Le groupe Saint-Gobain, victime comme une centaine d'entreprises dans le monde d'une cyberattaque le 27 juin dernier, a communiqué sur son impact financier. Il est déjà rare qu'une entreprise informe le public sur une cyberattaque dont elle a été victime, il est plus rare encore qu'elle communique sur son impact financier. Le fait d'être cotée en bourse oblige à plus de transparence. Saint-Gobain a donc précisé 10 jours après l'attaque, que celle-ci ne l'affectait plus et que l'impact serait de 1% du chiffre d'affaires (19,55 milliards d'euros pour le 1er semestre 2016). Il précise également que cette première évaluation pourra être corrigée.
Un cas de cette ampleur est édifiant. L'assureur anglais Lloyds dévoile justement une étude, menée avec l'université de Cambridge et le cabinet spécialisé en cyber-risques Cyence, sur l'assurance en matière de cyber-risques. Elle estime que les grandes entreprises ont gravement sous-estimé ce type d'assurances. Peut-être n'imaginaient-elles pas la réalité des risques courus ? Wanacry début mai et Petya/Petrwrap fin juin leur ont sans doute remis les idées à l'endroit.
Des risques mal couverts
L'étude est basée sur différents scénarios, celui par exemple d'un hébergeur de cloud infesté, qui contamine ses clients, ils mettent un an à se rende compte du mal. Le coût final est évalué entre 4,6 et 53 milliards de dollars. L'étude insiste sur le fait que ces risques, financièrement très dangereux, sont mal couverts. Dans le scénario cité, celui d'un acteur du cloud défaillant, le montant moyen assuré s'élève à 8,1 milliards de dollars. Dans l'hypothèse haute, un coût de 53 milliards de dollars, il en reste donc 45 qui ne sont pas assurés ! C'est l'aspect caché de la transformation digitale, celui d'un manque d'assurance des cyber-risques.
Commentaire