Les récents cybercrimes contre les entreprises, organismes publiques et individus permettent de dresser une liste des cyber risques, sachant que ces risques dépendent du contexte de la victime et du type d'attaque.

Des risques informationnels et techniques

Le premier risque est informationnel. Ainsi, l'objectif d'un pirate peut être de pénétrer les systèmes d'information de sa cible pour détruire, voler des informations ou prendre le contrôle du système d'information. Si derrière le pirate se cache un concurrent, des informations stratégiques et confidentielles peuvent être entre les mains d'une entreprise adverse qui pourra exploiter ces informations pour mieux dominer son marché.

Un autre risque est technique. En touchant les systèmes d'information, les criminels remettent en cause l'intégrité de l'information et le bon fonctionnement des processus. Une entreprise industrielle peut ainsi devoir arrêter sa production. En mai 2017, le site de Renault à Douai a été fermé suite à la propagation du « ransomware » WannaCrypt. Si les conséquences techniques pour la firme française furent limitées, l'histoire de la cybersécurité montre que l'impact technique peut être considérable. Dix ans plus tôt en mai 2007, un pays entier, l'Estonie fut « mis à plat » par une attaque pilotée depuis la Russie avec des « botnets », des centaines de milliers d'ordinateurs zombis. Cette gigantesque cyberattaque hante depuis l'esprit des spécialistes.

Des conséquences marketing et commerciales

De plus, une cyberattaque peut avoir des conséquences marketing et commerciales. Deloitte qui vend des solutions contre la cybersécurité vient d'en faire l'amère expérience. Vendre des prestations contre les cyber risques et se faire pirater n'est pas une bonne publicité. La crédibilité d'une société victime d'un cybercrime peut s'en trouver écornée. Que penser d'une agence de notation comme Equifax qui laisse fuiter des informations confidentielles de 145 millions de clients américains ? Méfiants, les utilisateurs peuvent se détourner de l'entreprise « hackée ». L'entreprise victime perdra alors des clients et des parts de marché. Par ailleurs, dans les fichiers interceptés par les pirates, des fichiers des clients peuvent éventuellement permettre à des concurrents indélicats de les contacter avec des offres commerciales adaptées.

Un risque légal pèse aussi sur les victimes. Le cadre légal ne cesse de changer dans ce domaine. Ainsi, la directive sur la sécurité des réseaux et des systèmes d'information (adoptée le 6 juillet 2016, connue sous l'appellation « directive NIS », Network and Information Systems) stipule notamment des règles de cybersécurité et l'obligation de notifier les incidents ayant un impact sur la continuité de leurs services. Les exigences légales se trouvent renforcées dans la protection des données, qui évolue dans le sens d'une plus forte protection accordée aux citoyens dans ce domaine telle que définie par le RGPD (Règlement général européen sur la Protection des Données personnelles) qui entrera en vigueur en mai 2018.

Le piratage d'Equifax, une perte de capitalisation de 3 milliards de dollars !

Évidemment, les conséquences précédentes engendrent un risque financier important. Ce coût financier est composé des frais des consultants et d'avocats appelés pour réparer les dégâts, pertes financières consécutives à la perte de marché ou l'arrêt de la production, coût découlant de la perte d'information stratégique, amendes infligées par les autorités, rançons éventuelles à des pirates.

Il faut rajouter le coût parfois exorbitant de la baisse du cours de l'action. Ainsi, quand Equifax a annoncé le 6 septembre 2017 avoir été victime d'un piratage, le cours de son action a perdu 35% de sa valeur en seulement une semaine. Elle a toujours un cours inférieur de plus de 20% à son cours maximum de l'année 2017, soit une perte de capitalisation boursière de presque 3 milliards de dollars !

Enfin, une cyberattaque peut avoir de multiples conséquences humaines et organisationnelles. Suite à un piratage, l'entreprise victime vivra une déstabilisation profonde du corps social avec le licenciement des responsables, des peines de prison, le départ volontaire de hauts potentiels.  L'annonce par le PDG d'Uber d'un piratage massif de données concernant presque 60 millions de clients et chauffeurs a entraîné rapidement des licenciements. Autrefois auréolée comme un entreprise digitale prometteuse, Uber peut être maintenant perçue avec défiance par ses salariés et partenaires. Face à un cybercrime, le sommet stratégique est aussi touché. Aux commandes depuis 2005, le Président d'Equifax a été contraint à la démission le 26 septembre 2017, se faisant aussi pointer du doigt comme « incompétent » par des sénateurs américains.

Face à l'avalanche des cyber risques, les décideurs ne peuvent plus sortir un simple parapluie en s'exclamant « je ne savais pas » sachant que les prochaines attaques seront encore plus dures et spectaculaires.