{"id":7612,"date":"2011-07-10T13:36:33","date_gmt":"2011-07-10T13:36:33","guid":{"rendered":"http:\/\/127.0.0.1\/import\/?p=1612"},"modified":"2011-07-10T13:36:33","modified_gmt":"2011-07-10T13:36:33","slug":"chiffres-en-folie-le-cout-des-cyberattaques","status":"publish","type":"post","link":"https:\/\/econoclaste.eu\/econoclaste\/chiffres-en-folie-le-cout-des-cyberattaques\/","title":{"rendered":"Chiffres en folie : le co\u00fbt des cyberattaques"},"content":{"rendered":"

On a r\u00e9cemment attir\u00e9 mon attention sur cet article du Figaro, dont l’auteur essaie d’\u00e9valuer le co\u00fbt des cyberattaques<\/a>. Le d\u00e9sarroi de l’auteur de l’article est visible : ayant cherch\u00e9 diverses sources d’information, il a bien du mal \u00e0 relever la moindre coh\u00e9rence. Un chiffre, surtout, sort du lot : selon une \u00e9tude command\u00e9e par McAfee, en 2008, les cyberattaques auraient co\u00fbt\u00e9 environ 1000 milliards de dollars \u00e0 l’\u00e9conomie mondiale<\/strong>, soit 1.64% du PIB mondial (admirez la pr\u00e9cision des deux chiffres apr\u00e8s la virgule).<\/p>\n

Un chiffre comme celui-ci, aussi rond qu’\u00e9norme (aujourd’hui, c’est \u00e0 partir de plusieurs centaines de milliards de dollars qu’un probl\u00e8me devient important: ca n’arrange pas les affaires du Dr Evil<\/a>) suscite les soup\u00e7ons. Il est totalement incoh\u00e9rent avec les autres \u00e9valuations donn\u00e9es dans l’article : si les cyberattaques co\u00fbtent 560 millions de dollars en 2009 aux USA, comment atteindre les 1000 milliards de dollars dans le monde en 2008?<\/p>\n

J’avais montr\u00e9, il y a quelques temps, que le co\u00fbt mondial de la contrefa\u00e7on \u00e9tait estim\u00e9 d’une mani\u00e8re absurde<\/a>, avec un chiffre totalement faux qui subsistait obstin\u00e9ment dans toutes les \u00e9valuations, avec untel qui cite le chiffre en faisant r\u00e9f\u00e9rence \u00e0 machin, lequel le tient de bidule, qui le tient lui-m\u00eame d’untel. Ce chiffre de 1000 milliards de dollars pour le co\u00fbt des cyberattaques est en train de suivre le m\u00eame processus. L’article indique ainsi que le chiffre a \u00e9t\u00e9 cit\u00e9 lors d’un forum des Nations-Unies sur la cybers\u00e9curit\u00e9<\/a>, qui fait r\u00e9f\u00e9rence \u00e0 des donn\u00e9es d’Europol, qui elle-m\u00eame fait r\u00e9f\u00e9rence… \u00e0 l’\u00e9tude de McAfee. C’est comme cela qu’un chiffre finit par \u00ab\u00a0faire autorit\u00e9\u00a0\u00bb, pour reprendre les mots de l’auteur. Mais comment ce chiffre a-t-il \u00e9t\u00e9 d\u00e9termin\u00e9?<\/p>\n

Je suis donc all\u00e9 voir cette fameuse \u00e9tude commandit\u00e9e par McAfee en 2008, sur le co\u00fbt du cybercrime. Vous pouvez aller consulter le rapport ici<\/a>. Et surprise : le chiffre de 1000 milliards de dollars n’y figure nulle part. Ce chiffre a \u00e9t\u00e9 en fait cit\u00e9 pour la premi\u00e8re fois par le pr\u00e9sident de McAfee, au forum de Davos<\/a>. Il d\u00e9clare que le rapport \u00ab\u00a0montre que le co\u00fbt du cybercrime est de 1000 milliards de dollars par an, ou plus\u00a0\u00bb. Alors que jamais le rapport n’\u00e9voque ce chiffre!<\/p>\n

