Argent, réputation, clients : combien coûte vraiment une crise ?
par Markus Epner, Head of Academy de F24 AG
Investir du temps et de l’argent en gestion de crise : une affaire rentable ?
C’est probablement la question que les entreprises se posent le plus souvent. Si vous vous la posez également, bonne nouvelle : nous sommes là pour y répondre. Les événements de ces dernières années (pandémie, conditions climatiques extrêmes, conflits politiques) sont venus renforcer notre argument en faveur du « Oui, y consacrer des efforts et de l’argent, ça en vaut la peine ! ». Cependant, il est souvent difficile de calculer le rapport coût-bénéfice en raison du manque de valeurs empiriques et de chiffres fiables. Nous avons donc décidé d’explorer cette thématique afin de déterminer si l’investissement en vaut la peine. Dans cette série de trois articles, nous allons découvrir combien coûte une crise, la manière de réaliser des économies grâce à la gestion de crise et la façon de calculer le rapport coût-bénéfice.
Partie 1 : Argent, réputation, clients : combien coûte vraiment une crise ?
Partie 2 : L’espoir n’est pas une stratégie : la gestion de crise, un investissement rentable
PARTIE 1 : Argent, réputation, clients : combien coûte vraiment une crise ?
Une crise se définit comme une situation exceptionnelle et instable qui menace les objectifs stratégiques d’une entreprise, sa réputation, voire son existence. Il est difficile d’évaluer tous les aspects de ces situations exceptionnelles, et notamment l’aspect financier. Même le plus minime des incidents peut coûter très cher et, finalement, c’est la façon dont une crise est gérée qui permet d’en déterminer le coût. Pour ce faire, commençons par déterminer d’où proviennent les coûts.
distribution des chaînes d’approvisionnement, un accident de camion-citerne ou encore un événement climatique majeur : les crises coûtent beaucoup aux entreprises, que ce soit en temps, en argent, ou pire encore, en atteinte à la réputation. Les cyberincidents, plus particulièrement, sont une menace permanente pour les entreprises du monde entier. Selon le Baromètre des risques 2022 d’Allianz, les cyberattaques représentent la principale inquiétude des entreprises, suivies des interruptions d’activités et des catastrophes naturelles. Et c’est on ne peut plus vrai, si l’on constate les récents événements. En mai 2021, des cyberextorqueurs ont réclamé une rançon de 2,3 milliards de dollars à la compagnie pétrolière Colonial. Peu de temps avant, Acer a été victime d’une demande de rançon de 50 millions de dollars en échange de données piratées. Le laboratoire pharmaceutique Merck a, quant à lui, réclamé près de 1,4 milliard de dollars à sa compagnie d’assurance après avoir été victime d’une cyberattaque de la part du logiciel malveillant. Il ne s’agit pas de cas isolés, mais de quelques-uns parmi tant d’autres. Ces événements récurrents illustrent à quel point les cybercrimes peuvent menacer l’existence des entreprises. Le nombre croissant de cas et le montant toujours plus important des dommages ont également pour conséquence une augmentation du coût des cyberassurances. D’ailleurs, dans la plupart des cas, les polices d’assurance ne couvrent plus le paiement des rançons.
Même en excluant les cybercrimes, des données peuvent être perdues par accident, ce qui peut provoquer une crise plus importante. En mars 2021, quatre centres de données du plus grand fournisseur de cloud d’Europe, OVH Cloud, sont tombés en panne en raison d’un important incendie. À la suite de cet événement, beaucoup d’entreprises se sont rendu compte qu’elles ne possédaient aucune sauvegarde de leurs données.
Directs, indirects, peu de place pour la négociation : les facteurs de coût d’une crise
Quelle qu’elle soit, une crise engendre nécessairement des coûts en raison de trois mécanismes d’action simultanés.
- Tout d’abord, il y a les coûts « directs » qui permettent de faire face à la situation. Ils vont de la détection du problème à la simplification du retour à la normale des activités.
- Ensuite, il y a les coûts « indirects » : par exemple, une perte de chiffre d’affaires en raison de l’interruption des activités ou une diminution temporaire du volume de commandes en raison d’une atteinte à la réputation.
- Enfin, le troisième type de coûts concerne l’éventuel appel à une expertise externe ou l’achat de matériel pour gérer la crise. L’achat de matériel est généralement assuré dans des délais serrés, le montant de la facture est donc plus élevé. En raison du stress généré par la situation, les décisions sont souvent prises sur le vif et les investissements supplémentaires sont bien moins étudiés. Ainsi, des investissements supplémentaires supérieurs au prix du marché doivent être pris en compte. Prenons l’exemple des masques au début de la pandémie de Covid-19 : certains ont été achetés dix fois plus cher que le prix du marché.
