L’impact financier des pannes informatiques : une couverture d’assurance insuffisante pour les entreprises touchées
Alors que des estimations alarmantes émergent concernant les coûts que les entreprises doivent supporter suite aux pannes causées par CrowdStrike la semaine dernière, il est essentiel d’analyser les sources de ces dépenses et de comprendre la part de la charge financière qui sera couverte par l’assurance cybernétique.
Parametrix, une entreprise spécialisée dans la surveillance cloud et les solutions d’assurance, a évalué la perte totale pour les 25 % des entreprises du Fortune 500 touchées (à l’exception de Microsoft) à un montant colossal de 5,4 milliards de dollars.
Selon Parametrix, la majorité de cette facture sera à la charge des entreprises elles-mêmes : « La part de la perte couverte par les polices d’assurance cybernétique ne dépassera probablement pas 10 à 20 %, en raison des fortes rétentions de risque de nombreuses entreprises et des limites de police relativement faibles par rapport aux pertes potentielles dues aux pannes. »
Quand le système s’effondre
Dans un scénario à fort impact comme celui de CrowdStrike, les entreprises subissent des coûts pour diverses raisons. Les experts soulignent la perte de revenus due aux temps d’arrêt, l’augmentation des dépenses opérationnelles et les coûts de remédiation, entre autres.
« Les coûts proviennent principalement de la perte de transactions en raison de l’indisponibilité des systèmes », a déclaré Duncan Brown, vice-président de la recherche chez IDC. « Cela est suivi par la perte de productivité et les coûts opérationnels (comme des avions et des trains mal positionnés), puis par les activités de remédiation pour résoudre le problème, dont une grande partie nécessite une intervention manuelle. »
Une étude de J. Gold Associates révèle qu’en moyenne, chaque machine touchée coûterait à une organisation 82,50 dollars pour être réparée par un employé interne. Les coûts pourraient tripler si l’entreprise devait faire appel à des services externes. Avec Microsoft estimant qu’il y avait 8,5 millions de machines Windows affectées, les coûts de remédiation liés à cet incident dépassent les 700 millions de dollars.
Variations des coûts entre secteurs
Les dépenses opérationnelles et les pertes commerciales varient considérablement d’une organisation à l’autre et d’un secteur à l’autre. Parametrix, en utilisant ses capteurs de surveillance de service, a estimé que le secteur de la santé subissait le plus de pertes directes, s’élevant à 1,94 milliard de dollars, suivi par le secteur bancaire et le transport avec respectivement 1,15 milliard et 860 millions de dollars. La perte par entreprise pour ces trois segments a été estimée à 64,60 millions, 71,8 millions et 143,38 millions de dollars, respectivement.
Chris Steffen, vice-président de la recherche chez Enterprise Management Associates, a déclaré que les chiffres pourraient en réalité être beaucoup plus élevés. « Parametrix affirme qu’il n’y a eu que 146 millions de dollars de pertes directes pour l’industrie aérienne », a-t-il dit. « Cependant, plusieurs compagnies aériennes ont connu plusieurs jours de pannes (Delta a enfin été rétabli mercredi cette semaine). Même en tenant compte des amendes monétaires associées aux retards et aux nouvelles réservations, sans parler de la réputation de la marque et d’autres coûts non réalisés, 146 millions de dollars semblent très bas. »
En plus des pertes directes, les coûts cachés supplémentaires liés à cet incident pourraient inclure des compensations aux clients pour la perte de service et des amendes pour non-conformité, a ajouté Brown. Les discussions sur l’ampleur de ces chiffres sont actuellement en cours.
Coûts réputationnels
De plus, il y aura des coûts réputationnels pour les marques qui subissent des désagréments auprès de leurs clients. CrowdStrike, par exemple, a été durement touché, avec une chute de son action de plus de 20 %, entraînant une perte de plus de 15 milliards de dollars en valeur pour les actionnaires.
Perte assurables : une couverture limitée
Les pertes assurées résultant de cet incident devraient se situer entre 540 millions et 1,08 milliard de dollars, selon les estimations de Parametrix, en supposant un ratio de pertes assurées par rapport aux pertes financières de 10 à 15 %.
Cette estimation est en partie soutenue par la société de renseignement sur les cyber-risques CyberCube. L’équipe de leur service de réponse aux événements d’agrégation cybernétique (CAERS) a fait une estimation générale des paiements d’assurance d’environ 1 milliard de dollars.
« Le modèle de catastrophe cybernétique de CyberCube estime que les pertes assurées préliminaires de l’événement du 19 juillet pour le marché de l’assurance cybernétique autonome se situent entre 400 millions et 1,5 milliard de dollars, représentant un impact de ratio de perte d’environ 3 à 10 % sur les primes mondiales de cybernétique de 15 milliards de dollars aujourd’hui », a déclaré CyberCube dans un article de blog.
La nature non malveillante de l’événement influence la couverture d’assurance déclenchée par les polices, selon la société. L’interruption d’activité due à une « défaillance du système » est probablement le principal déclencheur de perte, et ce type de couverture n’est souvent pas inclus en standard dans de nombreuses polices et, lorsqu’il est disponible, est fréquemment soumis à des sous-limites.
Alors que la situation de CrowdStrike commence à se stabiliser, les inquiétudes grandissent quant à la possibilité que les coûts dépassent les estimations actuelles. Les entreprises touchées devraient unir leurs ressources pour se remettre rapidement avant que les pertes ne s’aggravent.