Le premier surpris par ce chiffre est d’ailleurs… un contributeur du rapport<\/a> qui se demande d’o\u00f9 il peut venir. Une fa\u00e7on d’expliquer comment ce chiffre peut \u00eatre tir\u00e9 du rapport est la suivante<\/a> : ce rapport a \u00e9t\u00e9 \u00e9tabli \u00e0 partir d’entretiens aupr\u00e8s de 1000 cadres dirigeants d’entreprises (environ 500 entreprises interrog\u00e9es), qui estiment en moyenne avoir perdu 4.6 millions de dollars de propri\u00e9t\u00e9 intellectuelle en moyenne au cours de l’ann\u00e9e 2008. On peut alors peut-\u00eatre supposer que les 1000 milliards sont \u00e9tablis en consid\u00e9rant que cet \u00e9chantillon est repr\u00e9sentatif (ce qui est parfaitement absurde) et en l’appliquant \u00e0 l’\u00e9conomie mondiale. Mais impossible d’en \u00eatre certain : jamais la moindre m\u00e9thodologie n’est indiqu\u00e9e, nulle part. Ce chiffre est donc totalement invent\u00e9, et l\u00e9gitim\u00e9 en citant un rapport qui n’y fait jamais allusion<\/strong>.<\/p>\n

Et ca ne l’emp\u00eache pas d’\u00eatre cit\u00e9 comme \u00ab\u00a0faisant autorit\u00e9\u00a0\u00bb, repris par toutes sortes d’organismes. Certains m\u00eame, voulant sans doute avoir l’air s\u00e9rieux, affirment que \u00ab\u00a0le vrai chiffre doit \u00eatre plus \u00e9lev\u00e9\u00a0\u00bb parce que l’\u00e9valuation date de 2008… On attend impatiemment les calculs qui montreront triomphalement qu’\u00e9tant donn\u00e9 que le cybercrime \u00ab\u00a0co\u00fbtait 1000 milliards de dollars en 2008\u00a0\u00bb et que la croissance \u00e9conomique a depuis \u00e9t\u00e9 de tant, il faut r\u00e9\u00e9valuer ce chiffre \u00e0 2000 milliards… Ne riez pas, \u00e7a sera certainement fait.<\/p>\n

On pourrait se demander pourquoi un chiffre aussi bidon se retrouve cit\u00e9 et repris partout, au point de \u00ab\u00a0faire autorit\u00e9\u00a0\u00bb. Le facteur principal est bien connu : citer des nombres est en soi un argument d’autorit\u00e9. La phrase \u00ab\u00a0la criminalit\u00e9 a augment\u00e9 depuis l’ann\u00e9e derni\u00e8re\u00a0\u00bb a beaucoup moins de poids que \u00ab\u00a0la criminalit\u00e9 a augment\u00e9 de 4.5% depuis l’ann\u00e9e derni\u00e8re\u00a0\u00bb. Je viens d’inventer ce chiffre : pourtant, convenez que la seconde phrase a l’air beaucoup plus cr\u00e9dible. Elle donne l’impression que je sais de quoi je parle, qu’une mesure a \u00e9t\u00e9 effectu\u00e9e, alors que mon chiffre n’a strictement aucune signification.<\/p>\n

On pourrait certainement faire le m\u00eame genre de d\u00e9cryptage avec la d\u00e9claration de L. Wauquiez, selon lequel \u00ab\u00a0un internaute sur 30 a perdu de l’argent \u00e0 cause d’un pirate informatique en Europe au cours des 12 derniers mois<\/a>\u00ab\u00a0. Comme toujours dans ces cas-l\u00e0, le chiffre est repris et cit\u00e9, sans la moindre fa\u00e7on de savoir d’o\u00f9 il est sorti (l’article cite encore d’autres chiffres sur le revenu issu des cyberattaques, bien \u00e9videmment, toujours aussi inv\u00e9rifiables). On constate aussi que la \u00ab\u00a0guerre au cybercrime\u00a0\u00bb consiste surtout \u00e0 m\u00e9langer des choses qui n’ont rien \u00e0 voir les unes avec les autres<\/a>, pour faire de questions diff\u00e9rentes un grand probl\u00e8me global exigeant des solutions (et des ressources) importantes.<\/p>\n

