L’enquête conduite par AIG auprès des experts de la cyber-sécurité et en gestion des risques, met en avant les points suivants :

• Le risque cyber est bien de nature systémique
Plus de 90% des experts interrogés pensent que le risque cyber est de nature systémique, c’est-à-dire qu’il peut potentiellement affecter un grand nombre d’entreprises simultanément.

• La probabilité la plus forte est celle d’une attaque cyber affectant entre cinq et dix entreprises à la fois
Une large majorité des experts interrogés pensent qu’une attaque cyber systémique qui affecterait entre cinq et dix entreprises à la fois est plus probable qu’une seule attaque qui toucherait une centaine voire un plus grand nombre d’entreprises. Pour autant, de récents incidents mettent en lumière la menace bien réelle d’incidents systémiques d’une ampleur autrement plus importante.

• Les services financiers ressortent comme le secteur le plus susceptible d’être visé
85 % des experts interrogés pensent que certains secteurs d’activité sont plus susceptibles d’être visés par des attaques systémiques que d’autres. Les services financiers (19 %), l’énergie (15 %), les télécommunications/ les services publics (14 %), la santé (13 %) et les technologies de l’information (12 %) sont les plus susceptibles d’être impactés par une attaque systémique dans les prochains mois.

• Les attaques massives DDoS sont classées comme la menace la plus forte
Invités à évaluer la probabilité du pire scénario, les experts ont jugé qu’une attaque massive par déni de service distribué (DDoS) contre un important fournisseur de services Cloud pouvait constituer le méga-incident multisectoriel le plus probable. Il ressort également de ce classement que des attaques systémiques pouvant toucher les services financiers, la santé et la distribution sont jugées les plus probables. À l’inverse, les attaques d’infrastructures sensibles pouvant entraîner d’importantes pertes humaines et des préjudices corporels n’arrivent qu’en dernière position.

Le rapport d’AIG révèle par ailleurs que les experts interrogés s’accordent à reconnaître qu’il est possible de limiter l’exposition au risque d’une attaque cyber systémique grâce à des investissements avisés : outre les logiciels et matériels de sécurité, ces investissements devraient englober le contrôle rigoureux et la gestion prudente des fournisseurs, la formation aux bonnes pratiques en matière de sécurité et la souscription d’une police d’assurance pour limiter l’incidence d’une attaque cyber systémique. Tandis que les menaces cyber continueront de se perfectionner et de se multiplier, les stratégies de défense doivent suivre le même rythme.

Dans les pires scénarios, industriels et pays entrent en cyber-guerre :

Les experts interrogés ont été invités à désigner, parmi un large choix de scénarios, ceux qui « les effraient le plus », voici quelques exemples de scénarios retenus :
• Attaque d’un réseau électrique en période de tension du système ayant d’énormes répercussions sur la population.
• Jeux offensifs virtuels du chat et de la souris, représailles et escalade pouvant aller jusqu’au conflit armé entre des nations puissantes.
• Attaque significative dirigée contre des infrastructures de télécommunications et de services publics ayant de vastes répercussions sur des services fondamentaux.
• Piratages visant à manipuler ou à détruire des données : des dossiers médicaux, d’usagers des services publics ou financiers sont corrompus de telle sorte que les utilisateurs du système ne peuvent plus se fier à ces informations…