiel de la cybersécurité, édition Eyrolles.

24

« S’appuie sur les habitudes de navigation d’individus travaillant pour une entreprise cible » L’essentiel de la cybersécurité, édition Eyrolles.

25

« Les hackers s’infiltrent dans les réseaux pour s’emparer de données confidentielles et les publier. Leur objectif est de montrer que le site de leur victime est peu sécurisé, et de porter ainsi atteinte à son image. » L’essentiel de la cybersécurité, édition Eyrolles.

d’attaques étudiés. Ainsi, le vol de données confidentielles (par exfiltration) affecte de manière plus conséquente la valeur de l’entreprise. Son impact financier est non-négligeable comparé aux autres formes d’attaques étudiées (DDOS, malwares et malvertisings).

Les résultats obtenus par Hovav et D’arcy (2003) confirment les conclusions avancées par Campbell et al. (2003). Ceux-ci se sont exclusivement focalisés sur les répercussions financières occasionnées par les attaques par dénis de services (DDOS) à l’encontre des entreprises. Ils constatent que l’annonce des DDOS n’a pas eu de répercussion manifeste sur le marché, la valeur des entreprises n’ayant pas varié de manière significative.

A l’inverse, une étude réalisée la même année par Ettredge et Richardson montre que les entreprises attaquées par DDOS ont subi une perte de valeur sur trois jours (rentabilités négatives). De plus, Ettredge et Richardson ont comparé des entreprises concurrentes similaires, en tailles et fonctionnement, n’ayant pas été victimes d’attaques par DDOS. Les résultats montrent que ces entreprises ont également enregistré des rentabilités anormales au cours de la période étudiée. Précisons cependant que les entreprises sélectionnées pour cette étude sont

spécialisées dans le e-commerce et les services web26. Cela laisse supposer que la réaction des

marchés financiers pourrait varier en fonction du secteur d’activité concerné. De surcroît, il pourrait être intéressant d’étudier la réaction des marchés financiers à la suite de l’annonce d’une attaque menée par DDOS en fonction des secteurs d’activité.

Néanmoins, ces deux études présentent la même limite, à savoir la taille de l’échantillon observé. En effet, l’étude menée par Hovav et D’arcy (2003) a été conçue à partir d’un échantillon restreint (N=25). D’autre part, l’étude menée par Ettredge et de Richardson (2003) s’intéresse à une seule et unique attaque informatique sur plusieurs entreprises ayant eu lieu au mois de février 2000. Seuls les secteurs de l’e-commerce et des services web ont été étudiés.

Hovav et D’arcy (2004) ont élargi la taille de l’échantillon observé en étudiant la réaction des marchés financiers à l’annonce d’une attaque commise par l’introduction d’un virus informatique ou malware. Les évènements (N=186) ont été recueillis sur une période de 15 ans. Leur analyse approfondie met en évidence l’absence de réaction négative des marchés financiers à l’annonce

26

“This study focuses on the stock market reaction to denial of service attacks against certain well-known Internet firms in

d’une attaque menée par virus informatique. En effet, aucune anomalie de rentabilité n’a été détectée sur les 10 jours suivants la publication de l’attaque.

Néanmoins, ces résultats sont en désaccord avec les conclusions des études dirigées par McAfee et Haynes (1989) et aussi par Kannan et al. (2007). Kannan et al. ont démontré que les marchés financiers réagissent de manière hostile à l’annonce d’une attaque menée par virus ou par DDOS. Cependant, on constate que ces anomalies de rentabilités ne sont pas systématiques.

Ainsi, toutes ces études ne nous permettent pas d’établir une corrélation évidente entre la nature de l’incident et la réaction des marchés financiers. C’est pourquoi d’autres caractéristiques ont fait l’objet d’études approfondies.

Les travaux de recherche menés par Hovav et al. (2007) confirment certains constats précédemment évoqués. Les évènements (N=185) utilisés pour cette étude ont été triés et classés selon trois critères. Le premier critère est le préjudice subi (altération des données de l’entreprise, déni de service, vol de service, divulgation d’informations confidentielles). Le second critère est le mode d’accès utilisé (attaques internes ou externes) et enfin les moyens employés par les hackers (scripts ou malwares). Hovav et al. (2007) ont mis en évidence que la réaction des marchés financiers diffère en fonction des caractéristiques des attaques étudiées.

Plus précisément, les moyens et outils employés par les hackeurs exercent une influence notable sur les résultats obtenus. Des anomalies de rentabilité sont observées lorsque les hackers

recourent aux scripts27 tandis que l’annonce d’attaques par malwares (virus, vers Cheval de

Troie) ne semble pas particulièrement perturber les marchés financiers, la valeur de l’entreprise reste alors stable et cohérente avec les rentabilités théoriques calculées.

