Panne CrowdStrike : seuls 10 à 20 % des 15 milliards de dollars de pertes seront remboursés

Panne CrowdStrike : seuls 10 à 20 % des 15 milliards de dollars de pertes seront remboursés

Une grève de corbeaux

20

Panne CrowdStrike : seuls 10 à 20 % des 15 milliards de dollars de pertes seront remboursés

Par Jean-Marc Manach

Le 29 juillet à 11h57
Économie
4 min

La panne causée par la mise à jour défectueuse de CrowdStrike pourrait coûter 15 milliards de dollars de pertes au niveau mondial, mais dont seuls 10 à 20 % seront remboursés par les compagnies d'assurance.

Parametrix, qui se présente comme « le principal fournisseur de services de surveillance, de modélisation et d'assurance dans le domaine du cloud », estime à 5,4 milliards de dollars le total des pertes financières directes subies par les 500 entreprises américaines du classement Fortune (à l'exclusion de Microsoft), à la suite de la panne de CrowdStrike survenue le 19 juillet.

La « perte moyenne pondérée » serait de 44 millions de dollars par entreprise, mais varie de 6 millions pour les entreprises manufacturières à 143 millions pour les compagnies aériennes :

« Les pertes financières directes les plus importantes seront subies par les entreprises du Fortune 500 dans le secteur de la santé (1,938 milliard de dollars), suivi par le secteur bancaire (1,149 milliard de dollars). Les entreprises de ces secteurs subissent 57 % des pertes, mais ne représentent que 20 % des revenus de Fortune 500, en raison de l'impact inégal de l'événement sur les secteurs d'activité […], tandis que l'événement a coûté aux six compagnies aériennes du classement Fortune 500 environ 860 millions de dollars, pour un revenu de 187,1 milliards de dollars. »

Un quart du classement Fortune 500 a été touché

Un quart du classement Fortune 500 a été touché (125 entreprises), dont 100 % des compagnies aériennes de la cohorte, 43 % des détaillants et grossistes, et environ trois quarts des entreprises des secteurs de la santé et de la banque, pour un montant total estimé à 5,4 milliards de dollars de pertes.

Jonatan Hatzor, directeur général de Parametrix, a précisé à Reuters que les pertes financières liées à la panne pourraient s'élever à environ 15 milliards de dollars au niveau mondial, dont 1,5 à 3 milliards seulement couverts pas les assureurs.

Au-delà de ces pertes financières primaires, la panne a entraîné « une cascade de retards opérationnels », précise Parametrix dont l'analyse souligne que les industries traditionnelles qui s'appuient sur des ordinateurs physiques ont connu des délais de rétablissement plus longs, « ce qui souligne la résilience et le rétablissement rapide des systèmes basés sur le cloud ».

39 % de pannes « critiques », contre 18 % d'ordinaire

Parametrix, qui surveille en temps réel plus de 6 000 rapports sur l'état des services de sociétés de logiciels et de services liés à l'informatique, relève environ 300 interruptions de service, en moyenne, par jour. Or, le 18 juillet, ce chiffre était monté à 419, par la panne affectant la plateforme de cloud computing Microsoft Azure, puis à 700 le 19, après la mise à jour défectueuse de CrowdStrike.

De plus, en temps normal, environ 18 % des entreprises ayant signalé une interruption de service la classent comme « critique », 31 % comme « majeure » et 51 % comme « mineure ». Pendant la panne de CrowdStrike, ces proportions sont respectivement passées à 39, 34 et 27 %, indiquant que les entreprises touchées par cet événement l'ont été plus gravement que d'ordinaire.

