La cybercriminalité est l’une des préoccupations les plus urgentes pour les entreprises. Les pirates informatiques commettent des attaques de ransomware fréquentes mais isolées principalement pour des gains financiers, tandis que les acteurs étatiques utilisent des techniques plus sophistiquées pour obtenir des informations stratégiques telles que la propriété intellectuelle et, dans des cas plus extrêmes, pour perturber les opérations des organisations critiques. Ainsi, ils peuvent endommager la capacité de production des entreprises, affectant ainsi potentiellement leurs clients et leurs fournisseurs. Dans cet article, basé sur un rapport du personnel connexe, nous étudions une cyberattaque particulièrement grave qui s’est propagée par inadvertance au-delà de sa cible initiale et a perturbé les opérations de plusieurs entreprises à travers le monde. Des exemples plus récents de cyberattaques perturbatrices incluent les attaques de ransomware sur Colonial Pipeline, le plus grand réseau de pipelines pour les produits pétroliers raffinés aux États-Unis, et JBS, une entreprise mondiale de transformation de bœuf. Dans les deux cas, les opérations ont été interrompues pendant plusieurs jours, provoquant des goulots d’étranglement prolongés dans la chaîne d’approvisionnement.
La pire cyberattaque de tous les temps
Nous examinons l’impact de la cyberattaque la plus dommageable de l’histoire, qui a causé des dommages estimés à 10 milliards de dollars. Nommé NotPetya, il a été publié le 27 juin 2017 et visait des organisations ukrainiennes dans le cadre d’un effort du renseignement militaire russe pour paralyser les infrastructures ukrainiennes critiques. Même si NotPetya ressemblait d’abord à une attaque de ransomware, sa véritable intention n’était pas les gains financiers provenant des paiements de rançon. Au lieu de cela, NotPetya a été conçu pour crypter et paralyser les réseaux informatiques des banques, des entreprises et du gouvernement ukrainiens.
Le vecteur initial d’infection était un logiciel que le gouvernement ukrainien exigeait que tous les fournisseurs du pays utilisent à des fins de déclaration fiscale. Lorsque ce logiciel a été piraté et que le logiciel malveillant a été publié, il s’est répandu dans différentes entités, y compris quelques grandes entreprises mondiales via leurs filiales ukrainiennes. Par exemple, la compagnie maritime Maersk a vu ses opérations s’arrêter, créant le chaos dans les ports du monde entier. Une filiale de FedEx a également été touchée, devenant incapable de prendre et de traiter les commandes. La fabrication, la recherche et les ventes ont été interrompues chez le géant pharmaceutique Merck, le rendant incapable de fournir des vaccins au Center for Disease Control and Prevention (CDC). Plusieurs autres grandes entreprises (par exemple, Mondelez, Reckitt Benckiser, Nuance, Beiersdorf) ont vu leurs serveurs arrêtés et n’ont pas pu effectuer d’activités essentielles. Les cartes ci-dessous montrent les emplacements géographiques des clients et des fournisseurs touchés des entreprises directement touchées par la cyberattaque. Les cartes suggèrent la possibilité que la cyberattaque puisse affecter plusieurs entreprises via les relations de la chaîne d’approvisionnement.
Propagation de la cyberattaque
Pour étudier la propagation de la cyberattaque à travers les chaînes d’approvisionnement des entreprises, nous comparons l’évolution de la rentabilité des clients affectés avant et après la cyberattaque à l’évolution de la rentabilité d’entreprises similaires qui n’ont pas de liens d’approvisionnement avec les entreprises directement touchées. La différence entre ces deux changements peut alors être attribuée aux perturbations de la chaîne d’approvisionnement causées par la cyberattaque.