Par ailleurs, cette étude montre que la réaction des marchés financiers varie également en fonction du préjudice subi sur l’entreprise. Contrairement aux conclusions avancées en 2003 par Hovav et D’arcy, cette étude de 2007 montre que les attaques impliquant un déni de service provoquent également une réaction des marchés financiers. Ce retentissement est cependant plus faible que celui provoqué par des attaques mettant en péril la confidentialité des données de l’entreprise.

27

« désigne un programme (ou un bout de programme) chargé d'exécuter une action pré-définie quand un utilisateur réalise une action ou qu'une page web est en cours d'affichage sur un écran. » Journaldunet.fr

Gordon et al. (2011) ont également étudié l’impact des rendements boursiers des entreprises en fonction des préjudices subis par les cyber-incidents. Trois types de préjudices ont été répertoriés.

Le premier est l’accès des hackers aux informations confidentielles28, le second est l’affectation

de la disponibilité de l’information29(DDOS) et enfin le troisième est l’affectation de l’intégrité

des données de l’entreprise 30(Gordon et al., 2011).

Les conclusions présentées vont à l’encontre des résultats précédemment évoqués. Les incidents de défaut de disponibilité de l’information (DDOS) auraient un impact plus significatif sur la valeur boursière de l’entreprise attaquée.

Ainsi, l’ensemble des études qui se sont intéressées aux caractéristiques des cyber-incidents présentent des conclusions différentes et parfois contradictoires. On en déduit que d’autres paramètres sont à prendre en considération pour pouvoir évaluer avec plus de précision les pertes financières liées à la révélation d’une cyberattaque ou d’un incident SSI.

Etudes sur les motivations et profil des hackers

D’autres chercheurs se sont intéressés aux réactions des marchés financiers en fonction du profil du « hacker » et de ses motivations. L’étude menée par Andoh Baidoo et al. (2010) démontre que les acteurs des marchés financiers ont tendance à sanctionner plus sévèrement les entreprises victimes d’attaques perpétrées par des pirates informatiques non-professionnels (hackers motivés par le gain ou par le simple sabotage) plutôt que celles affectées par des attaques de plus grande envergure, conçues par des hackers professionnels (qualifiables dans certains cas « d’attaques terroristes »). Ces résultats sont également vérifiés par les travaux exploratoires réalisés par Morse et al. (2011) et Hovav et Andoh Baidoo (2007). Les marchés financiers sanctionnent la faiblesse de la sécurité informatique des entreprises (système de protection inefficace) lorsque celles-ci sont menacées par des pirates informatiques non-professionnels (Andoh Baidoo et al., 2010).

Etudes portant sur la taille de l’entreprise et le secteur d’activité

28

“breaches that allow unauthorized users access to confidential information” 29

“breaches that prevent authorized users of information from having access to such information on a timely basis, which include

breaches that are often referred to as “denial of service” [DOS]”

30

Les études conduites par Ettredge et Richardson (2003), Hovav et D’arcy (2003), Cavusglu et al. (2004), Yeh et Chang (2007), Leung et Bose (2008) se sont penchées sur les caractéristiques de l’entreprise attaquée. Elles laissent supposer que les conséquences boursières observées suivant l’annonce d’une cyberattaque dépendent de la taille de l’entreprise et du secteur d’activité concerné.

Les études portant sur la taille de l’entreprise affichent des résultats contradictoires. En effet, Cavusglu et al. (2004) indiquent que les entreprises de petites tailles sont plus sévèrement affectées par les cyber-incidents et incidents SSI tandis que l’étude menée par Leung et Bose (2008) démontre que les grandes entreprises ont leur cours de Bourse plus fortement impactés. Cependant, les caractéristiques des incidents, les périodes et la taille des échantillons de ces études diffèrent. C’est pourquoi une étude plus récente réalisée par Das et al. (2012) propose de mettre en évidence les corrélations liées à l’impact financier des cyberattaques en analysant à la fois les caractéristiques des entreprises cibles et la typologie des attaques. Leurs résultats mettent en évidence que plus les entreprises sont de faibles tailles et ont une activité concentrée sur le web plus elles sont sanctionnées par les marchés financiers.

Ces résultats corroborent les études conduites par Ettredge et Richardson (2003) et Hovav et D’arcy (2003). D’autre part, les études menées par Leung et Bose (2008) et Yeh et Chang (2007) confirment également ces résultats et précisent que les sociétés très affaiblies par les cyberattaques et incidents SSI sont souvent les entreprises spécialisées dans les technologies de l’information, les hautes technologies, les services web, le numérique et la télécommunication. De plus, ces deux dernières études montrent également que les institutions financières sont touchées par ces attaques mais de façon plus atténuée. Cependant, ce résultat est à nuancer puisque le secteur financier est sous-représenté dans l’échantillon sélectionné par l’étude de Yeh et Chang (2007) et un seul type d’attaque (phishing) est représentée à travers l’étude de Leung et Bose.

