Le coût d’une cyber-catastrophe majeure ? Jusqu’à 121 Md$ selon Lloyd’s

Il faudrait compter entre 4,6 Md$ et 53 Md$ de pertes financières, en moyenne, pour une vaste attaque informatique aux répercutions mondiales, selon une étude publiée par Lloyd’s of London et réalisée en coopération avec Cyence, un spécialiste de la modélisation de risque.

Le scénario étudié est celui de la compromission d’un important fournisseur de services Cloud : des attaquants poussent du code malicieux dans son infrastructure, pour le diffuser vers les entreprises utilisatrices et provoquer des pannes en série. En l’espace d’un an, le logiciel malveillant se serait propagé à tous les clients du fournisseur, provoquant pertes de revenus et surcoûts. La facture pourrait globalement s’élever à 121 Md$. Près de la moitié – 45 Md$ – ne serait pas couvert par les assurances.

En comparaison, l’ouragan Katrina, en 2005, a officiellement coûté 108 Md$. Mais certaines estimations officieuses grimpent jusqu’à 250 Md$. En 2012, l’ouragan Sandy aurait entraîné 50 Md$ de coûts.

Cette année, des incidents tels que WannaCry et NotPetya ont soulevé des inquiétudes sur le poids économique potentiel d’épidémies informatiques majeures. Selon Cyence, le premier a coûté 8 Md$ à l’économie mondiale, contre 850 M$ à ce jour pour le second.

Récemment, Lucien Mounier, souscripteur chez Beazley, reconnaissait dans nos colonnes que, pour WannaCry, « ça aurait pu être pire ». Il imaginait aussi le « cas d’un grand hébergeur de ce monde frappé par une attaque massive en déni de service, à une telle échelle qu’il ne parvienne pas à résister ». Ou encore celui « d’une APT qui frappe un Google ou un Amazon, par exemple ». Car pour lui, dans un tel cas de figure, « il peut y avoir une dimension systématique ». Et d’expliquer que l’assureur fait justement attention à ses engagements « et aux points d’accumulation entre nos assurés ».

En début de mois, l’autorité britannique de régulation prudentielle (PRA) s’est inquiétée du risque cyber non-explicite : celui par exemple de dommages physiques et non-physiques à des assurés, trouvant leur origine dans un incident informatique. Et d’attendre des assureurs qu’ils prennent des mesures pour « réduire l’exposition non voulue à ce risque », par exemple en ajustant les primes pour « refléter le risque additionnel » ou en proposant « une couverture spécifique », notamment.

En outre, la PRA recommande la mise en place d’indicateurs cumulés d’exposition au risque cyber explicite et implicite, ainsi que de stress tests « qui prennent explicitement en compte le potentiel d’agrégation de perte (via le Cloud ou les expositions croisées entre produits) pour des intervalles de récurrence extrêmes (jusqu’à 1 tous les 200 ans) ».

Enfin, la PRA souligne l’évolutivité du risque cyber, explicite comme implicite, et juge que les assureurs doivent « avoir une expertise suffisante » à sa compréhension, et au maintien de celle-ci dans la durée. Las, selon PwC, seuls 14 % des assureurs disposent des données nécessaires au calcul de leur exposition au risque implicite.

Avec nos confrères de ComputerWeekly (groupe TechTarget).