En 2024, Tom Johansmeyer publiait un article dans lequel il expliquait pourquoi les catastrophes naturelles engendrent toujours des dégâts plus importants que les catastrophes cybernétiques, remettant ainsi en perspective l’attention croissante portée aux enjeux de cybersécurité. Un an plus tard, il revient sur ses propos en tenant compte des nouvelles données relatives aux catastrophes naturelles et cybernétiques.
Crédit photo : Master Sgt. Michel Sauret / DVIDS
Dans votre article de 2024, intitulé « Pourquoi les catastrophes naturelles seront toujours pires que les catastrophes cybernétiques », vous avançiez que le pouvoir destructeur économique des catastrophes naturelles dépasse de loin celui des cyberattaques. Avec de nouvelles données issues des récentes catastrophes, les progrès des capacités des adversaires dans le cyberespace, ainsi que la numérisation croissante des infrastructures critiques, cette différence demeure-t-elle ? Le potentiel de pertes liées aux cyberattaques s’accroît-il considérablement ?
Les nouvelles données renforcent en réalité cet écart. Depuis la publication de mon article, j’ai pu intégrer les pertes économiques de quatre nouvelles cybercatastrophes : MOVEit, CDK, Change Healthcare et Crowdstrike. Elles totalisent entre 8 et 10 milliards de dollars de pertes économiques cumulées sur 2023 et 2024. En comparaison, les pertes économiques dues aux catastrophes naturelles ont atteint 280 milliards de dollars en 2023, et 318 milliards en 2024.
Source : Auteur
Le potentiel d’augmentation des pertes économiques liées aux cyberattaques est logique, étant donné la croissance de la valeur des activités économiques soutenues ou transitant par le domaine numérique et les technologies connexes. Cependant, la possibilité d’un événement systémique majeur semble limitée.
Comme je le mentionnais dans mon article initial, la réversibilité constitue une limite naturelle aux pertes économiques des cybercatastrophes. Prenons l’exemple de l’ouragan Ida que j’évoquais. Outre des milliers de points de réparation physique, dans un contexte post-catastrophe, accéder à ces sites peut être très difficile. Il faut souvent d’abord évacuer les débris et garantir la sécurité physique avant toute remise en état. Cela allonge le processus de récupération et accroît ainsi le potentiel de dommages économiques, en plus des conséquences de la destruction matérielle massive. Même lorsque les cyberattaques ont eu des effets physiques, comme avec LockerGoga, leur ampleur reste bien moindre face aux ravages de la nature.
Vous soutenez que les cyberattaques sont plus réversibles que les catastrophes naturelles, mais les États-Unis ont développé une résilience au fil des expériences répétées de catastrophes. Ne risque-t-on pas qu’une cyberattaque majeure, en l’absence de cette résilience, soit plus coûteuse sur le long terme ?
Il est vrai que les États-Unis ont une longue expérience des catastrophes naturelles. Mais même cette accumulation de savoir-faire et d’actions ne peut neutraliser l’impact économique profond de tels événements. Ces catastrophes restent extrêmement lourdes financièrement, et malgré les mécanismes d’assurance, de réassurance et les obligations catastrophe, les citoyens supportent encore une part importante du fardeau.
À l’inverse, les cyberattaques n’atteignent pas cette ampleur économique, même si les efforts pour renforcer la résilience face au changement climatique, par exemple en Ukraine, progressent. La cybersécurité reste critique, et des améliorations sont nécessaires, mais c’est à une échelle très différente. Il faut aussi considérer le coût d’opportunité : même si une cyberattaque très destructrice est envisageable, est-ce la meilleure utilisation des capacités cyber ? Le développement de ces cyber-armes est coûteux et l’espionnage reste souvent une option plus rentable.
Supposons que la Chine mène plusieurs cyberattaques simultanées, de faible intensité mais réparties sur divers secteurs pour semer le chaos et déstabiliser les États-Unis pendant un conflit. Cela modifierait-il votre analyse ? Un tel scénario entre-t-il dans la définition d’une cybercatastrophe même s’il ne s’agit pas d’une attaque unique d’ampleur ?
Une attaque « grandiose » unique nécessiterait des capacités permettant de maintenir l’effet suffisamment longtemps pour que les dommages économiques s’accumulent. Un scénario multipoint exige une coordination rigoureuse : les attaques devraient être simultanées ou quasi simultanées pour exploiter des vulnérabilités similaires. Même si cette coordination est plausible, la complexité opérationnelle et le coût rendent ce type d’attaque peu rentable, d’autant que la réversibilité limite son impact.
Par ailleurs, il y a une marge importante entre une attaque – ou une série d’attaques – et le chaos. Même en mettant de côté le critère des dégâts économiques, une étude récente sur les coupures d’électricité (blackouts) montre que ces événements, parfois touchant de larges populations, restent fréquents et ne provoquent pas systématiquement de troubles civils. Si des émeutes sont survenues suite à des coupures, comme à New York en 1977, elles s’expliquent par des facteurs préexistants. Les blackouts induits par des cyberattaques sont généralement de courte durée et moins impactants. Même en imaginant une montée en puissance via des attaques simultanées très difficiles à réaliser, l’émergence d’un chaos généralisé paraît très improbable.
Avec le recul, modifieriez-vous votre argumentation initiale ?
Ce qui change aujourd’hui, c’est la lecture que l’on peut faire de l’écart entre catastrophes cyber et naturelles, notamment en termes d’opportunités diplomatiques — y compris par le biais du hard power et du soft power. Les efforts pour renforcer la résilience cybernétique de l’Ukraine en 2021 ont clairement porté leurs fruits, même si leur portée restait limitée. À l’échelle mondiale, les catastrophes naturelles, fréquentes et dévastatrices, restent un terrain d’engagement diplomatique moins complexe, politiquement et pratiquement, surtout en l’absence de conflit : il est plus aisé d’aider des populations en détresse face à une catastrophe naturelle que lorsqu’un adversaire humain est en jeu.
Je mettrais davantage l’accent sur la nécessité d’un engagement accru dans des disciplines comme la diplomatie des catastrophes, et sur l’utilisation judicieuse de l’aide étrangère de manière proactive. Cela pourrait inclure des mécanismes innovants combinant soutien aux victimes de catastrophes naturelles et amélioration du positionnement compétitif des États-Unis face à leurs principaux adversaires. L’aide économique post-cyberévénement peut demeurer tactique et spécifique, sans commandes ou programmes de secours préétablis. Les ressources actuellement allouées aux mécanismes d’assurance cyber pourraient être redirigées bien plus efficacement vers les programmes relatifs aux catastrophes naturelles.
La cybersécurité et la résilience méritent sans aucun doute notre attention et nos efforts. Elles ne doivent pas être négligées. Toutefois, il est essentiel de prioriser de manière réfléchie les ressources limitées disponibles. Les effets destructeurs des catastrophes naturelles restent infiniment plus graves — une tendance qui, selon toute probabilité, perdurera.
***
Tom Johansmeyer est doctorant en science politique à l’Université de Kent, Canterbury. Basé à Bermuda où il travaille dans le secteur de la réassurance, il a été responsable des services de gestion des sinistres chez Verisk, société fournissant des données sur les sinistres assurés liés aux catastrophes naturelles et humaines. Il y a développé les premiers outils de gestion des risques cyber mondiaux. Ancien soldat de l’armée américaine dans les années 1990, il a notamment servi dans la 2e Division d’Infanterie en 1998.