Très peu d’études ont porté sur le secteur financier. Pourtant, les cyberattaques et incidents SSI lancés à l’encontre des sociétés financières peuvent être à l’origine de conséquences désastreuses (risque systémique, crises financières mondiales). C’est pourquoi Morse et al. (2011) ainsi que Arcuri et al. (2017) ont souhaité apporter de nouvelles pistes de réflexion autour de ce sujet.

Contrairement aux conclusions avancées par les études précédemment citées, leurs travaux montrent que l’effet des cyberattaques sur le cours des actions des entreprises est significatif. A travers leur étude, Morse et al. (2011) ont souhaité comparer trois secteurs d’activité particulièrement exposés aux cyber-incidents et incidents SSI, à savoir les secteurs du retail, des services financiers et industriels. Pour mener à bien cette étude, un échantillon portant sur 306 attaques répertoriées entre 2000 et 2010 a été élaboré. Parmi ces 306 attaques, 91 d’entre elles ont été dirigées contre les institutions financières (environ 30%).

Les résultats obtenus sont significatifs. Des anomalies de rendement des actions des sociétés financières attaquées ont été observées. Plus précisément, on constate que le cours des actions chute de manière significative le jour de l’annonce publique de l’attaque et le jour suivant cette annonce. En parallèle, Morse et al. ont réalisé une étude portant sur la nature des attaques. Ils obtiennent des résultats mitigés et aucune conclusion significative concernant le secteur financier n’a été apportée.

Arcuri et al. (2017) ont également mené une étude comparative afin de mettre en évidence les conséquences financières engendrées par les cyberattaques à l’encontre des entreprises proposant des services financiers et bancaires.

Leur étude plus récente a permis l’élaboration d’un échantillon de grande taille constitué de 226 cyberattaques rendues publiques entre 1995 et 2015. Parmi ces cyberattaques, 67 ont porté atteinte à la sécurité des institutions financières. Les premiers résultats apportés par Arcuri et al. vérifient les conclusions de l’étude précédente à savoir des variations de cours évidentes le jour et le lendemain de la divulgation de l’attaque.

Néanmoins, des variations anormales ont été également constatées plusieurs jours avant la divulgation publique de l’attaque. Il semblerait que les marchés financiers aient souffert d’une asymétrie de l’information.

D’autre part, Arcuri et al. ont étudié les conséquences des attaques en fonction de l’accès ou non des hackeurs aux informations confidentielles. Etonnamment, les attaques menées à l’encontre des institutions financières n’ayant pas affecté les fichiers de données confidentielles ont eu des répercussions plus importantes sur le cours de l’action des banques et institutions financières concernées. Cependant, ces observations ne sont pas systématiques et contrastent avec les résultats de l’étude apporté par Campbell et al. (2003).

Ainsi, des travaux de recherche supplémentaires sont nécessaires pour pouvoir vérifier ces précédents résultats. D’autre part, les cyberattaques et incidents SSI actuels conduits à l’encontre des banques et institutions financières surviennent de façon plus fréquente et agressive. Par ailleurs, l’étude menée par Ishiguro et al. (2007) montre qu’une même société attaquée mais cotée sur des places boursières différentes verra le cours de son action varier différemment. L’ampleur et la réactivité des marchés diffèrent. Cependant, cette étude mériterait approfondissement puisque seuls deux marchés financiers ont été comparés et ce résultat obtenu n’était qu’annexe par rapport à la recherche principale des auteurs.

Cette étude s’inscrit dans la continuité des différentes recherches présentées précédemment. Celui-ci se concentre uniquement sur le secteur financier. Il sera axé sur la réaction des marchés financiers aux trois facteurs suivants :

- La nature de l’attaque

- La typologie des services financiers attaqués - La place boursière de cotation

Nous allons vérifier au cours de ce travail de recherche, les hypothèses suivantes :

H0 : L’annonce d’une cyberattaque ou d’un incident SSI mené à l’encontre d’une société financière génère des rendements anormaux le jour de l’évènement et les jours suivants l’évènement.

H1 : L’impact sur la rentabilité des actions des sociétés financières diffère selon la nature des cyberattaques et incidents SSI perpétrés (APT, malware, DDOS, malvertising, ransomware, phishing, défiguration de site web, exfiltration et divulgation de données, injection SQL).

