Un contexte de risque sans précédent

Les infrastructures essentielles désignent les systèmes et les actifs indispensables au fonctionnement de la société et de l’économie, notamment dans des segments comme l’énergie, l’eau, les transports, les soins de santé, les télécommunications et, de plus en plus, les services financiers. Ces infrastructures sont considérées comme « essentielles », car leur perturbation peut avoir des conséquences importantes sur la sécurité publique, la stabilité économique et la sécurité nationale.

Les cyberattaques visant les infrastructures essentielles ont connu une forte augmentation et ont considérablement évolué au cours de la dernière décennie. Des services publics au gouvernement, les cyberattaques sont de plus en plus fréquentes, complexes et coûteuses. Pour les investisseurs qui pensent à long terme, il est essentiel de comprendre ces risques afin d’évaluer la résilience de ces secteurs.

Bien que ces risques existent depuis longtemps, le contexte actuel pose des défis uniques. La modernisation des infrastructures, portée par les technologies, s’accompagne de progrès dans le domaine de l’IA, de l’émergence de nouvelles technologies et d’une intensification des tensions géopolitiques.

Si la connectivité des systèmes d’infrastructures essentielles a permis de réaliser d’énormes gains d’efficacité, notamment en matière de collecte et d’utilisation des données, de surveillance et d’intervention en temps réel, d’automatisation et d’opérations à distance, elle a également introduit d’importantes vulnérabilités. Une seule effraction peut avoir des répercussions en cascade sur l’ensemble des organisations, perturber les chaînes d’approvisionnement et les services essentiels, et entraîner des pertes financières considérables. Nous vivons dans une époque où les attaques sont de plus en plus automatisées et complexes, ce qui oblige les exploitants d’infrastructures à s’adapter rapidement.

Les facteurs géopolitiques intensifient encore davantage ce problème. Les infrastructures essentielles sont devenues un levier dans les conflits mondiaux, comme l’a démontré la guerre entre la Russie et l’Ukraine, où des cyberattaques contre les réseaux électriques, les télécommunications et d’autres réseaux ont été utilisées pour paralyser les capacités opérationnelles. Pour les régions qui dépendent de systèmes intégrés, tels que les réseaux énergétiques, les services publics d’eau, les télécommunications et les soins de santé, les risques sont particulièrement graves. Une seule effraction peut entraîner des pannes généralisées, perturber l’économie et même mettre des vies en danger.

Études de cas

Un exemple frappant d’une telle attaque s’est produit l’an dernier à American Water Works, une importante société américaine de services publics fournissant des services d’approvisionnement en eau potable et de traitement des eaux usées à plus de 14 millions de personnes. Une effraction a provoqué une interruption importante des activités et la fermeture des portails en ligne et des systèmes de facturation des clients. Le jour où l’entreprise a annoncé l’effraction, le cours de son action a chuté de près de 4 %¹. Les conséquences de la perturbation des services essentiels mettent en évidence les risques sociétaux liés aux défaillances en matière de cybersécurité, en particulier compte tenu des différentes collectivités et entreprises desservies. Les clients essentiels tels que les hôpitaux et les services d’urgence sont particulièrement touchés, car ils dépendent de l’accès aux services d’approvisionnement en eau et de traitement des eaux usées. Au-delà des services essentiels, de telles effractions peuvent également avoir des répercussions plus larges sur les marchés financiers, car divers secteurs dépendent de l’approvisionnement en eau pour leurs processus d’assainissement et de refroidissement.

On peut également citer l’exemple de la cyberattaque contre Emera et sa filiale Nova Scotia Power, découverte en avril 2025. Emera est un important fournisseur canadien de services énergétiques qui possède et exploite des services publics réglementés d’électricité et de gaz naturel desservant plus de 2,6 millions de clients au Canada, aux États-Unis et dans les Caraïbes. La cyberattaque a touché certaines parties des systèmes de TI et des serveurs d’applications commerciales d’Emera au Canada². Bien que l’attaque ne devrait pas avoir d’incidence notable sur les résultats financiers de l’entreprise, les enquêtes ont révélé que les pirates ont accédé à des données personnelles appartenant à des clients actuels et anciens et les ont volées³. Pour limiter les risques d’utilisation malveillante des renseignements personnels volés, Nova Scotia Power a conclu un accord avec l’agence de renseignements sur le consommateur TransUnion afin d’offrir aux personnes concernées un abonnement de cinq ans, financé par l’entreprise, à un service complet de surveillance du crédit.

Halliburton, l’un des principaux fournisseurs mondiaux de produits et services destinés au secteur de l’énergie, a déclaré avoir dépensé 35 millions de dollars à la suite d’une atteinte à la cybersécurité l’an dernier⁵. Bien que l’entreprise ait jugé le coût « non déterminant » par rapport à son flux de trésorerie disponible, cette attaque a néanmoins constitué une mise en garde pour les investisseurs en matière de cyberrisques.

Dans son rapport intitulé Évaluation des cybermenaces nationales 2025-2026, le Centre canadien pour la cybersécurité souligne que les tentatives visant à perturber les services essentiels, tels que les services publics et les systèmes énergétiques, s’intensifient, les pirates cherchant à exploiter les interdépendances afin de causer un maximum de perturbations⁴.

Répercussions financières et de gouvernance

L’incidence financière des cyberattaques est importante et croissante.

Une étude réalisée en 2024 par le Centre for Economic Policy Research a révélé que les entreprises fortement exposées aux risques liés à la cybersécurité affichaient des rendements excédentaires inférieurs de 0,42 % par mois à ceux de leurs homologues moins exposées⁶. Ce rendement inférieur se traduit par une perte annuelle d’environ 5 % par rapport aux entreprises plus sûres, ce qui représente un obstacle important à la création de valeur pour les actionnaires.

Au-delà des pertes financières directes, les effractions peuvent également faire grimper les coûts de manière indirecte, notamment en raison des frais liés à l’assistance d’urgence en matière de cybersécurité, de l’augmentation des primes d’assurance, etc. Cette lacune dans la couverture expose les entités à des dettes potentiellement croissantes.

Les assureurs et les pouvoirs publics s’impliquent de plus en plus dans le débat. Les initiatives du gouvernement canadien, par exemple, imposent désormais des exigences accrues en matière de déclaration aux entreprises touchées par des cyberattaques, une mesure visant à renforcer la transparence et la responsabilité⁷.

Comment NEI envisage-t-elle ce risque?

NEI estime qu’une approche proactive est essentielle pour atténuer les cyberrisques, car ceux-ci peuvent avoir une incidence considérable sur les résultats des entreprises et la société dans son ensemble. Cependant, comme les attaques deviennent de plus en plus élaborées, les conseils d’administration et les comités de gestion des risques sont souvent contraints à rattraper leur retard, ce qui doit changer. Notre équipe se penche actuellement sur cette question afin de gérer notre exposition aux placements.

^{1FactSet, du 4 au 7 octobre 2024}

^{2Emera Incorporated - Emera and Nova Scotia Power Responding to Cybersecurity Incident}

^{3Cyber | Nova Scotia Power}

^{4Évaluation des cybermenaces nationales 2025-2026}

^{5Publication des résultats financiers de HAL pour le troisième trimestre de 2024}

^{6Cybersecurity vulnerabilities and their financial impact | CEPR}

^{7Nouvelles exigences de cybersécurité dans les infrastructures essentielles : évaluation de l’impact du projet de loi C-26, Loi concernant la cybersécurité | Ressources | Fasken}