Manque d’historique, technicité, adaptabilité des pirates : autant de défis pour la modélisation actuarielle dans la maîtrise et la quantification du risque cyber. Quels leviers activer face à un risque aussi spécifique ?
Les cyberattaques ciblent les valeurs les plus précieuses d’une entreprise au 21e siècle : les données. Pour une grande entreprise, ce sont des milliards de données personnelles qui peuvent être rendues accessibles ou « prises en otage ». Les dégâts financiers, parfois complexes à chiffrer, comprennent le coût de la perte des données et de la perte d’activité. L’atteinte à la réputation peut également avoir des incidences sur le chiffre d’affaires et générer des frais publicitaires pour tenter de rétablir l’image et la confiance. Une attaque par ransomware (rançongiciel) ou databreach (brèche de données), les attaques les plus courantes, peuvent ainsi coûter jusqu’à plusieurs millions d’euros. IBM estime que, en moyenne, une fuite de données représente une perte de 3,86 M$. En 2018, l’attaque par rançongiciel NotPetya, dont la finalité était davantage la destruction que l’extorsion, a eu un impact de 220 M€ sur le chiffre d’affaires de Saint-Gobain et de 80 M€ sur son résultat d’exploitation.
Ces attaques, de plus en plus fréquentes depuis quelques années, se sont encore accélérées avec la pandémie de la Covid-19. L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a constaté une hausse de 92 % de ses interventions pour des attaques en rançongiciel en 2020. Grands groupes, collectivités, PME et ETI : tous sont touchés. Tous les secteurs sont visés aussi, même si c’est dans le secteur de la santé que les fuites de données coûtent le plus cher selon une étude...