H2 : La fréquence et l’impact d’une annonce publique d’une cyberattaque ou d’un incident SSI sur la rentabilité des actions des sociétés financières diffère selon la typologie des services financiers attaqués (banque de détail, banque d’investissement, néo banque, courtier, banque centrale).

H3 : Pour une même société attaquée, l’affectation de sa rentabilité diffère en ampleur et en réactivité selon les places boursières où elle est cotée.

Les travaux précédemment évoqués révèlent qu’il est possible de mesurer l’impact financier engendré par l’annonce d’une cyberattaque ou d’un incident SSI. Ils analysent l’évolution de la valeur de l’action des entreprises concernées en la comparant à son évolution théorique sans attaque. En utilisant cette même méthode, nous mènerons une étude d’évènements en analysant la réaction des différents acteurs de marché à l’annonce d’un cyber-incident ou d’un incident SSI non-cyber.

Collecte des données

Une étude d’évènements consiste à évaluer la réaction des marchés financiers à l’annonce d’un évènement défini (Peillex, 2014 ; Peillex & Ureche-Rangau, 2014 ; El Ouadghiri et al., 2019). A travers cette étude, nous appellerons « évènement » la première révélation publique d’une cyberattaque ou d’un incident SSI mené à l’encontre d’une société financière.

Notre échantillon est constitué d’annonces publiques de cyberattaques ayant eu lieu sur une période de 16 ans entre 2003 et 2019. Le premier évènement recueilli pour cette étude est daté au 27 février 2003 et le dernier au 23 octobre 2019. Pour pouvoir élaborer cet échantillon nous avons effectué des recherches internet en utilisant les mots-clés suivants : « Banking cyber attacks », « data breach security », « phishing attacks financial industry », « malware », « Denial of service banking attack », « hacker ».

Certains noms de cyberattaques (opération flambeur, WannaCry, NotPetya, Stuxnet) ont également été employés dans cette recherche, l’objectif étant d’identifier l’ensemble des articles publiés (presse, média) relatifs aux incidents ayant affecté les entreprises du secteur financier. Dès lors, seules les attaques perpétrées à l’encontre des banques et des sociétés financières ont été sélectionnées.

En utilisant ces critères nous avions initialement identifié 157 cyber-attaques et incidents SSI lancés à l’encontre des sociétés financières. Nous avons ensuite affiné notre recherche et éliminé les évènements pour lesquels il nous manquait des précisions concernant la première date de publication de l’incident et la typologie de l’attaque menée.

Les cyberattaques et incidents SSI menés à l’encontre des sociétés non cotées n’ont pas été pris en considération pour cette étude et ont été supprimés de l’échantillon. De plus, pour pouvoir améliorer la qualité et la précision de notre échantillon, nous avons tenté d’identifier des éléments susceptibles d’interférer avec résultats (autres annonces ou évènements susceptibles d’impacter le

cours de l’action de l’entreprise concernée). Si d’autres éléments significatifs intervenaient au même moment que l’incident étudié alors celui-ci se voyait retiré de l’échantillon.

Ainsi, notre échantillon final est constitué de 115 évènements qui concernent 83 sociétés.

D’autre part, nous avons obtenu les données historiques des bourses et du cours des actions étudiées en utilisant les logiciels financiers « Bloomberg », « Yahoo Finance » et « Investing.com ».Le tableau suivant (tableau 2) illustre la répartition de notre échantillon final de 2003 à 2019.

Répartition de l’échantillon total

Années Nombre d'attaques Part de l'échantillon

2003 1 0,87% 2005 2 1,74% 2006 1 0,87% 2007 4 3,48% 2008 5 4,35% 2009 6 5,22% 2010 7 6,09% 2011 10 8,70% 2012 6 5,22% 2013 6 5,22% 2014 6 5,22% 2015 2 1,74% 2016 7 6,09% 2017 6 5,22% 2018 28 24,35% 2019 18 15,65% N = 115 Etude d’évènements

Les études d’évènements ont souvent été employées en finance puisqu’il s’agit d’une méthode mettant en valeur la réaction des marchés financiers à l’apparition d’une nouvelle information (El Ouadghiri & Uctum, 2016 ; El Ouadghiri et al., 2014 El Ouadghiri & Peillex, 2018 ; Jaballah et al., 2018). Elle reflète l’efficience de marché semi-forte décrite par Fama (Fama et al., 1969).

