Les suites C s’adaptent aux ransomwares en tant que coût des affaires
Français
Dans un appel aux résultats du 5 mai pour WestRock, les analystes de Wall Street ont obtenu un aperçu des pertes résultant d’une attaque de ransomware qui a frappé la société d’emballage en carton ondulé en janvier. Combiné à l’impact de graves perturbations météorologiques, l’incident a causé un impact de 189 millions de dollars sur les revenus et de 80 millions de dollars sur les flux de trésorerie. Le bénéfice par action a été ajusté à la baisse de 23 cents. Et cela ne tenait pas compte des 20 millions de dollars payés en coûts de récupération de ransomware.
WestRock, la deuxième plus grande entreprise d’emballage aux États-Unis, s’attend à commencer à récupérer les pertes au cours des troisième et quatrième trimestres, en grande partie grâce à une couverture d’assurance. Mais l’impact tangible sur les résultats, même à court terme, combiné aux paiements de rançon de plusieurs millions de dollars par Colonial Pipeline et JBS, démontre une réalité que de plus en plus de membres de la communauté de la cybersécurité commencent à reconnaître : un coût pour faire des affaires, attirant l’attention non seulement des responsables de la sécurité, mais de l’ensemble de la suite C, des conseils d’administration et même des investisseurs.
« Nous sommes une entreprise de 250 ans. Nous ne ruinerons pas notre réputation » avec une défaillance de la sécurité, a déclaré Benjamin Corll, vice-président de la cybersécurité et de la protection des données chez Coats, la société de fil industriel. « La nouvelle fait venir mes cadres à moi. Je ne vends pas la peur, l’incertitude et le doute. Je ne vais pas les éduquer, leur dire « Puis-je avoir votre attention ? » Les nouvelles ont leur attention.
Coats est membre de Cybersecurity Collaborative, une organisation de membres de responsables de la sécurité de l’information appartenant à la société mère de SC Media, CyberRisk Alliance.
Bien sûr, les coûts liés aux ransomwares se présentent sous plusieurs formes. Colonial Pipeline et JPS ont en effet choisi de payer les attaquants, respectivement 5 et 11 millions de dollars. Mais cela ne tient pas compte des pertes directes et indirectes liées aux temps d’arrêt, à la perturbation des chaînes d’approvisionnement ou à l’incapacité de livrer le produit aux clients.
Et tandis que les assurances, et même les forces de l’ordre dans le cas de JBS, peuvent récupérer certaines pertes, les inquiétudes des investisseurs concernant les résultats et les dommages à la réputation peuvent être durables.
WestRock, pour sa part, a été confronté à un flot incessant de questions de la communauté d’analystes de Wall Street sur les implications de l’attaque de ransomware lors des appels de résultats en janvier, tout en essayant de se remettre de l’impact sur les systèmes technologiques opérationnels, qui ont paralysé les processus d’usine, et encore une fois dans Mai, quand le coup financier était plus perceptible.
“Nous avons entièrement restauré nos systèmes informatiques avec tous les sites opérationnels, et nous continuons à faire d’excellents progrès dans la restauration de notre chaîne d’approvisionnement et des niveaux de service client”, a déclaré le PDG David Sewell aux analystes lors de l’appel de mai. « Pendant le temps où nous faisions face à cet incident, nous avons donné la priorité au service de nos clients et avons engagé des coûts supplémentaires qui ont eu un impact sur les résultats du trimestre. Nous accélérons les investissements qui figuraient sur notre calendrier de développement informatique pour renforcer davantage notre infrastructure. »
Ce dernier point concernant l’accélération des investissements informatiques est notable, reflétant l’un des changements spécifiques qui émergent alors que les entreprises reconnaissent les implications potentielles d’une attaque de ransomware.
