Stratégie

Jaguard Land Rover : quand le 'Too big to fail' s'étend à la cyber

Jaguard Land Rover : quand le 'Too big to fail' s'étend à la cyber
Sur la chaîne de montage de l’usine Jaguar Land Rover de Halewood, non loin de Liverpool. La production y a été à l’arrêt tout le mois de septembre dernier et n’a repris que progressivement à partir de début octobre. (Photo : JLR)

Le plan de sauvetage de 1,7 Md€ accordé par le gouvernement britannique à Jaguar Land Rover, suite à la cyberattaque dont le constructeur a été victime, fait figure de dangereux précédent, selon un organisme indépendant.

PublicitéOutre Manche, le Cyber Monitoring Center (CMC), organisme créé l'an dernier pour surveiller, définir et classifier les cyberincidents affectant les organisations britanniques, s'interroge publiquement sur la pertinence de la garantie financière de 1,5 milliard de livres sterling (environ 1,7 Md€) accordée par le gouvernement à Jaguar Land Rover (JLR), suite à l'attaque ayant mis plusieurs sites de production majeurs du constructeur à l'arrêt pendant 5 semaines.

La cyberattaque subie par Jaguar Land Rover fin août 2025 a provoqué l'arrêt prolongé de la production dans plusieurs usines du groupe, entraînant des coûts directs et une forte chute des ventes. Après environ 2 Md€ de pertes enregistrées lors du trimestre fiscal clos le 30 septembre - incluant donc l'arrêt de production engendré par l'attaque -, les chiffres du troisième trimestre fiscal 2025/2026 (clos fin décembre dernier) du groupe Tata Motors, qui possède JLR, montrent un nouveau trou sévère dans les ventes, représentant environ 3,5 Md€ de chiffre d'affaires envolé en un an, qui s'explique pour l'essentiel par la reprise très progressive de la production à partir du 7 octobre. Et encore ne s'agit-il là que des seules conséquences directes, l'arrêt de la production ayant, par ricochet, mis au chômage technique bon nombre de sous-traitants du constructeur automobile. Jusqu'à 5 000 autres sociétés auraient été impactées.

Lors d'un événement organisé par le Royal United Services Institute (RUSI) et consacré au bilan des activités du CMC durant sa première année d'existence, Ciaran Martin, président du comité technique de surveillance de la cybersécurité au sein de l'organisme, a évoqué la garantie accordée l'an dernier par le gouvernement britannique, suite à une des cyberattaques les plus graves jamais survenues au Royaume-Uni. « Je pense que la garantie de prêt constitue un précédent regrettable, car l'État est intervenu au cas par cas, en réaction à une série d'événements, sans critères clairs quant à la forme que pourrait prendre une telle intervention », a expliqué Ciaran Martin, précisant s'exprimer à titre personnel.

Intervenir, mais dans quel cadre ?

Ciaran Martin, également membre émérite du RUSI, a ajouté : « Il existe manifestement un certain nombre de scénarios plausibles, réalistes et défavorables dans lesquels la plupart des citoyens raisonnables s'attendraient à une forme d'intervention de l'État. Mais il serait préférable de disposer d'un cadre, qu'il s'agisse d'une assurance obligatoire, d'incitations fiscales à la souscription d'une assurance, ou d'un ensemble de principes définissant les éléments qui déclencheraient une intervention de l'État. Et sous quelle forme ? Des garanties de prêt ? Autre chose ? »

Egalement présente lors de cet événement, Tracey Paul, directrice de la stratégie et de la communication chez Pool Re, réassureur britannique spécialisé dans le terrorisme, a souligné qu'il existe aujourd'hui un déficit de protection en matière de cyberassurance : « je ne sais pas comment nous allons combler l'écart entre les pertes économiques potentielles et les pertes assurées, sans un partenariat entre le gouvernement, le secteur des assurances et les autres acteurs de l'écosystème cyber ». Le secteur dispose d'un modèle préfinancé et d'un contrat avec le gouvernement en vertu duquel, si l'assureur est à court de fonds, le gouvernement intervient et lui accorde un prêt pour couvrir les pertes.

Publicité« Mais ce n'est une façon de faire, et je pense que [le gouvernement] aimerait avoir la possibilité de procéder autrement, a-t-elle observé. Ce qui est certain, c'est qu'un transfert de risques entre le secteur public et le secteur privé est impossible sans un cadre structuré, et le gouvernement devra tôt ou tard se concerter sur les modalités de ce transfert. »

Un impact direct sur le PIB

Plusieurs analystes partagent les inquiétudes de Martin. Erik Avakian, conseiller technique au sein du cabinet d'études Info-Tech Research Group, souligne qu'il « prédit depuis des années que les attaquants passeront d'attaques mineures (comme les attaques DDoS) à des attaques catastrophiques, voire à la destruction, des opérations d'une entreprise ». L'incident chez JLR « illustre parfaitement l'impact sur la résilience globale des opérations d'une entreprise. Et une fois que cela se produit, les conséquences peuvent aller bien au-delà de simples objectifs manqués lors des résultats trimestriels. »

« Ce que nous avons vu avec l'attaque contre Jaguar Land Rover démontre qu'un incident cybernétique peut paralyser des opérations réelles de telle sorte que ses répercussions s'étendent à l'ensemble de l'économie, et pas seulement aux systèmes informatiques ; qu'une cyberattaque peut avoir un impact direct sur le PIB et l'emploi d'un pays et ravager ses exportations nationales », souligne Erik Avakian. Début novembre, la Banque d'Angleterre indiquait que la cyberattaque était un des facteurs qui expliquait le niveau décevant de la croissance de l'économie britannique au troisième trimestre 2025 (à +0,2%, soit 0,1 point en dessous des prévisions).

Risque de sous-investissement dans la cyber

« L'intervention de l'État sous forme de garantie de prêt envoie un signal clair : certaines entreprises pourraient désormais être considérées comme trop importantes pour faire faillite en raison du risque cyber, reprend le spécialiste d'Info-Tech Research Group. Cela peut créer un précédent dangereux, car les grandes organisations critiques pourraient devenir des cibles privilégiées pour les cybercriminels, conscients qu'une attaque réussie sur ces organisations peut avoir des conséquences aussi désastreuses. » Pour Erik Avakian, cela pourrait également engendrer de nouveaux risques : « les entreprises pourraient être tentées de sous-investir dans leur sécurité si elles pensent bénéficier d'un filet de sécurité implicite. » Selon David Shipley, PDG de Beauceron Security, éditeur spécialisé dans la protection de la messagerie, « on a créé un monstre en utilisant l'assurance pour se soustraire à la gestion du risque, certes plus coûteuse à court terme, mais plus efficace à long terme. »

Pourquoi, les entreprises devraient-elles « investir autant d'efforts dans l'authentification multifacteurs alors qu'il suffit de souscrire une assurance ?, interroge ainsi David Shipley. Le problème, c'est que le fléau de la cybercriminalité, alimenté par les assurances, a atteint des proportions gigantesques, et nous ne pouvons pas assurer tous les dégâts. Bravo ! » Pour le dirigeant, les renflouements publics d'entreprises « ne sont qu'une nouvelle étape, tout aussi malheureuse, d'une même décision erronée. Si l'assurance était la cocaïne de la mauvaise gestion des risques cyber, les renflouements publics en sont le fentanyl. » Seule issue, selon lui : investir dans des solutions qui n'enrichissent pas les criminels.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis