Selon les spécialistes, une attaque informatique coûterait entre 2 et 6,7 milliards de dollars à ses victimes. Sans convaincre sur la méthodologie qui leur permet de chiffrer les dégâts...
Qu’est-ce qui est rouge, qui ravage les PC depuis trois semaines, et qui vaut deux milliards ? Le ver Code Rouge, pardi. Mais qui irait acheter un bout de code pervers à ce prix-là ? Le consortium - informel - international de toutes les sociétés infectées, selon les chiffres publiés au quotidien, dont le nombre ne cesse d’augmenter. Oui, mais. Code Rouge n’est pas le premier ver ou virus à déferler sur le monde. Avant lui, il y avait déjà eu, entre autres, Melissa et Iloveyou. Selon Computer Economics, une société américaine qui se targue de chiffrer les dégâts infligés aux ordinateurs par les virus et intrusions de tout poil, Iloveyou aurait coûté aux entreprises du monde entier la bagatelle de 6,7 milliards de dollars. Selon une autre source - Aberdeen Group - les sociétés du monde entier auraient dépensé quasiment la même somme en 1999 - 7,1 milliards de dollars - pour se protéger contre les attaques. Peut-on raisonnablement penser que les dégâts infligés par un virus, fût-il très méchant, soient équivalents à la somme dépensée pour s’en prémunir ? Oui, si l’on s’en tient aux statistiques. Non, si l’on cherche à recouper les sources d’où émanent ces statistiques. Le journal Libération s’était d’ailleurs penché sur la question à l’époque d’Iloveyou.
Du simple au quintuple
Pour tout le monde aujourd’hui, Code Rouge aurait déjà occasionné deux milliards de dollars de dégâts. En remontant à la source du chiffre, on tombe une nouvelle fois sur Computer Economics qui, seul, semble capable d’estimer l’étendue des dégâts. Mais comment font-ils ? "Pour calculer le coût, nous recensons le nombre de machines infectées, nous les classons par types, puis nous chiffrons le temps de travail nécessaire pour se débarrasser du ver, nettoyer les serveurs, les tester", explique Michael Erbschloe, vice-président du service recherche à Computer Economics. Ne reste plus, ensuite, qu’à faire quelques obscures multiplications et additions. Voilà pour les serveurs. L’opération est la même pour les PC personnels infectés par des virus. Dans ce cas, il faut prendre en compte ceux qui ont activé le virus sur leurs machines, et ceux qui ont juste reçu un fichier infecté. "Ces derniers aussi perdent du temps à éliminer les fichiers contaminants de leur ordinateur de travail", justifie Michael Erbschloe. Certes. Il suffit d’appuyer sur le bouton "supprimer mail", manipulation qui ne coûte guère de temps à l’entreprise. On peut douter de la rigueur scientifique de la méthodologie employée par Computer Economics, simplement parce que le postulat de départ - "Nous recensons le nombre de machines infectées" - est impossible. Il n’empêche : le cabinet américain affirme conseiller aujourd’hui 82 % des 500 plus grosses entreprises américaines. Qui orientent leurs investissements de sécurité informatique en fonction de ces estimations pour le moins hasardeuses. Mais d’autant plus vraisemblables qu’elles sont reprises par les journaux du monde entier. Lorsqu’on sait que les estimations des experts es-technologies informatiques divergent parfois du simple au quintuple sur une même analyse prospective, on se dit que la politique économique des grandes industries repose parfois sur des bases bien faiblardes.