Technologies

Plus de 2 Md€ : Jaguar Land Rover, la cyberattaque la plus coûteuse de l'histoire ?

Sur la chaîne de montage de l’usine Jaguar Land Rover de Halewood, non loin de Liverpool. La reprise de la production dans les usines du groupe sera progressive. (Photo : Jaguar Land Rover)

Des experts britanniques évaluent le coût de la cyberattaque subie par Jaguar Land Rover fin août 2025 à 2,2 Md€ pour l'économie britannique. En excluant tout litige juridique éventuel et tout paiement aux cybercriminels.

PublicitéSelon les experts britanniques du Cyber Monitoring Center (CMC), un centre indépendant évaluant l'impact des incidents cyber, la cyberattaque qui a touché fin août le constructeur Jaguar Land Rover a coûté environ 2,2 Md€ (1,9 milliard de livres sterling). Le piratage, dont le mécanisme n'a toujours pas été détaillé par l'entreprise, a mis la production à l'arrêt durant 5 semaines et a touché par ricochet 5 000 autres sociétés. Les chercheurs du CMC s'attendent à des impacts s'étalant jusqu'en janvier prochain, le redémarrage de la production et la remise sur pied de la supply chain ne pouvant être que progressifs.

Classé en catégorie 3 (sur une échelle allant de 1 à 5, qui prend en compte le coût et la taille de la population affectée), l'événement n'en reste pas moins exceptionnel. « Avec un coût de près de 2 milliards de livres sterling, cet incident semble avoir été, de loin, le cyber-événement le plus dommageable financièrement jamais arrivé au Royaume-Uni », indique Ciaran Martin, président du comité technique du CMC, à la BBC. Plus précisément, l'organisme prévoit une facture comprise entre 1,6 et 2,1 milliards de livres (de 1,8 à 2,4 Md€), qui pourrait encore s'alourdir « si les technologies opérationnelles ont été significativement touchées ou s'il y a des retards inattendus dans le retour de la production aux niveaux d'avant l'événement ».

Les pires pertes opérationnelles de l'histoire

Si la crise cyber de Jaguar Land Rover est la plus coûteuse de l'histoire de la Grande-Bretagne, elle semble aussi être la facture la plus lourde jamais essuyée par une entreprise et son écosystème suite à une cyberattaque. En effet, si des crises à grande échelle, comme WannaCry en 2017 ou le bug de Crowdstrike en 2024, ont entraîné des pertes supérieures, jamais une entreprise ne semble avoir été confrontée à des conséquences de cette ampleur.

En 2017, la société financière Equifax avait dû s'acquitter de près de 2 Md$ (1,7 Md€) de dommages et intérêts (auprès des consommateurs et du gouvernement américain) suite à son piratage massif. Derrière ce cas dépassant le seuil du milliard d'euros, les affaires les plus significatives se chiffrent plutôt en centaines de millions : Merck (750 M€, NotPetya en 2017), Yahoo (405 M€, suite à deux failles en 2013 et 2014), TNT Express (345 M€, NotPetya), Saint-Gobain (331 M€, NotPetya), Maersk (259 M€, NotPetya), Target (259 M€, compromission du système de paiement en 2013). Notons que la cyberattaque, « très sophistiquée et ciblée », qui a visé le distributeur britannique Mark & Spencers plus tôt dans l'année, a coûté 345 M€ selon le distributeur. Certes, des entreprises de sécurité ont évalué des coûts supérieurs pour les failles qu'ont connues les firmes américaines TJX Companies (3,9 Md€, suite au vol de 45 millions de données de cartes de crédit entre 2005 et 2007) et Epsilon (3,4 Md€, suite à la perte de données sensibles en 2011), mais celles-ci se basent plutôt sur des estimations reposant sur le coût unitaire d'une perte de donnée.

PublicitéPour calculer la facture que va laisser l'attaque contre Jaguar Land Rover, le Cyber Monitoring Center a quant à lui uniquement additionné les pertes opérationnelles : interruptions de production et limitation de celle-ci lors de la phase de reprise progressive, coût de la réponse à incident et de la reconstruction des systèmes, impacts dans la supply chain du constructeur, réduction des ventes dans le réseau de distribution, pertes essuyées par d'autres prestataires du groupe (service, transport, exportation...) ainsi qu'effets négatifs sur l'économie locale. Ce qui signifie aussi que le total calculé par le CMC n'intègre aucune perte financière qui proviendrait de la fuite de données qui a apparemment touché le constructeur, de l'éventuel paiement d'une rançon ou de possibles procès contre Jaguar Land Rover, émanant par exemple de partenaires.