Le coût de l'arrêt d'activité : la perte cyber que personne ne met sur la facture

Demandez à un dirigeant ce que coûte un ransomware et il citera la rançon. Parlez-lui de l'arrêt d'activité et il devient silencieux, parce que personne ne vous remet de facture pour ça. Il n'y a aucune ligne qui dit « trois semaines d'activité au ralenti ». Pourtant, dans la plupart des incidents sérieux, l'interruption d'activité est le plus gros coût, plus gros que la rançon, souvent plus gros que la remise en état, et c'est celui que les entreprises estiment le plus mal.

L'arithmétique, et le chiffre que tout le monde bâcle

Le squelette est simple :

Coût d'arrêt = CA quotidien × jours d'arrêt × fraction de CA perdue

Le CA quotidien est facile. Les jours d'arrêt, vous pouvez les estimer. La fraction, c'est là que les gens se trompent, dans les deux sens.

Certains supposent zéro, comme si quelques jours hors ligne s'effaçaient par arrondi. D'autres supposent 100 %, comme si chaque heure d'arrêt était une heure de chiffre d'affaires volatilisée. Les deux sont faux. La réalité est partielle. Pendant une panne, une partie de l'activité continue tant bien que mal : le standard fonctionne même si le système est par terre, le personnel traite les choses à la main, les clients attendent au lieu de partir. Et une part des ventes « perdues » est différée, pas disparue, parce que le client a toujours besoin de ce que vous vendez et l'achète la semaine suivante. Donc la fraction de perte honnête se situe bien en dessous de 100 %. Dans notre modèle, on utilise environ 30 % du chiffre d'affaires quotidien perdu en mode dégradé, ce qui est délibérément conservateur et colle à ce à quoi ressemblent réellement les incidents dont on réchappe.

Trente pour cent du CA quotidien pendant deux semaines, ça reste un montant sérieux pour une entreprise de taille moyenne. C'est tout le propos. Pas besoin d'hypothèses apocalyptiques pour que l'arrêt domine la facture.

Combien de temps vous êtes réellement à l'arrêt

Le temps de reprise n'est pas une constante, et il suit la taille et la préparation plus que le logiciel malveillant. Notre modèle ancre la durée d'arrêt opérationnel par taille d'entreprise : environ 3 jours pour une micro-entreprise, 5 pour une petite structure, 8 pour une entreprise de taille moyenne, et 12 ou plus une fois grande, parce que des parcs plus gros signifient plus de systèmes à reconstruire et plus d'interdépendances à démêler. Les données ransomware de Sophos arrivent à un endroit similaire : la reprise complète court régulièrement sur plusieurs semaines pour les grosses victimes.

Mais ce sont des moyennes pour les bien préparés. La variance est énorme, et elle est presque entièrement fonction de votre capacité à restaurer.

Votre objectif de reprise est sans doute une fiction

La plupart des entreprises ont un objectif de temps de reprise écrit quelque part. Quatre heures. Un jour ouvré. Ce que dit le document. Pendant un vrai incident, ce chiffre s'avère souvent ambitieux, et l'écart est là où le coût se loge.

Les modes d'échec sont d'un ennui constant. Les sauvegardes existaient mais vivaient sur un partage que le ransomware a atteint et chiffré aussi, parce qu'elles étaient en ligne et accessibles en écriture. Personne n'avait jamais testé une restauration complète, donc l'équipe découvre en plein incident que les restaurations rampent, ou que la dernière bonne sauvegarde est plus vieille qu'on ne le pensait. L'objectif supposait restaurer un système critique, mais tout dépend de l'Active Directory et celui-là doit revenir d'abord, propre, avant que quoi que ce soit d'autre soit digne de confiance. La procédure a été écrite par quelqu'un qui est parti, et les gens qui font la reprise à 3h du matin improvisent.

Chacun de ces points transforme une reprise prévue de deux jours en une vraie reprise de deux semaines, et le coût d'arrêt croît linéairement avec. C'est pour ça que le plan de reprise n'est pas un produit de sauvegarde qu'on achète. C'est un processus testé qu'on répète. Les entreprises qui reprennent vite sont celles qui ont fait un vrai exercice de restauration le trimestre dernier et ont trouvé les choses cassées un mardi après-midi plutôt que pendant la pire semaine de leur année.

Les coûts que vous ne verrez pas avant des mois

La perte directe de chiffre d'affaires, c'est la partie modélisable. Il y a une queue que vous ne pouvez pas modéliser, et elle est réelle. La masse salariale inactive pendant que le personnel ne peut pas travailler. Les heures supplémentaires et le coût des prestataires pour sortir du retard une fois revenu. Les échéances contractuelles manquées et les pénalités attachées. Et la lente : les clients partis discrètement ailleurs pendant la panne et jamais revenus. Le départ de clients après un incident visible n'apparaît pas dans le budget de remise en état, mais il apparaît dans le chiffre d'affaires de l'année suivante.

Vous ne pouvez pas mettre un chiffre précis sur ce départ. Vous pouvez refuser de prétendre qu'il est nul.

Rendez l'arrêt ennuyeux

Tout le coût de l'interruption d'activité s'effondre si vous pouvez restaurer vite et avec confiance, ce qui ramène directement aux sauvegardes et à la répétition. Sauvegardes hors ligne ou immuables pour qu'elles survivent à l'attaque. Une restauration testée à intervalle réel, pas une coche verte dans une console. Une procédure de reprise que quelqu'un a réellement exécutée. Rien de tout ça n'est excitant. Tout ça coûte moins cher que deux semaines d'arrêt supplémentaires.

Modélisez la ligne d'arrêt pour votre propre entreprise par taille et chiffre d'affaires, aux côtés des quatre autres scénarios, et la méthodologie montre chaque hypothèse, y compris cette fraction de perte. La rançon fait les titres. L'arrêt prend l'argent.