Combien coûte une Cyber Attaque pour une Entreprise ?

© Alexandre HASSLER

Le Risque Cyber est régulièrement cité par les Dirigeants et Administrateurs d’Entreprises, comme le premier Risque émergent auquel leur Organisation est confrontée. Fuite de Données, Virus, Ransomware, DDoS, Cyber espionnage, Hacktivisme ou encore Hijacking font aujourd'hui partie des préoccupations majeures des Décideurs économiques et politiques de tous horizons. Et à juste titre : tant par sa complexité que par son ampleur, le Risque d’attaque informatique possède un très fort caractère systémique et un piratage massif de données ou la cyber destruction de systèmes industriels peut avoir des répercussions économiques, financières, sociales et politiques durables pour des millions de petites Entreprises, de grandes Institutions ou de Collectivités territoriales.

Comment traduire en matière financière les impacts d’une Cyber Attaque sur les performances économiques d’une Entreprise à court terme, sur sa réputation ou sa capacité à attirer de nouveaux clients et de nouveaux talents à long terme ? C’est tout l’enjeu des études et de l’ingénierie spécifique aux Cyber Risques développées par LYON RE. Combiner de puissants outils de modélisation des risques à l’analyse de données massives permet d’apporter des réponses scientifiques concrètes quant au véritable coût des Cyber Attaques pour les Entreprises.





Le coût d'une Cyber Attaque dépasse largement 1 million d'Euros en moyenne

Précisons tout d’abord que la question du coût des Cyber Attaques est souvent associée, à tort, la seule problématique du vol de données ou de la conformité vis-à-vis du Règlement Général sur la Protection des Données (RGPD). Si effectivement les enjeux économiques et règlementaires relatifs aux fuites de données entrent dans le champ d’étude des Cyber Risques, ils n’en constituent qu’une partie extrêmement réduite pour beaucoup d’Entreprises. Ainsi, l’approche selon laquelle il existerait une relation simple entre le nombre de données piratées (encore faudrait-il pouvoir le définir) et le coût d’une Cyber Attaque relève d’une approche trompeuse essentiellement à vocation commerciale.

Plus de 1 million d’Euros, c’est en moyenne ce que coûte statistiquement une Cyber Attaque pour une Entreprise. Ce chiffre, dont la signification n’est encore une fois que statistique, cache en réalité une immense disparité des coûts en fonction de la taille de l’Entreprise, de son secteur d’activité, de son implantation géographique et surtout de son modèle économique. Ces éléments viennent en effet modifier radicalement la surface d’exposition des Entreprises à un Risque de Cyber Attaque tant dans sa fréquence que dans son intensité et expliquent ainsi dans quelle mesure et sous quelle proportion un tel évènement peuvent les affecter économiquement. On trouvera ainsi des milliers de structures économiques pour lesquelles un incident Cyber aura entraîné une augmentation ponctuelle de charges de quelques milliers d’Euros tandis que des centaines d’autres auront souffert d’un impact économique latent dépassant des dizaines de millions d’Euros. C’est cette complexité qui est en général difficile à appréhender et intéressante à modéliser pour appréhender au mieux le Cyber Risque d’une Entreprise et trouver les couvertures Cyber les plus efficientes sur le marché de l’Assurance ou de la Réassurance.

Du fait de l’évolution des technologies (Edge Computing, Fast Data, Intelligence Artificielle, Blockchain, Internet Of Things, Industrie 4.0, Robotisation, Ordinateur quantique…) et de la manière de les utiliser par les Entreprises, le coût des Cyber Attaques est aussi amené à évoluer de manière sensible, tant dans le type de dommages qu’elles pourraient générer que dans leurs montants. L’analyse des Risques Cyber implique donc plus que jamais le recours à des outils d’analyse quantitatifs et prospectifs, en particulier au regard de l’augmentation du coût total d’une Cyber Attaque de l’ordre de 60 % sur ces dernières années.