Le but n’est pas de dire que les cyberattaques n’ont aucune importance, ni aucun co\u00fbt, qu’il ne faut pas y pr\u00eater attention. Simplement de rappeler que les co\u00fbts, en la mati\u00e8re, sont tr\u00e8s difficiles \u00e0 \u00e9valuer. Et que ceux qui multiplient les chiffres sans signification le font soit comme argument commercial (comme le fait McAfee) soit pour l\u00e9gitimer leur action et mettre en oeuvre le th\u00e9\u00e2tre s\u00e9curitaire<\/a> (comme les politiques ou administrations qui multiplient la citation de ce genre de chiffres pour montrer que le gouvernement travaille).<\/p>\n

Il s’agit simplement de rappeler que l’exag\u00e9ration des menaces, \u00e0 l’aide de chiffres sans signification, finit par avoir des cons\u00e9quences lourdes. Si je me fais voler 100 euros, le vrai co\u00fbt social de ce vol n’est pas 100 euros qui ont simplement \u00e9t\u00e9 transf\u00e9r\u00e9s d’une personne \u00e0 une autre : il vient parce que je vais changer de comportement, consacrer plus de ressources \u00e0 ma protection au lieu de les consacrer \u00e0 des usages plus utiles. Si un pirate informatique obtient mon num\u00e9ro de carte bancaire, c’est \u00e9nervant, mais pas dramatique (il suffit de changer la carte pr\u00e9matur\u00e9ment). Si un hacker r\u00e9v\u00e8le les caract\u00e9ristiques du prochain Ipad et sa date de sortie, conduisant de nombreux acheteurs potentiels \u00e0 attendre ce nouveau mod\u00e8le plut\u00f4t que d’acheter l’existant, cela repr\u00e9sente \u00e9videmment un pr\u00e9judice pour Apple, mais plut\u00f4t un avantage pour les consommateurs. Si des hackers avaient vraiment r\u00e9ussi \u00e0 obtenir les documents de Bercy consacr\u00e9s au G20<\/a>, ils auraient surtout constat\u00e9 et r\u00e9v\u00e9l\u00e9 la vacuit\u00e9 de la chose. Pour les Etats-Unis, le co\u00fbt du 11 septembre n’est pas tant le co\u00fbt direct (morts, destructions) que l’ensemble des mesures qui ont \u00e9t\u00e9 prises en r\u00e9action (2 guerres, s\u00e9curit\u00e9 des a\u00e9roports, morts sur les routes de gens qui ont renonc\u00e9 \u00e0 prendre l’avion, etc).<\/p>\n

Le co\u00fbt principal de la criminalit\u00e9 tend \u00e0 survenir lorsqu’on d\u00e9cide d’y accorder trop d’importance, en n\u00e9gligeant la r\u00e9silience sociale, et en y consacrant des ressources qui auraient \u00e9t\u00e9 bien plus utiles ailleurs. Multiplier les \u00e9valuations fantaisistes et alarmistes du co\u00fbt des cyberattaques remplace la question raisonnable : \u00ab\u00a0quelles ressources, qui pourraient \u00eatre utilis\u00e9es \u00e0 autre chose, faut-il consacrer \u00e0 ce probl\u00e8me?\u00a0\u00bb par une hyst\u00e9rie collective dans laquelle jamais rien ne sera suffisant pour calmer les inqui\u00e9tudes, parce que la s\u00e9curit\u00e9 absolue ne saurait \u00eatre atteinte. Cette hyst\u00e9rie en enrichit quelques-uns, au d\u00e9triment de l’ensemble.<\/p>\n","protected":false},"excerpt":{"rendered":"

On a r\u00e9cemment attir\u00e9 mon attention sur cet article du Figaro, dont l’auteur essaie d’\u00e9valuer le co\u00fbt des cyberattaques. Le d\u00e9sarroi de l’auteur de l’article est visible : ayant cherch\u00e9 diverses sources d’information, il a bien du mal \u00e0 relever la moindre coh\u00e9rence. Un chiffre, surtout, sort du lot : selon une (Lire la suite…)<\/a><\/p>\n<\/div>","protected":false},"author":3,"featured_media":59424,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[],"class_list":["post-7612","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-lies-damn-lies-and-statistics"],"_links":{"self":[{"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/posts\/7612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/comments?post=7612"}],"version-history":[{"count":0,"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/posts\/7612\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/media\/59424"}],"wp:attachment":[{"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/media?parent=7612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/categories?post=7612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/econoclaste.eu\/econoclaste\/wp-json\/wp\/v2\/tags?post=7612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}