Sur la base d'études antérieures, Parametrix estime que le rapport entre les pertes assurées et les pertes financières « se situe généralement entre 10 et 20 % », et que les pertes assurées se situeraient donc « entre 0,54 et 1,08 milliard de dollars » pour les entreprises du Fortune500 :

« Cela s'explique par l'importance des rétentions de risque et le faible montant des limites de police des grandes entreprises par rapport aux pertes potentielles liées aux pannes. »

Commentaires (20)


Gilbert_Gosseyn Abonné
Le 29/07/2024 à 12h39
La vraie question : est-ce que CrowdStrike va devoir rembourser ces montants manquants ? Si oui, on peut s'attendre à une banqueroute.
the_cat Abonné
Le 29/07/2024 à 13h38
Bah non... aucune raison à cela.

La seule chose que doit fournir CrowdStrike est du support. Ce qu'il a fait.
Les dégâts sont à la charge des entreprises (et pour celles qui ont eu l'intelligence de se faire assurer, être rembourser par leur assurance).

Faut bien lire les petites lignes des contrats d'utilisation qui permet de totalement se dédouaner en cas de désastre :D
Modifié le 29/07/2024 à 13h39

Historique des modifications :

Posté le 29/07/2024 à 13h38


Bah non... aucune raison à cela.

La seule chose que doit fournir CrowdStrike est du support. Ce qu'il a fait.
Les dégâts sont à la charge des entreprises (et pour celles qui ont eu l'intelligence de se faire assurer, être rembourser par leur assurance).

fred42 Abonné
Le 29/07/2024 à 13h42

the_cat

Bah non... aucune raison à cela.

La seule chose que doit fournir CrowdStrike est du support. Ce qu'il a fait.
Les dégâts sont à la charge des entreprises (et pour celles qui ont eu l'intelligence de se faire assurer, être rembourser par leur assurance).

Faut bien lire les petites lignes des contrats d'utilisation qui permet de totalement se dédouaner en cas de désastre :D
Second degré ou quelle est la source de cette affirmation surprenante ?
wpayen
Le 29/07/2024 à 13h49

fred42

Second degré ou quelle est la source de cette affirmation surprenante ?
"8.2 Product Warranty. If Customer has purchased a Product, CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error; and (ii) CrowdStrike has used industry standard techniques to prevent the Products at the time of delivery from injecting malicious software viruses into your Endpoints where the Products are installed. You must notify CrowdStrike of any warranty claim during the Subscription/Order Term. Your sole and exclusive remedy and the entire liability of CrowdStrike for its breach of this warranty will be for CrowdStrike, at its own expense to do at least one of the following: (a) use commercially reasonable efforts to provide a work-around or correct such Error; or (b) terminate your license to access and use the applicable non-conforming Product and refund the prepaid fee prorated for the unused period of the Subscription/Order Term. CrowdStrike shall have no obligation regarding Errors reported after the applicable Subscription/Order Term."

"(a) use commercially reasonable efforts to provide a work-around or correct such Error;"

Crowdstrike ayant fourni une aide raisonnable (un plan de remédiation de l'erreur) relativement rapidement, ils sont safe.
Si les entreprises avaient aucun moyen de le déployer at scale, c'est pas trop leur problème.

Après, il va certainement avoir des débats d'avocats (devant la justice ou en cercle privé) pour déterminer si tout le monde a la même compréhension du terme "commercially reasonable" et du montant privé à mettre pour s'assurer que tout le monde ait la même compréhension.
Modifié le 29/07/2024 à 13h51

Historique des modifications :

Posté le 29/07/2024 à 13h49


"8.2 Product Warranty. If Customer has purchased a Product, CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error; and (ii) CrowdStrike has used industry standard techniques to prevent the Products at the time of delivery from injecting malicious software viruses into your Endpoints where the Products are installed. You must notify CrowdStrike of any warranty claim during the Subscription/Order Term. Your sole and exclusive remedy and the entire liability of CrowdStrike for its breach of this warranty will be for CrowdStrike, at its own expense to do at least one of the following: (a) use commercially reasonable efforts to provide a work-around or correct such Error; or (b) terminate your license to access and use the applicable non-conforming Product and refund the prepaid fee prorated for the unused period of the Subscription/Order Term. CrowdStrike shall have no obligation regarding Errors reported after the applicable Subscription/Order Term."

