Evaluation d'une Perte d'Exploitation suite à une cyber-attaque
13/05/2021
1. Deux mots sur le risque cyber
L’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) écrit dans son document de synthèse du 1 mars 21 sur la menace cyber :
« La tendance à la hausse des attaques par rangonciel(1) à l’encontre d’organisations publiques et privées identifiées depuis 2018, s’est à nouveau confirmée en 2020, tant à l’échelle internationale que nationale. En 2020, l’ANSSI note une augmentation de 255% des signalements d’attaque par rangonciel par rapport à 2019. »
(1) Le ransomware est un programme malveillant qui chiffre les fichiers.
Cela signifie qu’il modifie les fichiers ou les structures de fichiers de telle sorte qu’il n’est plus possible
de les lire ou de les utiliser à nouveau qu’en les rétablissant à leur état initial, c’est-à-dire qu’ils doivent être déchiffrés.
Face à ce nouveau risque, des assureurs proposent des contrats « cyber » avec un volet « Pertes d’Exploitation ».
La méthodologie de l’évaluation des dommages immatériels de ce type de sinistre présente bien évidemment des similitudes avec les sinistres « Pertes de données informatiques ».
2. Deux exemples qui illustrent l’intérêt d’une approche spécifique
Dans les deux exemples présentés ci-après, on constate une baisse significative du chiffre d’affaires suite à la perte de données informatiques qui résulte ou non d’une cyberattaque.
2.1 Entreprise de construction
Une entreprise de construction gère plusieurs chantiers avec des équipes de terrain et un bureau d’étude qui réalise les plans.
Suite à cyber-attaque, cette entreprise perd toutes les données (notes de calcul, devis, plans, etc..) ; celles-ci ne peuvent être récupérées. Elles doivent être reconstituées.
Pendant la période de reconstitution des données, les chargés d’affaires sont mobilisés pour se rendre sur les chantiers et prendre les côtes nécessaires pour organiser les tâches à réaliser sur chantier ; ils réalisent, de ce fait, moins de devis.
Il est constaté une baisse du chiffre d’affaires dans les mois qui suivent la perte de données.
Après analyse, cette baisse est en fait peu liée à la perte de données car le rythme des devis a pu très vite reprendre. Par contre, la désorganisation du bureau d’études a entraîné une perte de productivité et des frais supplémentaires.
2.2 Société d’éditions de logiciels
Une société de fourniture et d’installation de logiciels et de matériels spécifiques perd la totalité de ses données suite à une cyber-attaque, ce qui entraîne un blackout total de la société.
La reconstitution du système d’information prend plusieurs semaines.
Le processus de commande varie selon le type de client.
L’analyse des processus met en évidence que la partie développement de logiciel a été peu affectée ; par contre, la vente en négoce du matériel a été fortement perturbée et le mode dégradé du processus de commande a entraîné une réelle perte de ces commandes.
Après analyse, il a été retenu, pour l’évaluation de la perte d’exploitation, la baisse du carnet de commande et non la baisse du chiffre d’affaires qui était très nettement supérieure.
3. Approche spécifique
L’évaluation de la perte du chiffre d’affaires n’est donc pas suffisante pour déterminer la perte d’exploitation. Il faut vérifier si cette perte est causale.
La perte des données informatiques stoppe la plupart ou la totalité des processus de l’entreprise : processus de prise de commande, processus de fabrication et de réalisation des prestations de service, et les processus administratifs.
Pour identifier les processus impactés par le sinistre et déterminer l’impact de ces processus sur l’exploitation et les flux financiers, on s’attachera à :
- Décrire les différents processus de l’entreprise
- Décrire le système d’information de l’entreprise
- Etablir un planning de reconstitution des données
- Déterminer les processus impactés et la durée de la perturbation
- Evaluer l’impact financier de processus impactés.
Au préalable, on déterminera le type d’entreprise concernée pour avoir une vision globale de la perturbation générée par la perte de données.
3.1 Déterminer le type d’entreprise concernée
On précisera dans un premier temps le type d’entreprise concernée :
- Entreprise de négoce (grande distribution, commerces, vente en ligne, …)
- Entreprise de production (fabrication sur commande, fabrication sur stock, ...)
- Entreprise de prestation de services (construction, transports, ...)
- Entreprise de service public (hôpitaux, EPHAD, ...)
L’impact d’une cyber-attaque ne sera pas le même sur une entreprise de négoce que sur une entreprise de production.
Pour la première, l’arrêt d’activité pourra entraîner immédiatement une perte de chiffre d’affaires, notamment s’il s’agit de produits catalogue ; pour le deuxième, l’impact principal pourra être un retard de livraison et probablement des coûts supplémentaires de fabrication.
A noter aussi que l’impact sera différent pour une entreprise de fabrication sur commande et pour une entreprise de fabrication sur stock, ou en continu.
Pour une entreprise de transport, l’impact d’une cyber-attaque sur le chiffre d’affaires sera immédiat, alors que pour entreprise de construction, l’impact portera plus probablement sur l’organisation des chantiers.
3.2 Décrire les processus de l’entreprise
On ignorera les processus administratifs de l’entreprise qui n’ont pas de relation immédiate avec son activité.
Les processus de l’entreprise qui peuvent être concernés par une perte de données informatiques sont essentiellement les suivants :
On s’attachera à décrire
- Le processus de commande : commandes sur catalogue, commande sur devis, commande nécessitant une négociation, commande EDI, etc...
- Le processus de fabrication : fabrication sur commande, sur stock, en continu, etc…
- Le processus de réalisation des prestations de service
Il existe une très grande variété des prestations de services possibles :
o Entreprises de construction
o Entreprises de transport, de logistique, …
o Cabinets d’avocats, d’expertise comptable, …
o Hôtels, restaurants,
o Etc...
