Des ports de marchandise à l’arrêt, des usines immobilisées et des entreprises ralenties… la facture de ce faux « rançongiciel » est salée, selon un décompte du « Monde ». Petya a-t-il été le virus le plus coûteux de l’histoire ? Le 27 juin apparaissait en Ukraine une souche inconnue d’un « rançongiciel », qui bloquait l’accès aux ordinateurs qu’il infectait. En quelques heures, il s’est répandu dans des dizaines d’entreprises dans le monde entier. Des ports de conteneurs ont été mis à l’arrêt, des chaînes de production de médicaments se sont immobilisées et des entreprises, comme Saint-Gobain, ont été contraintes pendant des jours de revenir au papier et au stylo. Quatre mois plus tard, les sociétés infectées ont pour la plupart établi un premier bilan financier. Et ce dernier est très lourd : si elles sont diversement touchées, leurs pertes s’élèvent à plus de 1 milliard d’euros (1,073), selon un décompte – partiel et donc inévitablement sous-estimé – réalisé par Le Monde. Petya a nettement grevé le chiffre d’affaires du fleuron de l’industrie française Saint-Gobain, l’entreprise française la plus durement touchée par ce logiciel destructeur. Cette dernière estime que son infection lui a coûté au premier semestre 220 millions d’euros de chiffre d’affaires et 65 millions d’euros de résultat d’exploitation (soit 4,4 %). Sur l’année complète, Saint-Gobain a estimé que Petya lui coûterait un peu moins de 250 millions de chiffre d’affaires et 80 millions d’euros de résultat.
Autre grand groupe durement touché par Petya, Fedex. Les activités de sa filiale TNT Express ont été « lourdement affectées » dans les semaines qui ont suivi l’attaque : une quinzaine de jours après le début de l’infection, le service n’était toujours pas revenu à la normale et ses clients pâtissaient « de retards généralisés ».
Il a fallu attendre la fin de septembre, trois mois après le début de l’épisode, pour que les systèmes informatiques critiques de la société soient « pratiquement tous » revenus à un fonctionnement normal, sans que cela empêche « les revenus, les volumes traités et les profits de TNT Express » de demeurer « en dessous des niveaux précédant la cyberattaque », reconnaissait le 19 septembre le directeur financier de l’entreprise, Alan B. Graf. A la fin de septembre, l’entreprise était encore « concentrée sur la restauration de certains systèmes-clés pour [ses] clients à temps pour le pic d’activité » de fin d’année. L’attaque a occasionné un manque à gagner de 300 millions de dollars (258 millions d’euros), selon l’entreprise, qui reconnaît également que le coût pour une année pleine sera sans doute supérieur.
Autre entreprise très durement touchée, le grand groupe de transport maritime Maersk. Ce dernier avait dû interrompre le fonctionnement de certains de ses terminaux de marchandise à la suite de l’infection. Mardi 7 novembre, l’entreprise a légèrement revu à la hausse les dégâts, les estimant entre 250 millions et 300 millions de dollars (215 millions et 260 millions d’euros). Si l’attaque n’a pas fait perdre à la société « le contrôle de ses bateaux », Petya a eu des conséquences très concrètes en faisant diminuer le volume de marchandises transporté par la société de 2,5 % au troisième trimestre.
L’entreprise emblématique de l’agroalimentaire américaine Mondelez (LU, Cadbury…) a également été très perturbée par Petya. Le 2 août, elle annonçait que le virus lui avait coûté 2,3 % de ses revenus, soit environ 140 millions de dollars (120 millions d’euros), auxquels s’ajoute un coût de réponse à l’attaque de 7,1 millions de dollars (6 millions d’euros). Il ne s’agit que d’estimations, le groupe prédisant des efforts additionnels au second semestre pour dissiper totalement les conséquences du virus.
Dans un premier temps, la société spécialisé dans le médicament Merck avait été incapable d’estimer les dégâts liés à Petya. A la fin du mois de juillet, plus d’un mois après l’épisode, elle était encore « en train de se remettre de la cyberattaque », expliquait lors d’un échange avec des analystes son directeur financier, Robert M. Davis. « L’évaluation des dégâts » étant encore en cours et sans exclure que les conséquences de Petya s’étalent jusqu’en 2018, l’entreprise avait été forcée d’être « conservatrice » en termes de prévisions de résultat. Le 27 octobre, elle a annoncé que l’infection lui avait coûté 135 millions de dollars (116 millions d’euros), notamment parce que Petya a interrompu les chaînes de production du Gardasil 9, un vaccin contre le cancer du col de l’utérus, forçant la société à puiser dans les réserves du gouvernement américain.
Plus modestement touché, le groupe allemand Beiersdorf (Nivea) a annoncé au milieu de l’été une perte de 35 millions d’euros au deuxième trimestre, notamment en raison du déport de certaines ventes. Mais lors de la présentation de ses résultats pour les neuf premiers mois de l’année, le 26 octobre, le groupe ne s’est pas étendu sur le chiffre exact des montants engagés relatifs à Petya. « La cyberattaque a évidemment eu des effets en termes de coûts, ceux du rétablissement [des systèmes], mais aussi de mise en place de meilleures protections. Ces coûts sont intégrés dans la projection annuelle », a fait savoir dans une présentation aux analystes le directeur financier, Jesper Andersen, refusant de « donner » le montant exact. L’infection par Petya « a eu un impact sur notre performance, mais elle n’a pas eu d’effet fondamental », a assuré à la même occasion le trésorier du groupe, Jens Geissler.