"(a) use commercially reasonable efforts to provide a work-around or correct such Error;"

Crowdstrike ayant fourni une aide raisonnable (un plan de remédiation de l'erreur) relativement rapidement, ils sont safe.
Si les entreprises avaient aucun moyen de le déployer at scale, c'est pas trop leur problème.

fred42 Abonné
Le 29/07/2024 à 14h00

wpayen

"8.2 Product Warranty. If Customer has purchased a Product, CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error; and (ii) CrowdStrike has used industry standard techniques to prevent the Products at the time of delivery from injecting malicious software viruses into your Endpoints where the Products are installed. You must notify CrowdStrike of any warranty claim during the Subscription/Order Term. Your sole and exclusive remedy and the entire liability of CrowdStrike for its breach of this warranty will be for CrowdStrike, at its own expense to do at least one of the following: (a) use commercially reasonable efforts to provide a work-around or correct such Error; or (b) terminate your license to access and use the applicable non-conforming Product and refund the prepaid fee prorated for the unused period of the Subscription/Order Term. CrowdStrike shall have no obligation regarding Errors reported after the applicable Subscription/Order Term."

"(a) use commercially reasonable efforts to provide a work-around or correct such Error;"

Crowdstrike ayant fourni une aide raisonnable (un plan de remédiation de l'erreur) relativement rapidement, ils sont safe.
Si les entreprises avaient aucun moyen de le déployer at scale, c'est pas trop leur problème.

Après, il va certainement avoir des débats d'avocats (devant la justice ou en cercle privé) pour déterminer si tout le monde a la même compréhension du terme "commercially reasonable" et du montant privé à mettre pour s'assurer que tout le monde ait la même compréhension.
Sauf que ce point :
CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error;


n'est pas respecté. Il y a eu une erreur telle que les machines sous Windows plantaient et ne pouvaient pas être réparées automatiquement à cause justement de ce plantage.

En France, les articles 1240 et suivants du code civil sont applicables dans un cas comme celui-ci.
On n'est plus dans le cadre de la garantie mais de la faute de CrowdStrike dans son développement logiciel et du déploiement des configurations sans les tester qui sont loin des standards de l'état de l'art.

Oui, dans le cadre de la garantie, CrowdStrike a fourni un correctif, mais cela n'empêche pas la responsabilité civile.
fred42 Abonné
Le 29/07/2024 à 12h52
Je n'ai rien compris. Il y a trop de chiffres et pas assez d'explications sur le pourquoi les assurances rembourseraient si peu.

Je n'ai pas compris non plus si l'on parle des assurances des utilisateurs ou des assurances du responsable de ce chaos mondial, à savoir CrowdStrike dont la responsabilité civile est établie.
Les assurances des utilisateurs vont de toute façon se retourner contre le responsable vu les sommes en jeu.

Si elle n'est pas assurée suffisamment pour sa responsabilité, cette société dont la capitalisation est de plus de 4 fois de ces 15 milliards de pertes a les moyens de rembourser ses clients mais ça va lui faire très mal.
xlp Abonné
Le 29/07/2024 à 16h44
Limite de la police d'assurance...

Sinon la valorisation boursière n'implique pas directement les liquidités de l'entreprise, ni rien d'autre il me semble sur sa capacité à rembourser.
Myifee Abonné
Le 29/07/2024 à 16h53

xlp

Limite de la police d'assurance...

Sinon la valorisation boursière n'implique pas directement les liquidités de l'entreprise, ni rien d'autre il me semble sur sa capacité à rembourser.
De ce que j'ai vu du dernier K-10, ils ont annoncé environ 3,4 milliards de dollars de liquidité à la clotûre de FY24, il y a quelques mois.

