Une cyberattaque mondiale pourrait coûter jusqu’à 120 milliards de dollars, soit davantage que les dégâts causés à l’économie par les ouragans Sandy ou Katrina, d’après l’assureur Lloyd’s.
Les dommages causés par une cyberattaque mondiale peuvent dépasser ceux d’une catastrophe naturelle de l’ampleur des ouragans Sandy ou Katrina. C’est du moins la conclusion à laquelle est parvenu l’assureur Lloyd’s dans une étude de l’impact économique des cyberattaques publiée lundi 17 juillet.
Une cyberattaque massive affectant le fonctionnement d’entreprises dans le monde entier, à l’image du rançongiciel Wannacry, pourrait infliger des dégâts économiques allant de 15 milliards… à plus de 120 milliards de dollars, assurent ces experts de l’assurance. En moyenne, le coût pour l’économie mondiale s’élèverait à 56 milliards de dollars.
En comparaison, l’ouragan Sandy, qui a détruit 650 000 maisons en Amérique du Nord et latine en 2010, a causé 52 milliards de dollars de dégâts, tandis que l’addition pour Katrina, à l’origine de la mort de plus de 1 800 personnes essentiellement aux États-Unis et à Cuba, s’est élevée à 108 milliards de dollars en 2005.
L’assureur qui fait peur
Ces conclusions, qui font par ailleurs le jeu de Lloyd’s, qui vend des assurances contre le risque cyber, sont étayées par deux scénarios catastrophes. L’un imagine une cyberattaque qui affecterait le fonctionnement d’un important hébergeur de sites (comme Amazon Web Service), l’autre une attaque qui exploiterait une faille de sécurité informatique inconnue dans un système d’exploitation tel que Windows.
La propagation d’un virus via un service d’hébergement de sites serait de loin l’hypothèse la plus coûteuse. Ainsi infectées, des dizaines de milliers d’entreprises devraient interrompre une partie de leur opération, seraient obligés d’engager des frais importants pour faire le cyber-ménage, sans oublier le coût de la perte des données qui étaient stockées chez l’hébergeur. L’activité des sous-traitants et autres partenaires commerciaux en serait également affectée. Une chaîne de conséquences qui se chiffre aux alentours de 4,6 milliards de dollars si le problème est rapidement résolu, mais ferait perdre jusqu’à 53 milliards de dollars aux victimes si le retour à la normale prenait plus de trois jours.
Les outils de la NSA
Une attaque massive menée grâce à une faille de sécurité dans un système d’exploitation ne coûterait “que” de 9,7 à 28,7 milliards de dollars. Mais cette menace semble plus pressante. Le vol, à l’été 2016, des “outils de piratages” de la NSA a mis entre les mains de cybercriminels des failles de sécurité dans Windows qui n’étaient jusqu’alors qu’entre les mains de quelques cyberespions américains. Le rançongiciel Wannacry, qui avait pris en otage des centaines de milliers d’ordinateurs dans le monde en mai 2017, exploitait ainsi une faiblesse de Windows découverte par la NSA.
Ces évaluations restent cependant loin des 120 milliards de dollars de dégâts avancés par les assureurs de Lloyd’s. Un tel marasme économique ne se produirait, en réalité, que dans des cas extrêmes, si un grand nombre de multinationales étaient touchées pendant une longue période de temps. Il faudrait, par exemple, que Goldman Sachs, Facebook, LVMH, Saudi Aramco et d’autres mastodontes soient attaqués et paralysés en même temps et pendant plusieurs jours par une cyberattaque.