Chiffres en folie : le coût des cyberattaques

On a récemment attiré mon attention sur cet article du Figaro, dont l’auteur essaie d’évaluer le coût des cyberattaques. Le désarroi de l’auteur de l’article est visible : ayant cherché diverses sources d’information, il a bien du mal à relever la moindre cohérence. Un chiffre, surtout, sort du lot : selon une étude commandée par McAfee, en 2008, les cyberattaques auraient coûté environ 1000 milliards de dollars à l’économie mondiale, soit 1.64% du PIB mondial (admirez la précision des deux chiffres après la virgule).

Un chiffre comme celui-ci, aussi rond qu’énorme (aujourd’hui, c’est à partir de plusieurs centaines de milliards de dollars qu’un problème devient important: ca n’arrange pas les affaires du Dr Evil) suscite les soupçons. Il est totalement incohérent avec les autres évaluations données dans l’article : si les cyberattaques coûtent 560 millions de dollars en 2009 aux USA, comment atteindre les 1000 milliards de dollars dans le monde en 2008?

J’avais montré, il y a quelques temps, que le coût mondial de la contrefaçon était estimé d’une manière absurde, avec un chiffre totalement faux qui subsistait obstinément dans toutes les évaluations, avec untel qui cite le chiffre en faisant référence à machin, lequel le tient de bidule, qui le tient lui-même d’untel. Ce chiffre de 1000 milliards de dollars pour le coût des cyberattaques est en train de suivre le même processus. L’article indique ainsi que le chiffre a été cité lors d’un forum des Nations-Unies sur la cybersécurité, qui fait référence à des données d’Europol, qui elle-même fait référence… à l’étude de McAfee. C’est comme cela qu’un chiffre finit par “faire autorité”, pour reprendre les mots de l’auteur. Mais comment ce chiffre a-t-il été déterminé?

Je suis donc allé voir cette fameuse étude commanditée par McAfee en 2008, sur le coût du cybercrime. Vous pouvez aller consulter le rapport ici. Et surprise : le chiffre de 1000 milliards de dollars n’y figure nulle part. Ce chiffre a été en fait cité pour la première fois par le président de McAfee, au forum de Davos. Il déclare que le rapport “montre que le coût du cybercrime est de 1000 milliards de dollars par an, ou plus”. Alors que jamais le rapport n’évoque ce chiffre!

Le premier surpris par ce chiffre est d’ailleurs… un contributeur du rapport qui se demande d’où il peut venir. Une façon d’expliquer comment ce chiffre peut être tiré du rapport est la suivante : ce rapport a été établi à partir d’entretiens auprès de 1000 cadres dirigeants d’entreprises (environ 500 entreprises interrogées), qui estiment en moyenne avoir perdu 4.6 millions de dollars de propriété intellectuelle en moyenne au cours de l’année 2008. On peut alors peut-être supposer que les 1000 milliards sont établis en considérant que cet échantillon est représentatif (ce qui est parfaitement absurde) et en l’appliquant à l’économie mondiale. Mais impossible d’en être certain : jamais la moindre méthodologie n’est indiquée, nulle part. Ce chiffre est donc totalement inventé, et légitimé en citant un rapport qui n’y fait jamais allusion.

Et ca ne l’empêche pas d’être cité comme “faisant autorité”, repris par toutes sortes d’organismes. Certains même, voulant sans doute avoir l’air sérieux, affirment que “le vrai chiffre doit être plus élevé” parce que l’évaluation date de 2008… On attend impatiemment les calculs qui montreront triomphalement qu’étant donné que le cybercrime “coûtait 1000 milliards de dollars en 2008” et que la croissance économique a depuis été de tant, il faut réévaluer ce chiffre à 2000 milliards… Ne riez pas, ça sera certainement fait.

On pourrait se demander pourquoi un chiffre aussi bidon se retrouve cité et repris partout, au point de “faire autorité”. Le facteur principal est bien connu : citer des nombres est en soi un argument d’autorité. La phrase “la criminalité a augmenté depuis l’année dernière” a beaucoup moins de poids que “la criminalité a augmenté de 4.5% depuis l’année dernière”. Je viens d’inventer ce chiffre : pourtant, convenez que la seconde phrase a l’air beaucoup plus crédible. Elle donne l’impression que je sais de quoi je parle, qu’une mesure a été effectuée, alors que mon chiffre n’a strictement aucune signification.