Je n'ai par contre pas regardé leur endettement actuel, mais ça risque d'être quand même impactant pour eux, et je doute que le titre ne retrouve l'apogée de son cours avant longtemps.
fred42 Abonné
Le 29/07/2024 à 16h57

xlp

Limite de la police d'assurance...

Sinon la valorisation boursière n'implique pas directement les liquidités de l'entreprise, ni rien d'autre il me semble sur sa capacité à rembourser.
De quelle police d'assurance ? J'envisage 2 cas dans mon commentaire.

La société valant un peu plus de 4 fois les dégâts, on doit bien pouvoir en récupérer le quart pour rembourser les dégâts et tant pis pour les actionnaires qui ont laisser le conseil d'administration et indirectement la direction faire des conneries.
xlp Abonné
Le 30/07/2024 à 17h40

fred42

De quelle police d'assurance ? J'envisage 2 cas dans mon commentaire.

La société valant un peu plus de 4 fois les dégâts, on doit bien pouvoir en récupérer le quart pour rembourser les dégâts et tant pis pour les actionnaires qui ont laisser le conseil d'administration et indirectement la direction faire des conneries.
« Cela s'explique par l'importance des rétentions de risque et le faible montant des limites de police des grandes entreprises par rapport aux pertes potentielles liées aux pannes. »
Cette limite là ;)

Pour le reste, voir ce que dit Myifee.
fred42 Abonné
Le 30/07/2024 à 17h44

xlp

« Cela s'explique par l'importance des rétentions de risque et le faible montant des limites de police des grandes entreprises par rapport aux pertes potentielles liées aux pannes. »
Cette limite là ;)

Pour le reste, voir ce que dit Myifee.
Justement, je ne comprends pas à quoi ça correspond, d'où ma question.
xlp Abonné
Le 31/07/2024 à 03h12

fred42

Justement, je ne comprends pas à quoi ça correspond, d'où ma question.
Si je comprends bien, l'assurance par exemple refuse d'assurer le risque de la compagnie Machin pour les de 1 M$.
fdorin Abonné
Le 31/07/2024 à 09h56

xlp

Si je comprends bien, l'assurance par exemple refuse d'assurer le risque de la compagnie Machin pour les de 1 M$.
Je vais prendre un exemple : moi. J'ai une RC Pro, qui me protège dans le cas où je ferai des dégats dans une entreprise (par exemple, si j'interviens sur un serveur et que je le flingue, mettant en carafe toute l'entreprise). J'ai des clauses d'exclusions (le domaine financier n'est pas couvert par exemple). Mais j'ai aussi des plafonds de couverture. Je suppose que c'est aussi le cas ici : plafond atteint, donc indemnisation limitée.

A noter ici que c'est mon assurance qui couvre mes clients quand j'interviens chez eux et que l'erreur m'ait imputable. Rien n'empêche le client (et c'est même recommandé !) d'avoir une assurance qui le couvre également pour des choses qui peuvent arriver (un serveur qui crame de lui-même, un incendie, une inondation, un employé qui fait une bêtise volontairement ou non, etc.). Mais là aussi, il y a des plafonds.

Et il ne faut pas se leurrer : pour ce genre de chose, plus les plafonds sont élevés, plus les assurances coûtent chères (quand et si les compagnies d'assurances acceptent).
fry
Le 29/07/2024 à 14h37
la partie "souligne que les industries traditionnelles qui s'appuient sur des ordinateurs physiques ont connu des délais de rétablissement plus longs, « ce qui souligne la résilience et le rétablissement rapide des systèmes basés sur le cloud »" me semble un très mauvais résumé de la part de Parametrix qui oppose "cloud" et "ordinateur physique", alors que le plus pertinent (à mon avis) serait d'opposer "cloud" avec "internalisé" : je parierai bien que les boites qui ont un service informatique (digne de ce nom) ont rétabli bien plus vite leurs ordi physiques que les boites avec "tout dans le cloud"

même si je reconnais qu'une boite avec 10 tech qui doivent courir sur 25 sites de production étalés sur un grand territoire c'est moins évident.

