53 milliards de dollars, soit 46 milliards d’euros, c’est le prix que pourrait coûter une cyberattaque mondiale massive. Des pertes économiques aussi importantes que celles causées par une catastrophe naturelle comme l’ouragan Sandy en 2012, estiment Lloyd’s, le marché britannique de l’assurance, et le cabinet Cyence dans un rapport.
Le rapport, intitulé “Counting the cost: Cyber exposure decoded” a élaboré deux scenarii : un piratage malveillant sur un prestataire de services cloud avec des pertes estimées à 53 milliards de dollars, et des attaques sur des systèmes d’exploitation utilisés par un grand nombre d’entreprises dans le monde menant à des pertes de 28,7 milliards de dollars. En comparaison, Sandy, deuxième cyclone tropical le plus coûteux de l’histoire, a provoqué des pertes comprises entre 50 et 70 milliards de dollars. Les coûts de l’attaque informatique WannaCry ont eux été évalués à 1 milliard de dollars.
Le chiffre de 53 milliards de pertes pour le premier scénario est une moyenne. Ce chiffre pourrait atteindre 121 milliards de dollars, indique Lloyd’s, ou se limiter à 15 milliards de dollars. Pour le second scénario, la fourchette varie, selon la gravité de l’incident, de 9,7 milliards à 28,7 milliards de dollars.
Le déficit d’assurance pourrait atteindre 45 milliards de dollars pour le premier, “ce qui signifie que moins d’un cinquième (17%) des pertes économiques est effectivement couvert par une assurance”, précise l’étude. L’écart pourrait atteindre 26 milliards de dollars pour le second scénario, avec seulement 7% des pertes économiques couverts.
Ce rapport permet de prendre concrètement conscience “de l’ampleur des dégâts qu’une cyberattaque pourrait causer sur l’économie mondiale”, explique Inga Beale, CEO de Lloyd’s. “Tout comme certaines des pires catastrophes naturelles, les incidents cyber peuvent avoir un grave impact sur les entreprises et les économies, déclencher des créances multiples et augmenter considérablement les coûts des sinistres”, ajoute-t-elle. Des éléments chiffrés qui permettent aux assureurs de mieux comprendre le cyber-risque, et de le modéliser.
1000 Md$ pour une attaque sur le réseau électrique américain
En 2015, un rapport du Lloyd’s (« Business Blackout ») avait estimé le coût d’une attaque sur le réseau électrique américain à plus de 1000 Md$. Il relatait un scénario où des pirates informatiques réussissaient à paralyser une grande partie du réseau électrique des États-Unis, plongeant 15 états américains et Washington DC dans l’obscurité et laissant ainsi 93 millions d’américains sans courant. Il évoquait la défaillance des équipements de santé et de sécurité, et par conséquent une augmentation du taux de mortalité, la diminution des échanges commerciaux, la rupture des approvisionnements en eau à cause de l’arrêt des pompes électriques et la paralysie des infrastructures de transport.
En 2016, les cyberattaques ont coûté quelques 450 milliards de dollars aux entreprises, à l’échelle mondiale (Graham, 2017).