Selon cette théorie, les cours des actions étudiés devraient s’adapter instantanément à l’annonce publique d’une cyberattaque ou incident SSI. Plusieurs modèles d’études d’évènements ont été proposés. Dans le cadre de cette étude, nous allons avoir recours au modèle de marché (Desbrière et al., 2018 ; Peillex et al., 2019)

Pour mener à bien cette étude, nous notons « t=0 » la date de l’annonce publique de la

cyberattaque ou de l’incident SSI. A travers cette étude, nous utiliserons une fenêtre d’évènement donnée par l’intervalle [t-10 ; t+10] et la fenêtre d’estimation employée sera [t-120 ; t-11]. Le modèle de marché permet de calculer les rendements anormaux à travers la formule suivante :

RAiτ = Riτ − E(Rit|Xτ )

(1) Avec :

i : l’entreprise affectée τ : la date d’évènement RAiτ : le rendement anormal Riτ : le rendement actuel

E(Rit|Xτ ): le rendement normal

Le modèle de marché permet de calculer la rentabilité théorique des actions à travers la rentabilité de marché. Cette relation est déterminée par la formule suivante :

Rit = α + β Rmt + εit

(2) Avec :

Rit : le rendement de l’action i sur la période « t » donné par la formule suivante (Peillex & Ureche-Rangau, 2012 ; Peillex & Ureche-Rangau, 2013 ; Brière et al., 2017 ; Peillex et al., 2019) :

Rit = log (Pt / Pt−1) Pt : le prix de l’actif à l’instant « t »

Rmt : le rendement du marché sur la période « t »

βi = Cov (Ri , Rm) / σ^2Rm α : l’ordonnée à l’origine donnée par la formule suivante :

εit : l’erreur résiduelle (le bruit)

Ainsi, ce modèle permet de vérifier l’existence de rentabilités anormales par rapport aux rentabilités théoriques (Rozès, 2008). Si des rendements anormaux sont observés alors cela signifie que les marchés financiers n’auront pas anticipé l’occurrence de l’évènement.

Nous analyserons les rendements anormaux à partir des fenêtres d’observation suivantes : [t-1;t+1], [t-1;t+3], [t-1;t+5], [t-1;t+10], [t-3 ;t+3], [t-5;t+5], [t-10;t+10] et [t0;t+1]

Afin de mesurer la réaction moyenne des marchés nous calculerons également le rendement anormal moyen estimé sur l’ensemble de l’échantillon à partir de la formule suivante :

(3) Avec :

RAMτ : la rentabilité anormale moyenne estimée à la date t ARiτ : le rendement anormal à la date t

N : le nombre de titres constituant l’ensemble de l’échantillon

D’autre part, pour mesurer l’impact d’un incident sur le rendement d’un titre nous allons également calculer et analyser les rendements anormaux cumulés sur l’ensemble de la période d’évènement et sur les sous-périodes d’évènement énumérées auparavant.

(4) Avec :

RACiτ : Rendement cumulé anormal du titre i pour la période définie ARiτ : Rendement anormal du titre i à la date t

Finalement, il sera possible de déterminer l’impact global de l’ensemble des incidents à travers l’analyse de la moyenne des rendements anormaux cumulés donnée par la relation suivante :

(5) Avec :

RAMCτ1, τ2 : Rendement anormal moyen cumulé pour la période définie ARiτ : Rendement anormal du titre i à la date t

N : le nombre de titres constituant l’ensemble de l’échantillon

Tests paramétriques

Pour pouvoir évaluer la véracité de notre modèle et mesurer la significativité des conséquences de l’annonce d’une cyberattaque et/ou d’un incident SSI sur le cours d’une action, nous emploierons les tests de Fisher et de Student.

Il s’agira alors de tester nos différents rendements anormaux moyens en modélisant nos variables sous formes de régressions linéaires multiples.

A travers ces différents tests, nous analyserons les hypothèses sous-jacentes suivantes :

H0 : RAMτ = 0 H1 : RAMτ ≠ 0

L’hypothèse nulle illustre une absence de rendements anormaux moyens à la date de l’annonce de l’évènement.

Les tests de Student et de Fischer supposent que les rendements anormaux journaliers sont normalement distribués. Ainsi les tests paramétriques F et T sont estimés par les relations suivantes : (6) Avec : n : la taille de l’échantillon R^2 : Le coefficient de détermination suit N(0,1) (7)

La statistique de F sera employée pour tester la significativité globale des modèles proposés et la statistique de T sera utilisée pour tester la significativité des variables indépendantes contenues dans les différents modèles de régressions linéaires multiples.

Lorsque les p-values associées aux statistiques de F et de T sont inférieures à 5% et que le coefficient de détermination est proche de 1, cela signifie que le modèle proposé est globalement significatif et l’hypothèse nulle est rejetée.