De la découverte de l’incident à la reprise des activités : les facteurs de coût d’un cyberincident
L’étendue et la fréquence des cyberincidents sont relativement mieux documentées que les autres scénarios de crise (le plus souvent en raison des obligations de signalement légales). Quels sont donc les coûts engendrés par une cyberattaque ? Dans son Rapport sur le coût d’une violation de données en 2021, le Ponemon évalue le coût total moyen d’un incident à 4,62 millions de dollars. En cas de « méga-violation », c’est-à-dire une très importante violation de données touchant plus de 50 millions de dossiers de données, les coûts augmentent de 100 à 401 millions de dollars. Il y a quatre facteurs de coût principaux :
- Identification et escalade: En cas de cyberattaque, il s’agit des analyses forensiques et des investigations, des services d’évaluation et d’audit, de la gestion de crise et de la communication de crise interne.
=> Cela représente 33,1 % des coûts.
- Perte d’activité: En cas de cybercrime, il s’agit de pertes dues à une interruption des activités, d’une perte de chiffre d’affaires en raison d’une panne système, de coûts engendrés par la perte de clients et l’acquisition de nouveaux clients, ainsi que de pertes dues à une atteinte à la réputation ou à la dépréciation du goodwill.
=> C’est également un facteur important, puisqu’il représente 32,64 % des coûts.
- Communication de crise: Notifier les parties prenantes concernées via plusieurs canaux, échanger des informations avec les organes de surveillance voire faire appel à des experts externes engendre des coûts.
=> Cela représente 7,13 % des coûts.
- Retour à la normale: En cas de cyberincident, il s’agit de mettre en place un service d’assistance, de surveiller les comptes ou les identités touchés, de délivrer de nouveaux comptes ou de nouvelles cartes de crédit, des frais juridiques, des remises sur les produits ou des amendes réglementaires.
=> Cela représente 27,13 % des coûts.
PARTIE 2 : L’espoir n’est pas une stratégie : la gestion de crise, un investissement rentable
« Il n’y a pas de gloire dans la prévention »
Les responsables de la gestion de crise le savaient déjà depuis longtemps avant que les virologues et épidémiologistes n’en fassent l’expérience lors de la crise de la Covid-19 : ils sont rarement félicités lorsque rien ou presque ne se produit. Il est tout simplement difficile de saisir ce que gagnent les entreprises en prévenant une crise ou en en limitant les conséquences. Au contraire, c’est là tout le paradoxe d’une bonne stratégie de prévention : les risques à venir sont sous-estimés. Après tout, il ne s’est (presque) rien passé. Pourtant, une bonne stratégie de prévention permet de limiter les coûts. Comment, où et quand la prévention paie-t-elle ? C’est le sujet de cette partie de notre série d’articles.
Bien entendu, une entreprise réalise de plus importantes économies lorsqu’aucune crise ne survient. Mais simplement espérer qu’une entreprise ne sera pas touchée est une très mauvaise stratégie. Les experts sont d’accord sur ce point et les chiffres parlent d’eux-mêmes, notamment parce que la probabilité qu’une crise survienne augmente d’année en année. Le risque d’être victime d’une cyberextorsion (attaque d’un logiciel malveillant) a augmenté de 47 % au T2 2021, selon Digital Shadows, cabinet d’experts en renseignement sur les menaces. Selon le FBI, il surveille 100 réseaux d’extorsion dangereux. 61 % des entreprises ont été touchées par une cyberattaque au moins une fois en 2021, selon le Rapport sur la cyberrésilience du Business Continuity Institute. Ainsi, le risque que les entreprises soient touchées par une crise inattendue tout en ayant à avoir à faire face à de multiples événements simultanément augmente. Selon le célèbre expert autrichien en gestion de crise, Gerhard Saumwald, « Le plus important scénario de crise, c’est celui auquel vous ne vous attendez pas.
Dans de nombreuses entreprises, ce que j’appelle l’‘insurance thinking’ prévaut encore. Elles se préparent aux risques probables, mais refusent d’investir pour se protéger des risques improbables. Pourtant, l’inattendu se produira de plus en plus souvent à l’avenir ».
Exemples de crises dans différents secteurs et leurs conséquences financières
| Branche | Exemple de crise | Coûts | Source |
|---|---|---|---|
| IT/Télécommunications | Cyber-attaque chez Telekom Deutschland | des millions d’euros de dommages (plus de 1,2 million de clients télécoms ont été touchés) | Frankfurter Allgemeine |
| Tourisme | Pandémie chez TUI | Entreprises ayant perdu jusqu’à 98,5% de leur chiffre d’affaires | Tagesschau |
| Logistique et transport | Interruption des liaisons de fret | Plusieurs centaines de millions d’euros de dommages | Focus |
| Santé et pharmacie | Inondations/panne de courant/dommages à l’ensemble du bâtiment/de l’équipement | 100 000 euros de dégâts matériels à la clinique de Leverkusen | PR Online |
| Aviation | Catastrophes environnementales | Jusqu’à 200 millions d’euros de pertes pour 5 jours de fermeture de l’espace aérien | aeroTELEGRAPH |
Faire face aux risques : quatre aspects à prendre en compte pour être bien préparé
Pour diminuer les coûts liés à une crise, quatre aspects doivent être pris en compte.
