L’incendie qui a touché un hébergeur français en 2021 illustre la nouvelle dépendance des organisations au tout numérique. De nombreux acteurs du monde économique ont vu disparaître leur site internet et des années de collecte de data (fichiers clients, stock, données internes de business intelligence…). Outre les sinistres, la multiplication des cyberattaques peut paralyser des entreprises entières en quelques minutes.
Dès lors, les conséquences financières risquent d’être considérables, bien au-delà des coûts immédiats de récupération technique des données (certaines pertes étant par ailleurs irréversibles). Le préjudice est susceptible d’affecter la bonne marche d’une entreprise et de compromettre sa pérennité opérationnelle et financière.
L’enjeu n’est pas seulement de pouvoir encore disposer de ses données et que leur confidentialité soit préservée, mais également que le travail puisse continuer dans l’entreprise. Une étude de l’assureur britannique Hiscox en 2023 indique ainsi que 80 % des entreprises qui ont perdu leurs données à la suite d’une cyberattaque cessent leurs activités dans les douze mois qui suivent.
Quels préjudices ?
Le coût d’un sinistre informatique est d’abord constitué des dépenses directement induites pour diagnostiquer l’incident, restaurer les systèmes, récupérer les informations perdues et sécuriser les infrastructures. S’y ajoutent les conséquences financières de l’interruption de l’activité commerciale et du préjudice réputationnel, la perte de données pouvant durablement affecter l’image de l’entreprise. Clients et partenaires commerciaux étant de plus en plus sensibles aux questions de cybersécurité et de protection des informations, une faille majeure peut entraîner la méfiance, une perte de clientèle et une dégradation des relations avec les fournisseurs.
À noter que les contrats des prestataires d’infogérance et d’hébergement informatique contiennent des clauses qui appellent un examen juridique approprié car elles limitent largement la responsabilité de ces prestataires lorsque le propriétaire des données n’a pas organisé leur sauvegarde et leur duplication, comme le recommande le COBIT (référentiel de bonnes pratiques d’audit informatique et de gouvernance des systèmes d’information). De même la bonne "gouvernance des données" suppose la définition de rôles et de mise en place d’accès différenciés aux données de l’entreprise.
Autant de questions qu’il est recommandé d’analyser avec son expert-comptable et des spécialistes IT lorsque le risque est potentiel et que le dommage n’est pas encore avéré.