Les résultats de notre étude semblent mettre en évidence que l’annonce d’une cyberattaque ou d’un incident SSI subi par les sociétés financières engendre généralement des baisses anormales de leurs rendements boursiers. Plus précisément, l’analyse des rendements cumulés anormaux des valeurs boursières des entreprises impactées permet de vérifier l’hypothèse H0 (tableau 3). Pour rappel, l’hypothèse H0 est la suivante : L’annonce d’une cyberattaque ou d’un incident SSI mené à l’encontre d’une société financière génère des rendements anormaux le jour de l’évènement et les jours suivants l’évènement.

En effet, les rendements anormaux moyens cumulés sont négatifs sur l’ensemble des fenêtres d’évènements à l’exception de la fenêtre d’évènement [-10 ; +10]. L’exception porte sur la période allant de dix jours avant l’incident (ou la cyberattaque) subi, aux dix jours suivants, ce qui tendrait à prouver que les réactions des marchés financiers sont vives, rapides et s’estompent ensuite avec le temps.

Cette étude met également en évidence que l’ampleur de la chute des rendements diffère selon la fenêtre d’évènement étudiée.

En effet, les RACs31 négatifs moyens des fenêtres d’évènements [0 ; +1], [-1 ; +5] et [-1 ; +3]

sont les plus élevés (respectivement -1,260%, -1,181%, -1,103%). Cela démontre que les rendements anormaux négatifs sont plus significatifs et plus importants la veille de l’annonce, le jour de l’annonce et jusqu’à cinq jours suivants l’annonce. L’analyse des fenêtres d’évènements dites « symétriques » présentent également des rendements anormaux moyens négatifs mais de plus faible amplitude. Ainsi, les RACs moyens des fenêtres d’évènements [-3 ; +3] et [-5 ; +5]

sont respectivement -0,630% et -0,420%.

31

Tableau 3

RAMCs32 et pourcentage de RACs négatifs sur l’ensemble de l’échantillon étudié

Fenêtre d’évènement RAMCs %RACs négatifs

[-1 ; +1] -1,033% 54,78% [-1 ; +3] -1,103% 62,61% [-1 ; +5] -1,181% 58,26% [-1 ; +10] -0,045% 53,91% [0 ; +1] -1,260% 58,26% [-3 ; +3] -0,630% 53,04% [-5 ; +5] -0,420% 54,78% [-10 ; +10] 0,967% 46,09%

Notes : Ce tableau présente les résultats de l’étude d’évènements réalisée sur un échantillon de 115 attaques révélées publiquement à l’encontre de 83 sociétés financières. Les données ont été récoltées sur une période de 16 ans entre 2003 et 2019. Le calcul des rendements normaux s’effectue selon les modalités de l’équation (2). Les rendements anormaux cumulés ont été calculés à partir de l’équation (4) et les rendements anormaux moyens cumulés à partir de l’équation (5).

L’analyse des RAMs33

(tableau 4) confirme en partie ces résultats et démontre une baisse moyenne de la rentabilité des actifs de 0,70% le jour de l’annonce publique de l’attaque et une baisse moyenne de 0,58% le jour suivant.

32

Rendements anormaux moyens cumulés 33

Tableau 4

RAMs et pourcentage de RAMs négatifs journaliers sur l’ensemble de l’échantillon étudié

Jours RAMs %RAMs négatifs

-10 -0,412% 45,22% -9 0,440% 41,74% -8 0,122% 43,48% -7 0,042% 60% -6 0,448% 43,48% -5 -0,083% 56,52% -4 0,371% 43,48% -3 0,188% 47,83% -2 0,276% 42,61% -1 0,238% 45,22% 0 -0,706% 56,54% +1 -0,590% 54,78% +2 -0,072% 52,17% +3 0,229% 45,22% +4 -0,135% 49,57% +5 0,335% 50,43% +6 0,062% 49,57% +7 0,431% 40,87% +8 0,264% 47,83% +9 -0,149% 46,09% +10 0,098% 51,30%

Notes : Ce tableau présente les résultats de l’étude d’évènements réalisée sur un échantillon de 115 attaques révélées publiquement à l’encontre de 83 sociétés financières. Les données ont été récoltées sur une période de 16 ans entre 2003 et 2019. Le calcul des rendements anormaux moyens s’effectue selon les modalités définies par l’équation (3).

Analyse des conséquences des cyberattaques selon leur typologie

Pour tester l’hypothèse H1, nous avons trié et classé nos évènements selon la typologie des attaques. Pour rappel, notre hypothèse H1 est la suivante : L’impact sur la rentabilité des actions des sociétés financières diffère selon la nature des cyberattaques et incidents SSI perpétrés (APT, malware, DDOS, malvertising, ransomware, phishing, défiguration de site web, exfiltration et divulgation de données).