Détection précoce et prévention: Les mesures de prévention commencent par une phase de veille et de détection. Qu’il s’agisse de suivre l’évolution des facteurs de risque, d’effectuer une analyse d’impact, d’assurer la mise à jour des logiciels ou d’établir une équipe de gestion de crise permanente, les mesures préventives varient en fonction de l’entreprise. Le plus important, c’est de ne jamais cesser d’identifier les opportunités de prévention et, mieux encore, de les suivre de près et régulièrement afin de détecter les éventuelles évolutions. Il est tout aussi important d’actualiser vos stratégies de continuité d’activité sur la base de ces évolutions afin de vous préparer à affronter les crises ou scénarios d’urgence les plus improbables.
- En matière de cyberincident, parmi les dix principaux facteurs réducteurs de coûts figurent la planification de la continuité d’activité, l’implication de la direction, la formation du personnel et la constitution d’équipes de gestion des crises et des incidents.
Comprendre les processus établis et le « manuel » de gestion de crise: Si vous savez ce que vous avez à faire en cas de crise, connaissez les responsabilités de toutes les parties prenantes et savez comment les joindre, vous maîtrisez deux facteurs de coût significatifs liés à une crise : le temps et la réputation. Vous gagnez du temps à toutes les étapes de la crise : au début, notamment lors de l’alerte du personnel et la mobilisation des équipes, pendant la crise, mais également lors de la phase de suivi, par exemple, lors de la préparation des rapports pour les autorités.
- La valeur de la réputation est souvent sous-estimée dans le cadre d’une crise. Ce n’est généralement pas la crise en elle-même qui ébranle la confiance des clients, des partenaires commerciaux et des autorités, mais la mauvaise gestion de la situation. Le grand public commence à douter des opérations de l’entreprise et se demande si les autres activités de l’entreprise sont aussi mal gérées que la crise l’a été.
Une solide formation: Les entreprises ayant simulé des scénarios de crise en conditions réelles, ayant établi des structures et des canaux de communication et ayant les outils et le matériel nécessaires qu’elles savent utiliser sous la main, sont plus efficaces et gagnent, en échange, un temps précieux.
- Les entreprises disposant de manuels de réponse aux incidents éprouvés et d’une équipe de réponse aux incidents bien formée dépensent 50 % de moins pour faire face à une violation de données que les entreprises n’ayant aucune équipe formée.
Agir rapidement: La rapidité est clé, quel que soit le scénario de crise. Plus vous réagissez, limitez ou mettez fin à la crise rapidement, moins les coûts sont élevés. Plus le cycle de vie d’une crise est court (délai entre le moment où l’attaque est détectée et le moment où elle est entièrement résolue), plus les coûts sont faibles. Le principe de base pour agir rapidement, c’est de pouvoir communiquer de manière rapide et ciblée et coopérer étroitement au-delà des frontières des services et de l’emplacement géographique. Les solutions SaaS professionnelles sont spécifiquement prévues pour cela, comme le confirme une nouvelle fois le BCI dans son Rapport sur la communication d’urgence 2021. 52 % des entreprises qui utilisent ce type de solution réussissent à déclencher leur processus d’urgence en cinq minutes. Seules 21 % des entreprises y parviennent sans ce type d’outil. Par ailleurs, les systèmes permettent une collaboration plus efficace grâce à des outils qui permettent de collaborer virtuellement au-delà des frontières des services et de l’emplacement géographique.
- Selon les calculs du Ponemon Institute, les coûts liés à une violation de données augmentent en moyenne de 29,7 % si le cycle de vie d’une crise dépasse 200 jours.
PARTIE 3 : La méthode idéale : investir pour économiser
Les solutions de gestion des crises et des incidents professionnelles répondent à tous les facteurs mentionnés dans la Partie 2: prévention, processus, formation, rapidité. Elles réunissent toutes les conditions pour maîtriser une crise, même lorsqu’elles surviennent, afin de limiter les dommages. Elles permettent en effet de raccourcir le cycle de vie de la crise, de limiter les dommages et l’intensité de la crise, de gérer les incidents de manière professionnelle et de renforcer la réputation et la fidélité client grâce à une méthode de communication rapide et efficace.
Mais investir en gestion de crise est-il une affaire rentable ? Il est évidemment complexe de calculer précisément le retour sur investissement, car les crises sont par définition dynamiques, complexes et dépendent de multiples facteurs. Il en va de même pour les coûts. Mais si nous prenons les données de l’étude menée par Ponemon, qui analyse les coûts des violations de données « normales », on obtient une idée de l’impact financier positif d’un processus de gestion des crises et des incidents.