Le coût d’un piratage informatique inclut des dommages économiques directs et indirects

Qu'il s'agisse d'un virus, d'un cryptolocker ou encore d'un déni de service, une Cyber Attaque implique généralement au moins trois principales réponses : identifier l’origine de l’attaque informatique et les moyens d’y remédier, estimer son amplitude en matière d’impact économique pour assurer la continuité des opérations, et répondre des conséquences qu’elle entraîne à court et long terme auprès de ses salariés, de ses clients de ses fournisseurs, de ses partenaires ou de tout tiers pouvant avoir été affecté d’une quelconque manière. Cette logique explique en grande partie les différentes catégories de coûts et de charges que devra supporter l’Entreprise suite à une Cyber Attaque.

Parmi elles, on peut bien sûr citer en premier lieu le financement d’une expertise technique de Cybersécurité dédiée à l’identification informatique du piratage et à sa résolution. Cela se traduit soit par la mobilisation d’importantes ressources internes dans l’Entreprise parmi les équipes de spécialistes, soit par l’appel à des prestataires dédiés mobilisant des moyens proportionnels à l’urgence et l’enjeu de l’incident. En matière de dommages économiques immédiats, une Cyber Attaque occasionne généralement une interruption d’activité partielle voire totale donnant lieu à une perte d’exploitation pouvant atteindre des montants absolument significatifs ; pour des Entreprises dont le modèle économique est profondément ancré dans leurs systèmes d’information, cette perte peut représenter jusqu'à 70 % du coût de l’incident. En particulier, une Entreprise s’étant par exemple engagée auprès de ses Clients sur une quantité et une qualité de marchandises dans des délais de livraison fixés devra répondre financièrement aux éventuels manquements causés par une Cyber Attaque. Concernant d’autres impacts consécutifs à un piratage informatique, il y a évidemment, et de manière non exhaustive, un important risque de réputation, un risque d’attrition à court voire long terme mais aussi un risque règlementaire, où pour chacun de ceux-ci et compte tenu des enjeux, l’Entreprise pourra s’entourer d’une équipe de professionnels dédiés dont les honoraires peuvent compter jusqu’à 30 % du coût total induit par une Cyber Attaque. En résumé, le coût d’une Cyber Attaque pour une Entreprise s’explique davantage par son positionnement économique que par des considérations purement techniques. Il est composé à la fois d’importantes charges directes et de dommages indirects comptabilisables à court terme et à la fois d’un coût d’opportunité pour l’Entreprise mesurable à long terme.

Bien sûr, ces coûts peuvent être couverts par des contrats d’assurance spécifiques : les contrats de Cyber Assurance. Ayant vu le jour aux Etats-Unis avec une croissance marquée depuis les débuts d’Internet et du World Wide Web, l’apparition de ces couvertures en Europe et en France est assez récente mais elles ne sont plus seulement adaptées à quelques multinationales aux secteurs d’activité et besoins très spécifiques. Ces produits d’assurance, non standardisés, restant relativement complexes tant dans leur conception que dans l’application des garanties, ils permettent cependant d’apporter une protection financière très intéressante en cas d’incident Cyber.





Dans le cas du Cyber Risque, et contrairement à beaucoup de Risques traditionnellement assurables, chaque Entreprise aura sa propre empreinte Cyber venant à la fois conditionner sa probabilité d’être visée par une Cyber Attaque et à la fois moduler la perte financière qu’elle peut subir. Chaque Entreprise est unique ; répondre à la question du coût d’un piratage informatique, c’est donc être en mesure de modéliser son actif économique et d’analyser sa dépendance à des systèmes d’information pour estimer qualitativement puis quantitativement la résilience de cette Entreprise suite à une Cyber Attaque. Combiner Ingénierie actuarielle et Modélisation des Cyber Risques permet à LYON RE d’apporter aux Entreprises, Assureurs et Réassureurs une évaluation économique et actuarielle des Cyber Risques afin de maximiser la rentabilité de leur stratégie de Gestion des Risques de Cyber Attaque et de leur programme de Cyber Assurance et de Cyber Réassurance.




RISK INTELLIGENCE
Risques Cyber & Risques Emergents

LYON RE est une Entreprise de l'Insurtech spécialisée dans l'Ingénierie, la Modélisation et le Courtage des Risques Cyber et des Risques Emergents. En combinant son expertise actuarielle à sa technologie de simulations et d'analyse des Risques, LYON RE conseille les Compagnies d’Assurance et de Réassurance, les Entreprises et les Institutions publiques dans leur stratégie de Risk Intelligence.



Emerging Risk Broker