Sur l’échantillon étudié, nous avons réparti les attaques selon 5 critères : - Attaques menées par déni de service (DDOS)

- Attaques menées par Malware (programme malveillant) - Attaques menées par Ransomware (rançongiciel)

- Attaques menées par exfiltration et divulgation de données - Attaques menées par Phishing

- Attaques menées par APT - Attaques combinées

Les tableaux 5 et 6 présentent nos différents résultats. D’après l’analyse des différents RAMCs, il semblerait que les attaques menées par DDOS et par Malwares génèrent systématiquement des rendements anormaux négatifs. En effet, sur l’ensemble des fenêtres d’évènements étudiées les RAMCs sont négatifs pour ces deux typologies d’attaques et les réactions des marchés financiers sont plus vives et plus rapides.

Nous pouvons constater ces phénomènes à travers l’analyse des RAMCs et des RAMs obtenus. Les RAMCs négatifs reportés sur les fenêtres d’évènements [-1 ; +1], [0 ; +1], [-1 ; +3], [-1 ; +5] et [-1 ; +10] sont importants avec respectivement -2,99%, -2,56%, -2,54%, -3,50% et -3,63% pour les attaques menées par DDOS et -2,93%, -3,04%, -2,99%, -2,59% et -0,47% pour les attaques menées par malwares. Les résultats obtenus des RAMCs associés aux attaques menées par DDOS sont tous statistiquement très significatifs avec des p-values associées inférieures à 0,1%. Il en est de même pour les résultats des RAMCs associés aux attaques menées par malwares à l’exception du RAMC associé à la fenêtre d’évènement [-1 ; +10] qui présente une p-value supérieure à 10%.

Ainsi, selon l’analyse de RAMCs il semblerait que les attaques menées par DDOS et Malwares engendrent des conséquences plus importantes sur le rendement des titres des entreprises impactées. Plus particulièrement, les RAMCs négatifs sont significatifs et importants à partir du jour de l’annonce publique de l’attaque et les jours suivants l’annonce officielle de l’attaque (jusqu’à dix consécutifs).

Ces résultats convergent avec l’analyse des RAMs.

En effet, le jour de l’annonce publique, le rendement des titres boursiers baisse en moyenne de 1,72% lorsque les attaques sont orchestrées par DDOS et de 1,40% lorsqu’elles sont conduites par des malwares. Aussi, sur les dix jours suivants l’annonce d’une attaque par DDOS on constate une baisse moyenne des rendements des titres de 0,30% et sur les cinq jours suivants l’annonce d’une attaque par malware nous pouvons constater une chute moyenne de la rentabilité des titres de 0,38%.

Par ailleurs, les résultats obtenus indiquent que les annonces officielles et publiques de ces attaques semblent être perçues par les acteurs de marché plusieurs jours avant leur divulgation publique.

En effet, les RAMCs négatifs des fenêtres d’évènements [-10 ; +10], [-5 ; +5] et [-3 ; +3] sont élevés pour les attaques par DDOS (respectivement -2,68%, -2,57%, -2,64%) et statistiquement très significatifs avec des p-values associées inférieures à 0,1%. Cela signifie que les attaques par DDOS semblent être anticipées sur dix jours avant leur annonce publique.

Les attaques par malwares et ransomwares paraissent également perçues par le marché plusieurs jours à l’avance. Cependant, les RAMCs négatifs associés aux attaques par malwares sur les fenêtres d’évènements [-10 ; +10], [-5 ; +5] et [-3 ; +3] sont de plus faibles amplitudes (respectivement -0,50%, -0,70% et -1,30%) et ne sont pas statistiquement significatifs tandis que les attaques menées par Ransomwares présentent des RAMCs négatifs et statistiquement significatifs que sur la fenêtre d’évènement [-10 ; +10] avec un RAMC de -1,73% et une p-value associée inférieure à 5%.

En ce qui concerne les attaques dirigées par Phishing et Ransomwares ainsi que les attaques combinées, celles-ci présentent également des rendements anormaux moyens négatifs le jour de l’annonce publique des attaques avec respectivement une baisse moyenne des rentabilités des titres de 0,58%, 0,65% et 0,07%. Cependant, seules les attaques menées par Ransomwares

présentent un résultat statistiquement significatif avec une p-value associée inférieure à 5%