On adaptera bien entendu la description du processus de réalisation de la prestation propre à l’entreprise concernée et on s’attachera à décrire quelles sont les informations nécessaires pour réaliser cette prestation.
Un hôtel pourra probablement continuer à fonctionner même s’il a perdu sa base de données clients. Par contre, un cabinet d’avocats ne pourra probablement plus rédiger de conclusions s’il n’a pas accès à ses pièces.
3.3 Décrire le système d’information (SI) de l’entreprise
Chaque entreprise a son système d’information, et la multiplication des solutions, outils, technologies, modes de consommation de l’informatique amplifie ce phénomène. Toutefois, pour éviter d’entrer dans les méandres technologiques, on peut résumer en écrivant qu’un SI se compose :
- D’une infrastructure – serveurs, stockage, bases de données, réseaux, cloud, etc.
- D’applications – généralement l’ERP est le cœur du SI, s’y greffent le CRM (clients), le SIRH (Système d'Information des Ressources Humaines), le marketing, les verticaux métiers, les développements spécifiques, les services, etc.
- Des utilisateurs – plus précisément les outils et services du poste de travail jusqu’en mobilité
3.4 Etablir un planning de reconstitution des données
L’objectif de ce planning est de décrire à partir de quel moment les différentes fonctions de l’entreprise (service commercial, production, équipes de chantier, le bureau d’études, etc..) ont perdu et pu retrouver l’accès à leurs données pour retravailler en mode dégradé ou en mode normal.
On s’attachera notamment à repérer les dates de
- Restauration de la messagerie,
- Rétablissement de l’ERP
- Rétablissement du CRM
- Etc..
3.5 Décrire l’impact de la perte de données sur les processus de l’entreprise
Processus de prise de commande
L’impact sur le processus de commande dépendra du mode de prise de commande.
L’impact d’une perte de données sera probablement plus immédiat pour une entreprise qui commercialise des produits catalogue.
Pour les entreprises qui doivent établir des devis, la perturbation perdurera tant que les commerciaux n’ont pas retrouvé l’accès à la base de données. Un rattrapage est toutefois possible.
Pour les entreprises dont la signature des marchés résulte d’une négociation client plus ou moins longue, la perturbation pourra perdurer tant que la base CRM n’est pas rétablie.
Pour les entreprises recevant les commandes par EDI (Echange de Données par Informatique), le processus de fabrication sera stoppé.
Processus de fabrication
Le processus de fabrication sera impacté notamment si la base des données techniques produit et l’application « gestion de production » sont altérées par la perte de données. Mais les impacts dépendront du mode de fabrication.
Pour les entreprises qui fabriquent sur commande, la perturbation sera directement corrélée à la perturbation du processus de prise de commande mentionnée supra.
Pour les entreprises qui fabriquent sur stock, l’arrêt de la fabrication n’arrêtent pas nécessairement l’arrêt de l’activité puisqu’il est éventuellement possible d’honorer les commandes à partir des stocks dès que l’entreprise pourra traiter les commandes.
Pour ces entreprises, la perte des données pourra cependant engendrer des frais supplémentaires de fabrication.
Pour les entreprises qui fabriquent en continu, il devra être déterminé si toute la production aurait été vendue et s’il y a un possible rattrapage de production, ce qui est une question classique pour un expert « Perte d’Exploitation ».
Processus de réalisation d’une prestation
La nature des prestations est très variée. Comme indiqué supra, on s’attachera à déterminer quelles sont les informations manquantes suite à la perte de données pour la réalisation du processus de réalisation de la prestation.
Une entreprise de construction pourra probablement continuer ses chantiers en marche dégradée avec des solutions de « débrouillardise » pour récupérer les données nécessaires à poursuivre les chantiers. Cette marche dégradée pourra occasionner des frais supplémentaires.
Un hôtel pourra aussi probablement continuer à préparer les chambres pour les clients.
Par contre, une entreprise de transport et de logistique sera probablement à l’arrêt car elle ne disposera probablement pas des données nécessaires pour le chargement des camions et l’organisation des tournées.
3.6 Evaluer l’impact financier
Pour chacune des perturbations décrites supra, on cherchera à déterminer le(s) flux financier(s) impactés et à borner dans le temps les perturbations en fonction du calendrier de reconstitution des données.
Le critère du chiffre d’affaires ne sera pas le critère privilégié ; il pourra toutefois être retenu notamment dans le cas des entreprises de ventes sur catalogues ou sur stock.
Le critère de perte du carnet de commande sera souvent plus pertinent, notamment lorsque l’entreprise fonctionne sur devis ou par marché.
Le critère des frais supplémentaires sera également retenu lorsque l’activité aura pu être poursuivi de manière dégradée.
4. Synthèse
L’évaluation d’une perte d’exploitation suite à une perte de données informatiques ne doit pas se limiter à l’analyse de la perte du chiffre d’affaires, car celle-ci n’est pas nécessairement causale.
L’analyse des processus impactés par la perte de données (processus commande, processus fabrication et processus réalisation d’une prestation) dans l’entreprise facilite une vision claire des perturbations sur l’activité.
Un planning précis de la reconstitution du système d’information sera établi pour déterminer les périodes de perturbation de chacun des processus impactés.
Il sera ensuite défini les flux financiers pertinents pour mesurer l’impact (perte de commande, frais supplémentaires, perte de CA...).
L’évaluation de ces différents flux permettra ainsi d’évaluer la perte d’exploitation.
Cette méthodologie peut s’intituler
- C comme comprendre les processus de l’entreprise
- D comme décrire l’impact de la perte de données sur ces processus
- E comme évaluer les conséquences financières de ces perturbations.