Les grandes entreprises mondiales touchées par l’incident CrowdStrike-Microsoft du 19 juillet pourraient subir des pertes financières de plusieurs milliards de dollars
Les pertes financières directes engendrées par l’incident du 19 juillet, impliquant Microsoft et CrowdStrike, sont estimées à environ 5,4 milliards de dollars (4,18 milliards de livres sterling) pour les entreprises du Fortune 500. Cela représente une perte moyenne de 44 millions de dollars par entreprise, atteignant près de 150 millions de dollars pour les plus touchées, comme les compagnies aériennes.
Selon Parametrix, un fournisseur de services de surveillance, de modélisation et d’assurance dans le cloud, l’impact sera amplifié pour de nombreuses entreprises du Fortune 500. En effet, leurs grandes franchises de risque et leurs limites de police d’assurance relativement faibles par rapport aux pertes potentielles signifient que la couverture offerte par les polices d’assurance cybernétique ne représentera probablement que 10 à 20 % des pertes totales.
Les analyses de Parametrix révèlent que le secteur de la santé subira la plus grande perte financière directe, avec un total de 1,94 milliard de dollars, suivi du secteur bancaire avec 1,15 milliard de dollars. Ces deux secteurs représentent 57 % des pertes totales, bien qu’ils ne constituent que 20 % des revenus du Fortune 500, en raison de l’impact inégal de l’événement.
Par exemple, les analystes de la société ont noté que le secteur manufacturier, qui est le plus important du Fortune 500 en termes de revenus, enregistrera une perte relativement modeste de seulement 36 millions de dollars, par rapport à un chiffre d’affaires annuel de 3,4 billions de dollars pour 130 entreprises. En revanche, les six compagnies aériennes figurant sur la liste subiront une perte de 860 millions de dollars sur des revenus totaux de 187,1 milliards de dollars.
Parametrix a estimé qu’environ un quart des entreprises du Fortune 500 ont été touchées par cet incident, causé par une erreur de codage dans une mise à jour de CrowdStrike, qui a provoqué un redémarrage en boucle des ordinateurs et l’effondrement des systèmes. Cela inclut toutes les six compagnies aériennes du Fortune 500 et 43 % des détaillants. Parallèlement, trois quarts des entreprises de santé et de banque subiront des coûts directs.
« Notre analyse de l’incident CrowdStrike met en lumière non seulement l’ampleur possible d’un événement de perte cybernétique systémique, mais aussi ses limites », a déclaré Jonatan Hatzor, co-fondateur et PDG de Parametrix.
« Cela nous en dit plus sur les moyens par lesquels les assureurs et les réassureurs peuvent diversifier leurs portefeuilles de risques cybernétiques afin de minimiser les impacts potentiels des risques cybernétiques systémiques. Cependant, notre analyse ne montre pas l’ensemble du tableau de la diversification. Un assureur cybernétique axé sur de très grandes entreprises subira certainement une perte CrowdStrike beaucoup plus importante par rapport à la prime qu’un assureur ayant un portefeuille d’entreprises de taille moyenne. »
Au-delà des pertes financières, l’impact de l’interruption des services critiques a entraîné une série de retards opérationnels visibles affectant les entreprises du Fortune 500 et les entités en aval.
Parametrix a indiqué que les secteurs qui dépendent encore fortement des ordinateurs physiques seront ceux qui connaîtront des temps de récupération plus longs, ce qui souligne l’avantage des services cloud. L’impact global de l’incident a été accentué par le déploiement de CrowdStrike à la fois sur site et dans des environnements cloud.
Sur cette base, la société a prévu que les assureurs cybernétiques ne devraient pas se fier uniquement à cet événement pour modéliser de futures pannes basées sur le cloud, mais devraient plutôt essayer de mieux gérer les risques d’interruption systémique en diversifiant à travers les secteurs industriels, les fournisseurs de services et les tailles d’entreprises.
« La prévention est essentielle, mais les porteurs de risques ont un contrôle limité sur l’occurrence des événements et les pratiques des fournisseurs de services », a-t-il ajouté. « L’industrie devrait se concentrer sur des domaines contrôlables, comme la cartographie et la gestion des risques d’agrégation. En comprenant ces points, nous pouvons évaluer les principales expositions et atténuer à la fois les menaces malveillantes et non malveillantes. Cette approche proactive permet de prendre de meilleures décisions en matière de souscription et de proposer des solutions de transfert de risque efficaces pour gérer le risque systémique. »
Point de défaillance unique
Plus largement, Hatzor a exprimé des préoccupations déjà partagées par d’autres observateurs suite à l’incident mondial, notamment la prévalence des services technologiques étroitement intégrés qui risquent de créer des points de défaillance uniques.
« Dans le paysage numérique actuel, de nombreuses entreprises dépendent fortement de systèmes et de services intégrés qui, bien que efficaces, peuvent également les rendre vulnérables », a-t-il déclaré. « Lorsqu’un composant critique d’une solution étroitement intégrée subit une interruption ou échoue, cela peut déclencher une cascade de perturbations dans l’ensemble du système. »
« Cette interconnexion signifie qu’un échec dans un domaine peut entraîner des perturbations opérationnelles significatives, affectant tout, des services à la clientèle à la gestion des données et aux transactions financières. »
Hatzor a également soulevé des inquiétudes selon lesquelles les régulateurs et les assureurs cybernétiques ne sont pas vraiment préparés à faire face aux complexités et aux risques de tels systèmes. Comme cela se produit souvent, a-t-il noté, l’évolution rapide de la technologie a dépassé le développement de cadres réglementaires et de modèles d’évaluation des risques, laissant les entreprises exposées à des lacunes dans la couverture d’assurance ou le soutien réglementaire lorsque le pire se produit.
« Ce manque de préparation peut aggraver l’impact… rendant les entreprises plus vulnérables à des temps d’arrêt prolongés et à des pertes financières », a-t-il conclu.