Tableau 5

RAMCs et tests statistiques classés par typologies

Typologie de l’attaque

Fenêtre

d’évènements RAMCs T-statistiques P-values

%RACs négatifs DDOS [-1 ; +1] [0 ; +1] [-1 ; +3] [-1 ; +5] [-1 ; +10] [-3 ; +3] [-5 ; +5] [-10 ; +10] -2,988% -2,563% -2,537% -3,500% -3,631% -2,635% -2,571% -2,680% -3,949 -3,387 -3,353 -4,626 -4,799 -3,483 -3,397 -3,543 P < 0,001 P < 0,001 P < 0,001 P < 0,001 P < 0,001 P < 0,001 P < 0,001 P < 0,001 73,33% 73,33% 73,33% 66,67% 73,33% 73,33% 73,33% 80,00% Malware [-1 ; +1] [0 ; +1] [-1 ; +3] [-1 ; +5] [-1 ; +10] [-3 ; +3] [-5 ; +5] [-10 ; +10] -2,925% -3,044% -2,987 % -2,591% -0,470% -1,302% -0,693 % -0,495% -3,866 -4,023 -3,948 -3,424 -0,621 -1,721 -0,915 -0,654 P < 0,001 P < 0,001 P < 0,001 P < 0,001 P > 0,1 P < 0,1 P > 0,1 P > 0,5 52,63% 57,89% 73,68% 63,16% 42,11% 63,16% 57,89% 42,11%

Ransomware [-1 ; +1] [0 ; +1] [-1 ; +3] [-1 ; +5] [-1 ; +10] [-3 ; +3] [-5 ; +5] [-10 ; +10] 1,983% 1,474% 2,050% 2,038% -1,187% 0,837% 2,286% -1,730% 2,620 1,949 2,710 2,694 -1,570 1,107 3,021 -2,286 P < 0,01 P > 0,1 P < 0,01 P < 0,01 P > 0,2 P > 0,2 P < 0,01 P < 0,05 20,00% 20,00% 40,00% 40,00% 60,00% 40,00% 20,00% 60,00% Phishing [-1 ; +1] [0 ; +1] [-1 ; +3] [-1 ; +5] [-1 ; +10] [-3 ; +3] [-5 ; +5] [-10 ; +10] -0,586% -1,145% -0,482% 0,386% 0,091% -0,104% -0,349% -0,612% -0,774 -1,513 -0,637 0,511 0,120 -0,138 -0,462 -0,809 P > 0,5 P > 0,3 P > 0,5 P > 0,6 P > 0,8 P > 0,8 P > 0,7 P > 0,5 71,43% 71,43% 42,86% 42,86% 71,43% 57,14% 57,14% 57,14% APT [-1 ; +1] [0 ; +1] [-1 ; +3] -0,296% -0,983% 2,680% -0,392 -1,299 3,542 P > 0,7 P > 0,3 P < 0,001 50,00% 50,00% 50,00%

[-1 ; +5] [-1 ; +10] [-3 ; +3] [-5 ; +5] [-10 ; +10] 1,923% 8,783% 1,775% 1,333% 9,948% 2,542 11,609 2,346 1,762 13,148 P < 0,02 P < 0,001 P < 0,02 P > 0,1 P < 0,001 50,00% 0,00% 50,00% 50,00% 50,00% Attaques combinées [-1 ; +1] [0 ; +1] [-1 ; +3] [-1 ; +5] [-1 ; +10] [-3 ; +3] [-5 ; +5] [-10 ; +10] 0,176% -0,328% 0,191% 0,534% 2,307% 0,759% 1,243% 4,051% 0,232 -0,434 0,252 0,705 3,049 1,003 1,642 5,355 P > 0,8 P > 0,7 P > 0,8 P > 0,5 P < 0,01 P > 0,5 P > 0,2 P < 0,001 47,73% 50,00% 54,55% 52,27% 45,45% 38,64% 47,73% 38,64%

Exfiltration et divulgation des données [-1 ; +1] [0 ; +1] [-1 ; +3] [-1 ; +5] [-1 ; +10] [-3 ; +3] [-5 ; +5] [-10 ; +10] -0,184% -0,746% -0,226% -0,728% 1,919% 0,393% 0,834% 5,246% -0,243 -0,986 -0,299 -0,962 2,537 0,519 1,102 6,933 P > 0,8 P > 0,5 P > 0,8 P > 0,5 P < 0,05 P > 0,7 P > 0,4 P < 0,001 50,00% 59,09% 54,55% 54,55% 40,91% 31,82% 40,91% 18,18%

Notes : Ce tableau présente les résultats de l’étude d’évènements réalisée sur un échantillon de 115 attaques révélées publiquement à l’encontre de 83 sociétés financières. Les données ont été récoltées sur une période de 16 ans entre 2003 et 2019. Le calcul des rendements normaux s’effectue selon les modalités de l’équation (2). Les rendements anormaux cumulés ont été calculés à partir de l’équation (4) et les rendements anormaux moyens cumulés à partir de l’équation (5). Le niveau de significativité des RAMCs est déduit des tests paramétriques F et T. La T-statistique est acculée selon l’équation (7) appliquée aux RAMC. On considère qu’une valeur est statistiquement significative lorsque la p-value associée est inférieure à 5%.