Cyber-attaques : un coût impossible à estimer ?

La cyber-délinquance a un coût. Et pour une fois, avec l’épisode NotPetya, l’an dernier, il est possible d’en avoir un très partiel aperçu. En novembre, à l’occasion de l’annonce des résultats du troisième trimestre de son exercice fiscal 2017, Merck a fait état d’un impact négatif de près de 310 M$ pour la période. Et il anticipait alors un impact similaire au quatrième trimestre. Il a été de l’ordre de 270 M$.

Fin septembre, FedEx évoquait une facture à 300 M$, un chiffre comparable à celui avancé par Maersk.A la même période, le français Saint Gobain a de son côté estimé à 250 M€ l’impact de l’épisode sur son chiffre d’affaires 2017, et de 80 M€ sur son résultat d’exploitation.

Apparemment moins affecté, Modelez International estimait alors avoir essuyé une dépense exception de 7 M$. Chez Nuance, il faudrait compter sur une perte de 15 M$ de chiffre d’affaires, et de 2,5 M$ de résultat net.

Ces éléments laissent entrevoir une facture à plus d’un milliard de dollars, pour ce qui n’est probablement pas plus que l’infime partie de la partie émergée d’un iceberg. Ce dernier pèserait en fait entre 445 Md$ et 600 Md$, selon les estimations du Centre d’études stratégies et internationales (CSIS), établies pour McAfee.

Dans le détail, le CSIS estime le coût de la cyber-délinquance entre 160 et 180 Md$ en Europe et Asie centrale, ou encore entre 140 et 175 Md$ pour l’Amérique du Nord.

Ce dernier chiffre renvoie à une autre estimation, celle de la Maison Blanche. Très sérieusement, elle évalue le coût des cyber-attaques pour l’économie américaine, en 2016, entre 57 Md$ et 109 Md$. Et de désigner au passage à nouveau Russie, Chine, Iran et Corée du Nord comme axe du cyber-mal.

L’étendue de la fourchette peut prêter à sourire au premier abord. Mais en fait, elle apparaît établie après un l’examen approfondi de nombreuses références. Surtout, les auteurs reconnaissent la difficulté de l’exercice, en soulignant qu’il est pénalisé par « des données insuffisantes, largement parce que les entreprises ont de solides réserves à rapporter de mauvaises nouvelles ». Et c’est sans compter avec tous les incidents qui restent non détectés ou… longuement cachés. Celui qui a concerné Uber en 2016 est ainsi mentionné.

En définitive, la fourchette apparaît ainsi établie avec prudence. Son plus haut reste très raisonnable par rapport aux estimations du CSIS pour 2013 (107 Md$). Ce dernier ne manque pas non plus de relever a difficulté de l’estimation, entre entreprises qui ne rendent pas publics les incidents qui les affectent et gouvernements qui ne collectent pas de données de sinistralité.

Les évolutions réglementaires devraient changer graduellement la donne, de même que des initiatives comme la plateforme Acyma en France. Ce n’est d’ailleurs sans doute pas par hasard que la Fédération française de l’assurance et MMA en sont partenaires : les assureurs sont les premiers intéressés par des statistiques de sinistralité.

Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), le reconnaissait d’ailleurs bien volontiers à l’occasion de la présentation de la plateforme en janvier 2017, au Forum International de la Cybersécurité : « il faut être capable d’assurer le risque résiduel. Mais sans éléments quantitatifs, les assurances ont du mal à proposer des offres qui soient viables ».