mais comparer "cloud" avec "physique", ça compte probablement les boites qui font appel à un prestataire externe pour gérer leur infra interne, et quand un technicien d'un prestataire est en charge de 25 clients (même "que 10"), si la moitié des clients est touché, ben il faut galérer à aller chez chaque client pour passer à la main sur tous les postes, ce qui sera encore plus long (surtout pour le client en bas de la liste) que si c'est les techniciens "internes" de la boite ...

la métrique et donc la conclusion de Parametrix me semble légère sur ce point (c'est une impression "à vue de nez" hein, toute discussion contradictoire cordiale est la bienvenue ;) )

edit : typo
Modifié le 29/07/2024 à 14h38

Historique des modifications :

Posté le 29/07/2024 à 14h37


la partie "souligne que les industries traditionnelles qui s'appuient sur des ordinateurs physiques ont connu des délais de rétablissement plus longs, « ce qui souligne la résilience et le rétablissement rapide des systèmes basés sur le cloud »" me semble un très mauvais résumé de la part de Parametrix qui oppose "cloud" et "ordinateur physique", alors que le plus pertinent (à mon avis) serait d'opposer "cloud" avec "internalisé" : je parierai bien que les boites qui ont un service informatique (digne de ce nom) à rétabli bien plus vite ses ordi physiques que les boites avec "tout dans le cloud"

même si je reconnais qu'une boite avec 10 tech qui doivent courir sur 25 sites de production étalés sur un grand territoire c'est moins évident.

mais comparer "cloud" avec "physique", ça compte probablement les boites qui font appel à un prestataire externe pour gérer leur infra interne, et quand un technicien d'un prestataire est en charge de 25 clients (même "que 10"), si la moitié des clients est touché, ben il faut galérer à aller chez chaque client pour passer à la main sur tous les postes, ce qui sera encore plus long (surtout pour le client en bas de la liste) que si c'est les techniciens "internes" de la boite ...

la métrique et donc la conclusion de Parametrix me semble légère sur ce point (c'est une impression "à vue de nez" hein, toute discussion contradictoire cordiale est la bienvenue ;) )

Gamble
Le 30/07/2024 à 16h19
Faut dire que le cloud, c'est surtout du Linux, il me semble, même chez Microsoft. Et bon, le cloud, c'est peut-être bien, mais il faut quand même un "ordinateur physique" pour y accéder.
fry
Le 30/07/2024 à 17h03

Gamble

Faut dire que le cloud, c'est surtout du Linux, il me semble, même chez Microsoft. Et bon, le cloud, c'est peut-être bien, mais il faut quand même un "ordinateur physique" pour y accéder.
hum, dans ce cas l'affirmation de Parametrix est encore plus louche, dire que ceux qui avait des "systèmes basés sur le cloud" ont été rétabli plus vite alors que les linux n'étaient pas touchés n'est pas vraiment cohérent avec l'idée que le cloud en question "c'est surtout du linux"

(j'ai probablement mal compris ton message ou en tout cas je ne vois pas où tu veux en venir, je suis à peu près certain que du coup ma réponse n'a aucun sens XD)
linconnu
Le 03/08/2024 à 11h43
Idem à la SNCF qui a remboursé le train mais pas les billets pour la cérémonie d'ouverture.
fred42 Abonné
Le 03/08/2024 à 17h09
La grosse différence, c'est que ce n'est pas la SNCF qui a causé le feu de ses câbles de signalisation.
linconnu
Le 07/08/2024 à 12h20

fred42

La grosse différence, c'est que ce n'est pas la SNCF qui a causé le feu de ses câbles de signalisation.
Si ça avait été de leur faute ça aurait été pareil niveau remboursement.
fred42 Abonné
Le 07/08/2024 à 12h32

linconnu

Si ça avait été de leur faute ça aurait été pareil niveau remboursement.
Ah bon ?
Fermer