Les grandes entreprises mondiales touchées par l’incident CrowdStrike – Microsoft du 19 juillet pourraient subir des pertes financières de plusieurs milliards de dollars.
Les pertes financières directes subies par les entreprises du Fortune 500 à la suite de l’incident Microsoft – CrowdStrike du 19 juillet sont estimées à environ 5,4 milliards de dollars (4,18 milliards de livres sterling), avec une perte moyenne de 44 millions de dollars par entreprise, atteignant près de 150 millions de dollars pour les plus touchées, comme les compagnies aériennes.
Cette estimation provient de Parametrix, un fournisseur de services de surveillance, de modélisation et d’assurance dans le cloud. Selon eux, l’impact sera amplifié pour de nombreuses entreprises du Fortune 500, car leurs grandes franchises de risque et leurs faibles limites de police par rapport aux pertes potentielles signifient que la couverture offerte par les polices d’assurance cybernétique ne représentera probablement que 10 à 20 % de la perte totale.
Parametrix a révélé que les pertes financières les plus importantes devraient concerner le secteur de la santé, avec une baisse cumulative de 1,94 milliard de dollars, suivi par le secteur bancaire, qui perdra 1,15 milliard de dollars. Ces deux secteurs représentent 57 % de la perte totale, bien qu’ils ne constituent que 20 % des revenus du Fortune 500, en raison de l’impact inégal de l’événement.
Par exemple, les analystes de la société ont noté que le secteur manufacturier, le plus important du Fortune 500 en termes de revenus, subira une perte relativement modeste de seulement 36 millions de dollars par rapport à son chiffre d’affaires annuel de 3,4 billions de dollars répartis sur 130 entreprises, tandis que les six compagnies aériennes figurant sur la liste perdront 860 millions de dollars sur des revenus totaux de 187,1 milliards de dollars.
Parametrix a indiqué qu’environ un quart des entreprises du Fortune 500 ont été touchées par cet incident, causé par une erreur de codage dans une mise à jour de CrowdStrike qui a provoqué un redémarrage en boucle des ordinateurs et a fait tomber les systèmes. Cela inclut toutes les six compagnies aériennes du Fortune 500 et 43 % des détaillants. Parallèlement, trois quarts des entreprises de santé et de banque subiront des coûts directs.
« Notre analyse de l’incident CrowdStrike montre non seulement l’ampleur possible d’un événement de perte cybernétique systémique, mais aussi ses limites », a déclaré Jonatan Hatzor, co-fondateur et PDG de Parametrix.
« Cela nous en dit plus sur les moyens par lesquels les assureurs et les réassureurs peuvent diversifier leurs portefeuilles de risques cybernétiques pour minimiser les impacts potentiels des risques cybernétiques systémiques. Cependant, notre analyse ne montre pas l’ensemble du tableau de la diversification. Un assureur cybernétique axé sur de très grandes entreprises subira certainement une perte CrowdStrike beaucoup plus importante par rapport à la prime qu’un assureur ayant un portefeuille d’entreprises de taille moyenne », a-t-il ajouté.
Au-delà des pertes financières, l’impact de l’interruption des services critiques a entraîné une série de retards opérationnels visibles affectant les entreprises du Fortune 500 et les entités en aval.
Parametrix a noté que les secteurs qui dépendent encore fortement des ordinateurs physiques seront ceux qui connaîtront des temps de récupération plus longs, ce qui souligne l’avantage des services cloud. L’impact global de l’incident a été accentué par le déploiement de CrowdStrike à la fois sur site et dans des environnements cloud.
Sur cette base, la société prévoit que les assureurs cybernétiques ne devraient pas nécessairement se fier uniquement à cet événement pour modéliser de futures pannes basées sur le cloud, mais devraient plutôt essayer de mieux gérer les risques d’interruption systémique en diversifiant leurs portefeuilles à travers différents secteurs, fournisseurs de services et tailles d’entreprises.
« La prévention est essentielle, mais les porteurs de risques ont un contrôle limité sur la survenance des événements et les pratiques des fournisseurs de services », a-t-il déclaré. « L’industrie devrait se concentrer sur des domaines contrôlables, comme la cartographie et la gestion des risques d’agrégation. En comprenant ces points, nous pouvons évaluer les principales expositions et atténuer à la fois les menaces malveillantes et non malveillantes. Cette approche proactive permet de prendre de meilleures décisions en matière de souscription et de proposer des solutions de transfert de risque efficaces pour gérer le risque systémique. »
Point de défaillance unique
Plus largement, Hatzor a exprimé des préoccupations déjà partagées par d’autres observateurs à la suite de l’incident mondial, à savoir la prévalence de solutions technologiques étroitement intégrées qui risquent de créer des points de défaillance uniques.
« Dans le paysage numérique actuel, de nombreuses entreprises dépendent fortement de systèmes et de services intégrés qui, bien que efficaces, peuvent également les rendre vulnérables. Lorsqu’un composant critique d’une solution étroitement intégrée subit une panne ou échoue, cela peut déclencher une série de perturbations dans l’ensemble du système », a-t-il déclaré.
« Cette interconnexion signifie qu’une défaillance dans un domaine peut entraîner des perturbations opérationnelles significatives, affectant tout, des services clients à la gestion des données et aux transactions financières. »
Hatzor a également soulevé d’autres préoccupations, à savoir que les régulateurs et les assureurs cybernétiques ne sont pas vraiment préparés à aborder les complexités et les risques de tels systèmes. Comme cela se produit souvent, a-t-il noté, l’évolution rapide de la technologie a dépassé le développement de cadres réglementaires et de modèles d’évaluation des risques, laissant les entreprises exposées à des lacunes dans la couverture d’assurance ou le soutien réglementaire lorsque le pire se produit.
« Ce manque de préparation peut aggraver l’impact… rendant les entreprises plus vulnérables à des temps d’arrêt prolongés et à des pertes financières », a-t-il conclu.