Dans son Rapport sur les coûts d’une violation de données 2022, le Ponemon Institute a estimé qu’une seule violation de données (un cyberincident classique qui peut survenir à tout moment et n’est pas nécessairement une vraie crise) coûte à une grande entreprise environ 4,35 millions de dollars. Et la tendance est à la hausse. Les méga violations de données (c’est-à-dire les « vraies » crises liées à une violation de données avec plus de 50 millions de dossiers de données compromis) coûtent en moyenne 401 millions de dollars. C’est 100 fois plus qu’une petite violation de données avec moins de 100 000 dossiers concernés.
Retour sur investissement : dans quelle mesure investir dans un outil de gestion de crise professionnel est-il rentable ?
Un chiffre dévoilé par l’étude se révèle particulièrement intéressant pour répondre à notre question : dans les entreprises équipées d’un processus de réponse aux incidents, le coût par incident est réduit de 50 % en moyenne.
Et en pratique ? En 2022, les processus de réponse aux incidents professionnels ont permis aux entreprises d’économiser en moyenne entre 2,66 millions de dollars lorsqu’elles ont dû gérer des violations de données de petite à moyenne échelle. Même en supposant qu’un processus de réponse à un incident permet de réaliser 25 % d’économies au lieu des 50 % calculés dans l’étude, il en résulte des économies d’au moins 1 million USD pour les entreprises de toutes tailles bien préparées. Et par incident ! Nous pouvons donc conclure ceci : une bonne préparation est d’ores et déjà rentable pour les petits incidents puisqu’elle permet de réaliser des économies financières substantielles. En cas de violation de données majeure, coûtant en moyenne 401 millions de dollars, soit près de 100 fois plus, l’impact d’une bonne gestion de crise peut s’élever à plusieurs centaines de millions de dollars d’économies.
Cela est dû, d’une part, à un environnement de plus en plus complexe et, d’autre part, au fait que les crises systémiques, comme une pandémie, l’attaque d’infrastructures critiques ou l’interruption des chaînes d’approvisionnement mondiales, durent plus longtemps et peuvent avoir un effet domino plus important. Les conséquences de la fermeture du port commercial chinois de Yantian au début de la crise de la Covid-19 ou les semaines de blocage du canal de Suez en raison de la position transverse de l’Evergiven se font encore ressentir des mois plus tard.
Nous pouvons donc attester que le retour sur investissement d’une bonne gestion de crise à l’aide d’un système professionnel et d’une équipe bien formée est particulièrement rapide, surtout en cas de crises multiples. Les entreprises peuvent économiser des millions de dollars, peu importe le type d’urgence, de crise probable ou improbable, d’incendie, de catastrophe naturelle, d’interruption d’activité ou de cyberattaque. Reste que le principal gain ne s’exprime absolument pas sous forme de chiffres. Il s’agit de ce sentiment de satisfaction d’être capable d’agir de manière rapide, pertinente et orientée client, quelle que soit la situation.
** Résultat de l’étude Ponemon 2022
*** L’estimation du scénario avec même la moitié du pourcentage d’économies montre une économie de plus d’un million de dollars US.
Découvrez comment nos solutions soutiennent votre réponse aux crises – élaborez des procédures efficaces de réponse aux incidents avec l’aide des solutions logicielles de F24. Le système d’alerte de F24 fournit des données en temps réel afin que vous puissiez surveiller le processus de réponse aux incidents et agir en conséquence. Découvrez comment nous pouvons vous aider à planifier votre réponse aux incidents.
Markus Epner – Chef de l’Académie chez F24 AG
Markus a rejoint F24 AG en 2022. Il a occupé plusieurs postes dans différentes équipes de sécurité et de crise, a été l’un des premiers officiers du Kommando Spezialkräfte et son expérience des guerres de Bosnie et du Kosovo ainsi que ses nombreuses années d’expérience de direction dans l’industrie lui donnent confiance lorsqu’il agit lors d’événements critiques.
Markus a étudié la sécurité et la gestion de crise à Kiel et a plus de 20 ans d’expérience dans la sécurité et la gestion de crise avec Lufthansa et Boehringer Ingelheim. Pendant son séjour dans l’industrie, il a géré, en plus d’autres crises, l’évacuation de deux équipages de Mumbai pendant les attaques terroristes et la crise du covid-19 pendant son séjour dans l’industrie pharmaceutique.
Il est évident que la préparation et l’investissement dans la gestion des crises et des incidents peuvent non seulement sauver des valeurs et des actifs, mais aussi beaucoup d’argent pour les entreprises. Découvrez comment vous pouvez bénéficier de la mise en place d’un plan de crise.