« Leur demandons-nous de mettre de côté 10 millions de dollars, juste au cas où l’acheter et l’investir en bitcoin ? Non », a déclaré Corll, qui est également membre de Cybersecurity Collaborative. « Mais nous sommes maintenant en juin, au deuxième semestre de l’année, lorsque les dirigeants disent : « Quelles dépenses avons-nous ? » Pas plus si nous n’avons pas à le faire. Ce sont les jeux auxquels les entreprises jouent. Pourtant je rapporte au DSI, et je suis le seul dont le budget n’a même pas été revu. Si j’ai des dépenses pour juin, ce n’est pas remis en cause.
En ce sens, les dirigeants de l’équipe de direction sont informés de la probabilité d’une attaque et évaluent les coûts potentiels liés au risque par rapport aux investissements de cybersécurité à plus court terme. Et ils prennent moins de risques.
« Je ne crois pas qu’un cadre supérieur, y compris le directeur financier, puisse dire ‘Oui, trois semaines vont aider avec les chiffres de l’information financière ; nous allons accepter le risque. Ils ne vont pas économiser 250 000 $ au risque de, disons, 5 millions de dollars », a ajouté Corll. « Je crois sincèrement que les entreprises se réveillent pour reconnaître que le cyber est un moteur commercial et un risque commercial, et que les ransomwares sont [a] coût de faire des affaires. Et ça va continuer. »
Dawn Cappelli, vice-présidente de la sécurité mondiale et responsable de la sécurité des informations chez Rockwell Automation, a déclaré que la flambée des attaques de ransomware, en particulier dans la fabrication, a inspiré un exercice sur table en décembre avec son PDG et tous ses rapports directs pour parcourir divers scénarios de ransomware. Cappelli et son équipe ont été très précis sur les détails, y compris le temps d’arrêt qui résulterait de chaque scénario, ce qui entraînerait une attaque massive qui détruirait toute l’infrastructure et qui aurait un impact sur des usines particulières. L’exercice a été l’occasion pour l’équipe de sécurité d’appuyer le leadership sur les priorités.
“Cela les fait réfléchir”, a déclaré Cappelli, un autre membre du Cybersecurity Collaborative. « La priorité est-elle d’accompagner les clients, de récupérer notre usine ou les deux ? Et si toutes nos plantes sont touchées, sur lesquelles nous concentrons-nous en premier ? D’un point de vue financier, si nous devions payer le ransomware, savons-nous comment acheter de la crypto-monnaie ? Notre cyberassureur l’achètera-t-il ou le ferions-nous?
« Nous l’abordons en fonction du risque », a-t-elle poursuivi, notant que les évaluations des risques s’étendent aux fournisseurs – garantissant que leurs propres failles de sécurité ne créent pas de vulnérabilités pour Rockwell ou ses clients. « Nous le faisons chaque année dans le cadre de la planification stratégique annuelle. Nous examinons le risque posé par un problème, ce qu’il pourrait probablement arriver et quel serait l’impact s’il se produisait. S’il en coûte 1 million de dollars pour gérer le risque dès le départ, mais 10 millions de dollars pour l’atténuer, [not investing in the necessary tools] n’a pas de sens.
Avant même la récente attaque très médiatisée, le géant industriel Hitachi a mis en place une solution de point de terminaison fiable pour fournir une sécurité maximale contre les ransomwares, ainsi que des systèmes de sauvegarde et des procédures de continuité des activités ainsi qu’une cyber-assurance pour réduire le risque autant que possible.
C’était avec l’approbation du directeur financier Mark Serway, un chef financier chevronné des entreprises technologiques, dont beaucoup ont compté le gouvernement fédéral comme client.
“Les entreprises doivent évaluer le risque potentiel émanant des attaques de ransomware en examinant les facteurs liés au paiement, aux temps d’arrêt, aux atteintes à la réputation de l’entreprise, à la perte de données et à de nombreux autres facteurs”, a déclaré Serway, qui concède que le résultat positif d’une sensibilisation accrue parmi les cadres peut ne pas s’avérer universel. Dans son cas, « cela pourrait être dû au fait que l’informatique relève de moi et que ma formation était l’informatique et la finance par rapport à la comptabilité purement avec certains directeurs financiers ».
