Dans un rapport sur le risque cyber, le Lloyd's met en garde les entreprises. Ces dernières n'auraient qu'une seule alternative : se couvrir contre le risque ou assumer les pertes qui vont aller croissant.
Alors qu'une nouvelle cyber attaque d'ampleur, baptisée Petya, vient à nouveau de frapper plusieurs pays, le Lloyd's publie un rapport sur le risque cyber pour les entreprises et plus particulièrement sur les conséquences financières qui en découlent. Selon l'étude, les victimes doivent se préparer à des coûts de plus en plus importants immédiatement après la survenance du sinistre.
Mais pas seulement. Les risques de réputation, une perte de compétitivité ou les actions de justice induisent des coût progressifs supplémentaires au-delà du sinistre purement technique. « Ce sont les conséquences d'une cyberintrusion en matière de réputation qui conduisent les entreprises modernes à leur perte. Et dans un monde où la question est davantage de savoir 'quand' et non pas 'si' une menace cyber aura lieu, vous ne pouvez pas vous contenter d'espérer que vous serez épargnés », prévient Inga Beale, PDG du Lloyd's.
Pour illustrer son propos, l'étude prend l'exemple du vol de données liées à 40M de cartes de crédit à Target, un détaillant américain. Le coût immédiat pour l'entreprise s'est élevé à 60M de dollars pour faire face à l'attaque et effectuer une première sécurisation de ses serveurs. Par la suite, elle a dépensé 100M de dollars pour renforcer la sécurité de son système. Quelque 140 actions en justice ont été par ailleurs menées contre Target, qui a vu ses ventes chuter de 5,3% après l'attaque. A la facture de 60M de dollars de coûts directs, sont finalement venus s'ajouter 219M de dollars de coûts indirects pour le détaillant.
« Certes, l'impact immédiat d'une intrusion n'est pas négligeable pour une entreprise, mais il s'agit parfois uniquement de la partie émergée de l'iceberg, les conséquences juridiques pouvant s'étaler sur plusieurs mois, voire plusieurs années. Une fois ouvertes, il n'est pas rare que les enquêtes réglementaires durent plus d'un an avant d'aboutir à une conclusion », souligne ainsi Hans Allnutt, associé et responsable des risques liés aux données et à internet chez DAC Beachcroft, partenaire de l'étude publiée par le Lloyd's.
Une estimation livrée par le Lloyd's évalue à 400Mds de dollars, le coût du cyber crime dans le monde chaque année. Un chiffre amené à gonfler dans les années à venir. Les attaques de rançongiciels devraient se multiplier « à toute vitesse, au même titre que les attaques par déni de service distribué et la fraude au président », affirme l'étude. A titre de comparaison, le réassureur allemand Munich Re fait état d'un coût de 175Mds de dollars de pertes totales (assurées et non assurées) consécutives aux catastrophes naturelles dans le monde en 2016.
Pour autant, le marché de l'assurance sur le risque cyber peine à décoller, notamment en Europe. Aux Etats-Unis, les entreprises dépenseraient quelque 2,5Mds de dollars en couverture contre le cyber risk, contre 150M de dollars en Europe, un marché économiquement proche. L'enjeu, selon le Lloyd's, est de réduire ce fossé. « Pour se protéger, les entreprises doivent prendre le temps d'identifier les risques spécifiques auxquels elles sont exposées, puis se tourner vers des experts qui peuvent les aider à gérer une intrusion, limiter les préjudices à la réputation et fournir une couverture contre le risque cyber afin de s'assurer que les risques sont couverts de manière adéquate », explique Inga Beale.
Pour y parvenir, les entreprises devront opérer un véritable choc culturel. Plus elles auront assimilé la culture du risque cyber, mieux elles sauront se prémunir conclut l'étude.
À voir aussi
Nomination : Jeanne Vuillod-Rey rejoint Stoïk
Grands risques : Verlingue renforce (encore) sa présence au Lloyd’s
Stoïk : Marjolène Lelievre nommée souscriptrice cyber
Cyber : Cogitanda se lance en France