Cyberattaque contre Jaguar Land Rover : un coût estimé à 2,2 milliards d’euros pour l’économie britannique

Le Cyber Monitoring Center (CMC), centre indépendant britannique qui évalue l’impact des incidents cyber, estime que la cyberattaque ayant visé Jaguar Land Rover fin août a coûté environ 2,2 milliards d’euros (1,9 milliard de livres sterling) à l’économie du Royaume-Uni. Selon le CMC, la production a été arrêtée pendant cinq semaines et l’incident a eu des répercussions sur quelque 5 000 autres entreprises.

Les conséquences et l’évaluation du CMC

Le CMC classe l’événement en catégorie 3 sur une échelle de 1 à 5, qui prend en compte le coût et la taille de la population affectée. Les experts anticipent des impacts s’étalant jusqu’en janvier prochain : le redémarrage des lignes et la remise en état de la supply chain devraient être progressifs.

 » Avec un coût de près de 2 milliards de livres sterling, cet incident semble avoir été, de loin, le cyber-événement le plus dommageable financièrement jamais arrivé au Royaume-Uni « , a déclaré Ciaran Martin, président du comité technique du CMC, à la BBC. L’organisme propose une fourchette d’évaluation comprise entre 1,6 et 2,1 milliards de livres (environ 1,8 à 2,4 milliards d’euros), montant qui pourrait encore augmenter si les technologies opérationnelles ont été gravement affectées ou si des retards imprévus surviennent lors de la reprise.

Contexte historique

Si cette crise apparaît comme la plus coûteuse jamais constatée au Royaume-Uni, elle se place également parmi les plus lourdes pour une entreprise et son écosystème à l’échelle mondiale. Pour mémoire :

• Equifax (2017) : près de 2 milliards de dollars de réparations aux États-Unis;
• Merck (NotPetya, 2017) : environ 750 millions d’euros;
• Yahoo (failles 2013-2014) : environ 405 millions d’euros;
• TNT Express (NotPetya) : 345 millions d’euros;
• Saint-Gobain (NotPetya) : 331 millions d’euros;
• Maersk (NotPetya) : 259 millions d’euros;
• Target (compromission des paiements, 2013) : 259 millions d’euros;
• Mark & Spencer (attaque ciblée plus tôt en 2025) : 345 millions d’euros selon l’entreprise.

Certaines évaluations pour d’autres incidents (TJX Companies, Epsilon) donnent des montants supérieurs, mais elles reposent principalement sur des estimations calculées à partir d’un coût unitaire par donnée compromise, méthode différente de celle utilisée par le CMC.

Méthodologie : ce qui est inclus et ce qui est exclu

Pour établir son chiffrage, le CMC a additionné les pertes opérationnelles liées à l’incident :

• interruptions de production et limitation de l’activité pendant la reprise ;
• coûts de réponse à l’incident et reconstruction des systèmes ;
• impacts sur la supply chain et pertes supportées par les prestataires (transport, services, exportation, etc.) ;
• réduction des ventes dans le réseau de distribution ;
• effets négatifs sur l’économie locale.

Le total communiqué par le CMC n’inclut pas d’éventuelles pertes financières liées à une fuite de données, ni un paiement de rançon, ni de coûts liés à des procédures judiciaires futures contraignantes pour Jaguar Land Rover ou ses partenaires.

Conclusion

Le CMC évalue donc à environ 2,2 milliards d’euros l’impact économique direct de la cyberattaque sur Jaguar Land Rover pour le Royaume-Uni, en excluant litiges et paiements aux cybercriminels. Le redressement complet dépendra d’une reprise progressive des lignes de production et de la stabilisation de la chaîne d’approvisionnement.