Nous constatons que la cyberattaque NotPetya s’est propagée en aval vers les clients mais pas en amont vers les fournisseurs. Par rapport à des entreprises par ailleurs similaires, les clients concernés affichent une baisse de rentabilité de 1,3 point de pourcentage après la cyberattaque. Fait intéressant, les vulnérabilités de la chaîne d’approvisionnement jouent un rôle dans la détermination de l’ampleur de l’effet. Cela peut se produire de deux manières. Comme les entreprises ont besoin de plusieurs intrants et services intermédiaires pour leur production, elles deviennent plus vulnérables aux interruptions soudaines si elles ne peuvent pas facilement remplacer le fournisseur qui subit un choc. En effet, les clients concernés qui dépendent de moins de fournisseurs alternatifs dans le même secteur que le fournisseur directement touché affichent des baisses de rentabilité plus importantes. En outre, les clients des entreprises directement touchées qui produisent des produits à plus forte intensité de R&D sont plus touchés, car ces intrants de R&D sont plus difficiles à remplacer auprès de fournisseurs de substitution. Nous constatons que ces clients subissent également des baisses plus importantes de leurs revenus et de leur rentabilité.
Gestion du risque de liquidité
Pour faire face à l’effet du choc, les clients touchés utilisent à la fois des liquidités internes et externes. Plus précisément, ils réduisent leur ratio de liquidité, une mesure de la liquidité interne de l’entreprise et définie comme les actifs courants moins les stocks divisés par les passifs courants. En outre, les clients concernés augmentent leur recours aux financements externes, principalement en utilisant des lignes de crédit préexistantes auprès des banques. Cependant, cela a un coût puisque les banques considèrent par la suite que les clients concernés sont plus risqués et leur facturent donc des taux plus élevés. Grâce à leur accès à des financements internes et externes, les clients touchés surmontent le choc sans réduire leur investissement ou leur emploi.
Réponse du réseau endogène
La cyberattaque NotPetya a révélé la possibilité d’interruptions d’activité prolongées et a servi de signal d’alarme pour les clients concernés. En conséquence, nous constatons que les clients affectés sont plus susceptibles de nouer de nouvelles relations avec d’autres fournisseurs après le choc, c’est-à-dire d’autres fournisseurs du même secteur où se trouvent les entreprises directement touchées. Au fil du temps, ils sont également plus susceptibles de mettre fin à la relation d’approvisionnement avec le fournisseur directement touché.
Plats à emporter
Alors que la cybercriminalité devient une plus grande source de risque pour les entreprises et les gouvernements, il est de la plus haute importance d’étudier les effets potentiels des cyberattaques graves. Dans cet article, nous montrons que certaines cyberattaques malveillantes conçues pour paralyser les infrastructures informatiques peuvent avoir des effets dévastateurs non seulement sur les entreprises directement touchées, mais également sur d’autres entreprises via les liens de la chaîne d’approvisionnement. Ce faisant, nous documentons les avantages de chaînes d’approvisionnement bien diversifiées avec plusieurs fournisseurs alternatifs. Nous soulignons également le rôle du crédit bancaire pour permettre aux clients touchés d’amortir le choc. Il est important de noter que dans cet événement spécifique, les banques n’ont pas été touchées par la cyberattaque NotPetya et ont pu fournir des crédits aux entreprises. Un scénario potentiellement plus dévastateur aurait pu se produire si les banques avaient également été touchées, les rendant potentiellement réticentes ou incapables de fournir des crédits supplémentaires.
Matteo Crosignani est économiste au sein du Research and Statistics Group de la Federal Reserve Bank de New York.
Marco Macchiavelli est économiste principal au Conseil des gouverneurs de la Réserve fédérale.
André F. Silva est économiste au Conseil des gouverneurs du Système fédéral de réserve.
Comment citer ce post :
Matteo Crosignani, Marco Macchiavelli et André F. Silva, « Cyberattaques et perturbations de la chaîne d’approvisionnement », Federal Reserve Bank of New York Économie de la rue de la liberté, 22 juin 2021, https://libertystreeteconomics.newyorkfed.org/2021/06/cyberattacks-and-supply-chain-disruptions.html.
Lecture connexe
Pirates sans frontières : la propagation des cyberattaques dans les chaînes d’approvisionnement des entreprises (rapport du personnel)
Avertissement
Les opinions exprimées dans cet article sont celles des auteurs et ne reflètent pas nécessairement la position de la Federal Reserve Bank de New York ou du Federal Reserve System. Toute erreur ou omission est de la responsabilité des auteurs.
