Sur l’air de « on regrette, on a peut-être exagéré », McAfee, en la personne de son CTO Mike Fey revient sur l’estimation des « pertes occasionnées par le cybercrime », lesquelles était estimées par le vendeur d’antivirus à près de un trillion de dollars . Un trillion anglo-saxon (échelle courte) correspond à mille milliards de dollars, soit l’équivalent d’un de nos billions. Ouvrons ici une parenthèse pour rappeler que le trillion non-anglo-saxon (échelle longue) correspondant à un milliard de milliard, ce qui n’a pas franchement embarrassé certains de nos confrères qui ont repris à l’époque l’information avec son erreur de traduction. Les grands massacres ne comptent pas les morts avec une précision inférieure à 3 ou 6 zéros. Dans tous les cas, le chiffre est difficile à avaler, et montre à quel point les boutiquiers de la sécurité adorent surfer sur les vagues anxiogènes.
L’estimation des pertes suite à un sinistre informatique connaît généralement deux méthodes de calcul : en premier lieu, celle des compagnies d’assurance, qui repose peu ou prou sur les pertes directes lorsque celles-ci sont prouvées, factures à l’appui. La seconde méthode consiste à additionner tout ce qui tombe sous la main du Directeur Financier. A commencer par les coûts de renforcement des outils de défense périmétrique et de détection d’intrusion, investissement en général constamment reporté par ce même Directeur Financier sous prétexte de rentabilité impossible à prouver. L’estimation du hack du New York Times par Adrian Lamo est un des exemples les plus criants de cette façon de voir les choses.
S’ajoutent à ce coût du laxisme par procrastination économique diverses dépenses connexes, notamment celles incluant les pertes conséquentes probables. Par exemple, le vol d’une identité bancaire peut à son tour induire une perte par vol pour le possesseur du compte. Se confondent alors les notions de risque et de sinistre, rares étant les médias capables de distinguer, dans cet embrouillamini comptable, le montant exact des pertes.
On ne peut que remercier Mike Fey pour sa franchise. Il reste à espérer que cet aveu soit transformé en une véritable politique de transparence et d’exactitude. Les « cybercrime annual report » publiés à grand frais par les multiples commerçants du monde de la sécurité n’en deviendront que plus crédibles… peut-être.