On pourrait certainement faire le même genre de décryptage avec la déclaration de L. Wauquiez, selon lequel “un internaute sur 30 a perdu de l’argent à cause d’un pirate informatique en Europe au cours des 12 derniers mois“. Comme toujours dans ces cas-là, le chiffre est repris et cité, sans la moindre façon de savoir d’où il est sorti (l’article cite encore d’autres chiffres sur le revenu issu des cyberattaques, bien évidemment, toujours aussi invérifiables). On constate aussi que la “guerre au cybercrime” consiste surtout à mélanger des choses qui n’ont rien à voir les unes avec les autres, pour faire de questions différentes un grand problème global exigeant des solutions (et des ressources) importantes.

Le but n’est pas de dire que les cyberattaques n’ont aucune importance, ni aucun coût, qu’il ne faut pas y prêter attention. Simplement de rappeler que les coûts, en la matière, sont très difficiles à évaluer. Et que ceux qui multiplient les chiffres sans signification le font soit comme argument commercial (comme le fait McAfee) soit pour légitimer leur action et mettre en oeuvre le théâtre sécuritaire (comme les politiques ou administrations qui multiplient la citation de ce genre de chiffres pour montrer que le gouvernement travaille).

Il s’agit simplement de rappeler que l’exagération des menaces, à l’aide de chiffres sans signification, finit par avoir des conséquences lourdes. Si je me fais voler 100 euros, le vrai coût social de ce vol n’est pas 100 euros qui ont simplement été transférés d’une personne à une autre : il vient parce que je vais changer de comportement, consacrer plus de ressources à ma protection au lieu de les consacrer à des usages plus utiles. Si un pirate informatique obtient mon numéro de carte bancaire, c’est énervant, mais pas dramatique (il suffit de changer la carte prématurément). Si un hacker révèle les caractéristiques du prochain Ipad et sa date de sortie, conduisant de nombreux acheteurs potentiels à attendre ce nouveau modèle plutôt que d’acheter l’existant, cela représente évidemment un préjudice pour Apple, mais plutôt un avantage pour les consommateurs. Si des hackers avaient vraiment réussi à obtenir les documents de Bercy consacrés au G20, ils auraient surtout constaté et révélé la vacuité de la chose. Pour les Etats-Unis, le coût du 11 septembre n’est pas tant le coût direct (morts, destructions) que l’ensemble des mesures qui ont été prises en réaction (2 guerres, sécurité des aéroports, morts sur les routes de gens qui ont renoncé à prendre l’avion, etc).

Le coût principal de la criminalité tend à survenir lorsqu’on décide d’y accorder trop d’importance, en négligeant la résilience sociale, et en y consacrant des ressources qui auraient été bien plus utiles ailleurs. Multiplier les évaluations fantaisistes et alarmistes du coût des cyberattaques remplace la question raisonnable : “quelles ressources, qui pourraient être utilisées à autre chose, faut-il consacrer à ce problème?” par une hystérie collective dans laquelle jamais rien ne sera suffisant pour calmer les inquiétudes, parce que la sécurité absolue ne saurait être atteinte. Cette hystérie en enrichit quelques-uns, au détriment de l’ensemble.

Share Button

Alexandre Delaigue

Pour en savoir plus sur moi, cliquez ici.

11 Commentaires

  1. Un autre exemple de chiffre régulièrement mis en avant est celui du départ en retraite de la moitié des fonctionnaires dans les dix prochaines années. Je l’ai entendu par un responsable de la DGAFP (qui devrait être le mieux placé pour connaître le vrai chiffre) et je lui ait fait remarqué, d’une part qu’on ne voyait pas comment cela était possible alors que le nombre de fonctionnaires n’avait cessé d’augmenter depuis 30 ans, d’autre part qu’on ne disait jamais à quelle date les dix ans commençaient, ce qui permettait de continuer à propager l’idée, année après année. Cela a bien fait rire un ancien administrateur de l’INSEE qui était présent, mais mon interlocuteur a préféré passer à un autre sujet!

  2. Je me souviens d’un ancien article sur le sujet, que je suis bien incapable de retrouver, où l’on expliquait que ce genre d’évaluation prenait en compte le temps passé pour jeter à la corbeille le pourriel que chacun reçoit, en le "facturant" comme si c’était du temps de travail effectif… Si l’on compte trois minutes de salaire par col blanc et par jour, on arrive à une somme rondelette.

  3. J’avais travaillé, il y a quelques années, sur le nombre de musulmans en France. Le chiffre de 5 millions circulait. Celui-ci avait été donné par un chercheur qui disait que depuis le temps qu’on disait qu’il y avait 4 millions de musulmans en France (donnée qui avait déjà une méthodologie douteuse), on devait bien être à 5 millions aujourd’hui!
    Heureusement, depuis il y a eu de vrais enquêtes et on a des données un peu plus fiables.

