Une cyberattaque mondiale massive coûterait autant qu’une catastrophe naturelle

Un récent rapport de la Lloyd’s, marché mondial d’assurance, et Cyence, leader dans la modélisation des analyses du risque cyber, vient de paraître pour améliorer la compréhension des assureurs et des risk managers en matière de responsabilité et d’agrégation des cyber risques. Celui-ci repose sur deux cas de figures particulièrement inquiétants.

Scénario 1 : piratage d’un fournisseur de services informatiques cloud

Un groupe sophistiqué de hackers militants décide de perturber l’activité de prestataires de services informatiques cloud et celle de leurs clients pour attirer l’attention sur l’impact environnemental des entreprises et de l’économie moderne. Le groupe modifie de façon malveillante un « hyperviseur » qui contrôle l’infrastructure cloud. Cet acte se traduit par une panne de nombreux serveurs clients hébergés et par une interruption généralisée des services et de l’activité.

Scénario 2 : attaque ciblant une faille généralisée

Dans un train, un cyber analyste oublie son sac qui contient la copie papier d’un rapport sur une faille affectant l’ensemble des versions d’un système d’exploitation utilisé par 45 % du marché mondial. Dévoilé en ligne, ce document est acheté par un nombre indéterminé de malfaiteurs non identifiés qui développent des exploits système et lancent des attaques sur des entreprises vulnérables en vue d’un gain financier.

De ces deux scénarios catastrophes, les rapporteurs tirent 5 conclusions majeures :

1. De lourds préjudices économiques

Le scénario relatif au dysfonctionnement des services informatiques cloud pourrait entraîner 4,6 milliards de dollars de pertes et jusqu’à 53,1 milliards pour un incident majeur. Celui concernant une faille logicielle généralisée occasionnerait des pertes moyennes s’échelonnant entre 9,7 milliards de dollars pour un incident important et 28,7 milliards pour un incident majeur.

2. Des pertes moyennes difficiles à estimer

Alors que les pertes moyennes dans le scénario de défaillance des services informatiques cloud s’élèvent à 53,1 milliards de dollars pour un incident majeur, elles pourraient atteindre 121,4 milliards ou se limiter à 15,6 milliards de dollars en fonction, notamment, des entreprises concernées, du degré de préparation aux cyber-risques, et de la durée d’indisponibilité des services.

3. Un montant assuré s’évaluant en milliards de dollars

Dans le cas du scénario de défaillance des services informatiques cloud, le montant assuré est compris entre 620 millions de dollars pour une perte importante et 8,1 milliards pour une perte majeure. Dans le cas du scénario d’une faille logicielle généralisée, le montant assuré est compris entre 762 millions de dollars (perte importante) et 2,1 milliards (perte majeure).

4. Un déficit d’assurance notable

Pour le scénario de la faille logicielle généralisée, le déficit d’assurance est compris entre 8,9 milliards de dollars (perte importante) et 26,6 milliards (perte majeure), seuls 7% des pertes économiques étant couvertes.

5. Un ratio sinistres-primes alarmant

Il apparaît qu’une seule cyberattaque peut accroître le ratio sinistres-primes du secteur de 19% et 250% respectivement, en cas de pertes importantes et majeures. Cela illustre le potentiel catastrophique du risque cyber.

Les résultats de ce rapport placent donc le risque économique d’une cyberattaque d’ampleur au même rang que celui engendré par les ouragans les plus dévastateurs. Dans ce contexte, anticiper de façon explicite l’impact des catastrophes liées à la cybersécurité pourrait constituer un réel avantage pour les assureurs. L’enjeu pour eux consistant, dans un contexte où les cyber-risques sont en constant évolution, à s’appuyer sur une collecte de données fiables et fréquemment mise à jour – ce qui nécessite une prise de conscience doublée d’un changement culturel majeur du côté des entreprises.

Présent sur le marché de la sécurité informatique, Konica Minolta s’appuie sur des solutions et partenariats reconnus sur le marché pour accompagner les entreprises dans leur stratégie de sécurité IT et de continuité d’activité. N’hésitez pas à nous contacter.

Source – Rapport risque émergent 2017 : Evaluer les coûts, l’exposition au cyber-risque décodée, rapport co-produit par le Lloyd’s et Cyence