Le britannique Reckitt Benckiser (Durex, Vanish, Calgon…) a lui aussi été touché par Petya. Près de trois semaines après l’attaque, le groupe était encore en train d’évaluer « toutes ses implications ». Certaines usines ont cependant été mises à l’arrêt après la cyberattaque, et il a fallu attendre le 11 juillet, soit deux semaines, pour qu’elles retrouvent une production « proche de la normale ». L’entreprise notait toutefois que les systèmes de livraison et de facturation allaient souffrir d’importants retards jusqu’à la fin du mois d’août. Lors de la présentation de ses résultats trimestriels, le 18 octobre, l’entreprise s’est contentée d’expliquer que ses ventes avaient pâti du « rançongiciel » à hauteur de 2 % au troisième trimestre, ce qui représente, sur la base de son chiffre d’affaires pour la période, un manque à gagner d’environ 65 millions de livres sterling (73 millions d’euros).
A ce bilan s’ajoutent les entreprises qui n’ont pas encore évalué les pertes. C’est le cas par exemple de Mars. Sollicité par Le Monde, un porte-parole du groupe agroalimentaire américain explique que Petya a touché principalement sa filiale Royal Canin :
« Afin de préserver nos engagements en termes de qualité, nous avons pris la décision de stopper notre production. »
Cette dernière n’a été intégralement restaurée que le 1er septembre, transmet-on de même source :
« Notre attention première s’est portée sur les systèmes de production afin de garantir la sécurité alimentaire et la traçabilité de nos produits. Nous avons par ailleurs implanté des mesures additionnelles de protection afin de prévenir d’autres éventuelles attaques. Le chiffrage financier de l’impact de la cyberattaque est toujours en cours. »
Certaines entreprises ont estimé que les dégâts causés par Petya étaient négligeables ou inexistants. C’est le cas du grand groupe pétrolier russe Rosneft, pourtant infecté, de Home Credit, organisme de crédit sis en République tchèque et très présent en Europe de l’Est et en Russie, et du sidérurgiste russe Evraz.
Somme toute, si le bilan des entreprises ayant communiqué à ce sujet s’élève à plus de 1 milliard d’euros, plusieurs éléments laissent à penser que les dégâts causés par Petya sont encore plus importants. D’abord, la plupart des victimes se trouvent en Ukraine et ne sont pas cotées en Bourse, ce qui les dispense d’informer le public des conséquences d’événements tels que Petya. Ensuite, certaines entreprises n’ont pas donné de montant précis des dégâts.
C’est le cas du grand groupe publicitaire britannique WPP. Ce dernier a d’abord reconnu, le 23 août, que certaines de ses activités avaient été « significativement perturbées » par Petya et que tous ses systèmes informatiques n’étaient pas opérationnels, près de deux mois après l’infection initiale. Lors de la présentation de ses résultats du troisième trimestre, le 31 octobre, le groupe n’a pas mentionné de coût, se contentant de lister Petya comme l’un des facteurs contribuant à l’augmentation de sa dette de près de 1 milliard de livres sterling (1,1 milliard d’euros). Le cabinet d’avocats DLA Piper, l’un des plus importants au monde, avait lui aussi été fortement perturbé par Petya, mais il n’a pas communiqué sur d’éventuels dégâts.
La facture très salée de Petya a servi à « éveiller les consciences », selon Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (Cesin), une association qui regroupe notamment les responsables de la sécurité informatique de la plupart des grands groupes français. Plus spécifiquement, le fait que les entreprises touchées n’aient vraisemblablement pas été visées directement mais constituent des victimes collatérales d’une action visant l’Ukraine est une nouveauté : « Cela peut arriver aux plus grands et aux mieux armés : “Je ne suis pas visé, j’ai tout bon, j’ai fait toutes les croix dans toutes les cases et je peux quand même être victime d’une attaque réussie”, c’est ça qui doit rentrer dans la tête des dirigeants. »
/http%3A%2F%2Fimg.lemde.fr%2F2017%2F11%2F06%2F293%2F0%2F3500%2F1750%2F644%2F322%2F60%2F0%2Fef89fec_22760-3zf1ud.26qj3ba9k9.jpg)
/http%3A%2F%2Fs.france24.com%2Fmedia%2Fdisplay%2F46f3668e-6dea-11ea-b8c6-005056a98db9%2Fw%3A1240%2Fp%3A16x9%2F240320-ischgl-ski-covid-m.jpg%23width%3D1240%26height%3D698)
/http%3A%2F%2Fmobile-img.lpcdn.ca%2Flpca%2F924x%2Fr3996%2F196aa294-6c3c-11ea-b33c-02fe89184577.jpg%23width%3D924%26height%3D616)
/http%3A%2F%2Fprmeng.rosselcdn.net%2Fsites%2Fdefault%2Ffiles%2Fdpistyles_v2%2Fena_16_9_extra_big%2F2020%2F03%2F20%2Fnode_76437%2F37476820%2Fpublic%2F2020%2F03%2F20%2FB9722988651Z.1_20200320084902_000%2BG6EFOPJVR.1-0.jpg%3Fitok%3DUXjicUp91584690549%23width%3D1137%26height%3D759)
/http%3A%2F%2Flvdneng.rosselcdn.net%2Fsites%2Fdefault%2Ffiles%2Fdpistyles_v2%2Fena_16_9_extra_big%2F2020%2F03%2F22%2Fnode_729971%2F46296628%2Fpublic%2F2020%2F03%2F22%2FB9723008072Z.1_20200322145158_000%2BGSQFP3QL4.1-0.jpg%3Fitok%3Dr-YmuxSc1584885438%23width%3D1350%26height%3D759)