  4. Toutes ces affirmations se font sur une donnée connue depuis longtemps, et expliquée par Schopenhauer dans ‘L’art d’avoir toujours raison’ : argumentum ad auditores, «c’est à dire une objection non valable, mais dont seul le spécialiste reconnaît le manque de validité ; celui qui est le spécialiste, c’est l’adversaire, pas les auditeurs. (…) Pour démontrer la nullité de l’objection, il faudrait que l’adversaire fasse une longue démonstration et remonte aux principes scientifiques ou à d’autres faits, et il lui sera difficile de se faire entendre.»

  5. Excellent ! C’est de ce genre d’articles dont manque cruellement l’information en général et justement parce que celle-ci abuse à n’en plus finir de ce type de mesure qui n’est que manipulation psychologique. Le chiffre qui me tracasse, pour ma part et en ce moment, est celui, fort à propos rabâché dernièrement, qui dévoilerait que 9 d’entre 10 femmes violées ne porteraient jamais plainte. C’est énorme et ce serait un constat d’échec total de la société quant à la protection des droits de la moitié de la population. Je n’ai trouvé aucune information fiable sur la source de ce calcul. Quelqu’un en connaîtrait une ?

  6. Le chiffre vient très certainement de l’enquête dite de victimation dite "Cadre de vie et sécurité" menée annuellement par l’Insee.
    Voir l’Insee Première de février 2008.

    http://www.insee.fr/fr/themes/do...

    Réponse de Alexandre Delaigue
    L’insee donnerait une évaluation pour les européens?

  7. @Alexandre
    pour l’Europe, ce serait plutôt le boulot d’Eurostat qui centralise (et homogénéise) les données issues des Instituts nationaux de statistique.
    Mais, une recherche rapide montre que s’y trouvent les chiffres de la délinquance (nb de plaintes, justement…) et le nombre de détenus.

    Réponse de Alexandre Delaigue
    le chiffre donné par Wauquiez est pour les européens, donc je ne pense pas que ce soit une enquête insee. Europol peut-être.

  8. À la recherche des sources, je tombe sur ceci :
    http://www.homelandsecuritynewsw...
    du 29/06/11. Cormac Herley, chercheur chez Microsoft, réagit tout comme vous… Il cite la source des différents chiffres et les 1000 milliards sortent de l’attaché-case du responsable de la sécurité chez ATT (et ce n’est même pas un coût, mais le revenu illicite généré…)

    Autre résultat de la pèche, sa présentation, avec Dinei Florencio, autre chercheur de Microsoft, au Workshop on the Economics of Information Security, le 14/06/2011.
    (le PowerPoint est téléchargeable depuis le programme)
    weis2011.econinfosec.org/…

    Et le version papier (document interne de MS), de D. Florencio et C. Herley :
    research.microsoft.com/ap…

    Réponse de Alexandre Delaigue
    Et le responsable de la sécurité d’ATT le tient du FBI qui lui même le tient… du discours du patron de McAfee si j’en crois les liens que j’ai suivi à partir des votres. C’est magique.

  9. Tssss, s’occuper de ce genre de choses quand la moitié (51,3%) des jeunes est au chômage et l’autre moitié (52,19651%) en prison…

  10. J’ai toujours pensé que certaines mesures de sécurités informatiques étaient plus nocives que le mal en lui-même. Ca fait plus de 20 ans que je fais de l’informatique, et les antivirus m’ont souvent posé plus de problèmes qu’il n’en ont résolu.

    En ce qui concerne McAfee, ils ont l’art et la manière de faire des études très foireuses pour exagérer le risque (et donc vendre leurs produits). Etudes par contre reprise par toute la presse sans la moindre critique. Combien les études biaisés et les méthodes marketing de McAfee coutent t-elles à l’économie mondiale ?

  11. C’est marrant, je viens de penser à une intersection entre le sujet présent des cyberattaques et le sujet cité sur les contrefaçons : le spam.

    Le spam a un coût social difficile à évaluer, mais en gros on peut estimer qu’il a quasiment tué le courriel. En tout cas, c’est ma théorie à moi, informaticien, qu’on est passé à côté de plein d’applications possible du protocole SMTP à cause du spam. À mon avis, c’est la plus grave des cyberattaques. Et il se trouve que la majeure partie du spam, de nos jours, vient de contréfacteurs. La notion même de "propriété intellectuelle" dans son ensemble n’est rien d’autre qu’un compromis social, fabriqué morceau par morceau dans l’idée de bénéficier au plus grand nombre. La façon dont les brevets (pour les médicaments) et les marques et designs (pour les montres) sont défendus a créé un marché pour le pourriel, ce qui a détruit une ressource commune, le protocole SMTP. Pas de bol, hein ?

Commentaires fermés.