Les risques traditionnels tels que les catastrophes naturelles continuent d’avoir un impact sur les organisations. Mais, les impacts des cyberattaques ne sont plus négligeables. Le Baromètre du risque Allianz 2019 arrive aux mêmes conclusions que la 14e édition du « Global Risks Report » du Forum économique mondial. Allianz signale toutefois que les pannes informatiques et les erreurs humaines restent la principale cause des pertes d’exploitation.
Les causes de perte d’exploitation sont multiples. Des pertes élevées peuvent être causées par des pannes des systèmes informatiques, des rappels de produits, des actes de terrorisme, la pollution de l’environnement, décisions politiques (Brexit)…
Si les risques varient selon les pays comme le montre la carte ci-dessus, l’impact de la menace numérique devient de plus en plus fort. La perte moyenne assurée d’un cyberincident s’élève dorénavant à un peu plus de 2 millions d’euros, contre près de 1,5 million d’euros pour un incendie ou une explosion.
La cybercriminalité coûte environ 600 milliards de dollars par an, contre 445 milliards en 2014. À titre de comparaison, les pertes économiques moyennes sur dix ans dues aux catastrophes naturelles s’élèvent à environ 200 milliards de dollars, soit trois fois plus.
Mais attention à l’arbre qui cache la forêt : les codes malveillants seraient rarement à l’origine des incidents cybers. La majorité est due à des dysfonctionnements techniques ou à des erreurs humaines. Une analyse menée par l’organisme de réglementation des services financiers du Royaume-Uni a révélé une augmentation de 138 % des pannes technologiques en un an.
Risques cyber et actions collectives
Mais seulement 18 % des incidents déclarés étaient des cyberattaques. Les pannes informatiques et les dysfonctionnements dans le cloud représentent un risque important. Ils peuvent coûter des centaines de millions de dollars.
L’assureur cite l’exemple d’un bug dans un logiciel chez Ericsson qui a perturbé les services pour des millions d’abonnés à la téléphonie mobile en Europe et au Japon l’an passé. En 2017, une panne de quatre heures d’AWS d’Amazon avait entrainé une perte d’environ 150 millions d’euros pour des entreprises.
L’impact des méga-violations de données, des scandales en matière de protection de la vie privée et l’arrivée du RGPD sont devenues des préoccupations majeures pour les DSI et de leur direction. C’est le cas en France. Allianz indique que les cyber incidents représentent le premier risque (41 %), suivi par l’interruption de l’activité (défaillance au niveau de la supply chain notamment) avec 40 %.
Allianz prévient que les cyberincidents sont de plus en plus susceptibles de donner lieu à des litiges, y compris des recours collectifs.
Résultat, les entreprises sont de plus en plus préoccupées par les évolutions des réglementations.
Chaque entreprise doit adopter une politique de sécurité informatique adaptée à sa taille, à ses opérations et à son profil de risque. Elles doivent aussi investir dans des solutions, des mécanismes de sauvegarde appropriés et la formation du personnel.