Cyberattaques : comment chiffrer les impacts ?

Une estimation habituelle des coûts qui reste en surface

Les estimations généralement erronées du coût global d’une cyberattaque par les dirigeants trouvent leur origine dans la nature des informations que les entreprises sont obligées de rendre publiques – à savoir le vol de données personnelles, de coordonnées bancaires ou encore de renseignements médicaux. De ce fait, le calcul des coûts d’une attaque se limite habituellement à la partie émergée de l’iceberg et prend seulement en compte ceux qui sont liés à l’information des clients, à la surveillance du crédit, aux litiges juridiques et aux sanctions réglementaires. Or c’est précisément lorsque les attaques ont d’autres objectifs que le simple vol de données que les impacts peuvent être de plus grande portée et les coûts s’avérer particulièrement difficiles à évaluer.

 Combien coûte réellement une cyberattaque ? Les amendes, les dépenses en relations publiques, les coûts liés aux actions immédiates à mettre en place pour protéger les clients, toutes ces conséquences sont bien prises en compte par les dirigeants. Mais les conséquences d’une attaque peuvent se répercuter sur des années sous la forme de coûts cachés, dont la plupart sont beaucoup moins facilement mesurables : atteinte portée à l’image de l’entreprise, interruption d’activité, perte d’informations confidentielles, entre autres atouts stratégiques.

Les 14 impacts d’une cyberattaque

Pour évaluer de manière exhaustive les conséquences d’une attaque, voici les 14 facteurs que doivent prendre en compte les dirigeants d’entreprise. La partie émergée de l’iceberg est constituée par les coûts directs habituellement associés aux violations de données à caractère personnel. La partie immergée de l’iceberg, quant à elle, se compose d’impacts beaucoup moins évidents et facilement quantifiables – car beaucoup moins tangibles – et rarement portés à la connaissance du public : dévalorisation financière de la marque, perte de propriété intellectuelle ou encore augmentation du coût des assurances.

Les répercussions d’une cyberattaque dans la durée

Au-delà de la gestion de ses conséquences immédiates à la fois sur les clients de l’entreprise et sur l’entreprise elle-même, une attaque engendre des impacts à plus long terme sur le management et nécessite la mise en place d’actions permettant de réparer les dommages subis. Cette phase de récupération, qui mobilise un nombre important de fonctions au sein de l’entreprise, se déroule en plusieurs étapes : rétablissement de l’activité, augmentation du niveau de cybersécurité, restauration de relations de confiance avec les clients et les parties prenantes, règlement des questions juridiques, décisions d’investissement et changements de stratégie.

Mieux comprendre les impacts business

À travers deux études de cas, notre étude se propose d’examiner en détail deux scénarios de cyberattaque et d’observer comment, à quel point et pendant combien de temps la performance de l’entreprise s’en trouve diminuée.

Le premier cas est celui d’une attaque perpétrée contre une compagnie d’assurance de santé. Si celle-ci a tout, au premier abord, du cas typique du vol de données personnelles, elle se révèle avoir d’énormes répercussions financières jusqu’à 5 ans après l’attaque, dues à l’absence de signatures de nouveaux contrats.

Le second cas, quant à lui, se penche sur l’impact du vol de propriété intellectuelle chez une entreprise de technologie, et démontre les effets dévastateurs que cette intrusion a eus pendant 2 ans sur la continuité de son activité.
En associant une profonde connaissance des risques cyber à des techniques de valorisation d’entreprise et des méthodes de quantification financières, ces deux études de cas permettent de constater très concrètement la répartition des coûts engendrés par une cyberattaque et la durée de ses impacts sur l’entreprise.