Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Panne CrowdStrike : seuls 10 à 20 % des 15 milliards de dollars de pertes seront remboursés

Une grève de corbeaux

Panne CrowdStrike : seuls 10 à 20 % des 15 milliards de dollars de pertes seront remboursés

La panne causée par la mise à jour défectueuse de CrowdStrike pourrait coûter 15 milliards de dollars de pertes au niveau mondial, mais dont seuls 10 à 20 % seront remboursés par les compagnies d'assurance.

Le 29 juillet à 11h57

Parametrix, qui se présente comme « le principal fournisseur de services de surveillance, de modélisation et d'assurance dans le domaine du cloud », estime à 5,4 milliards de dollars le total des pertes financières directes subies par les 500 entreprises américaines du classement Fortune (à l'exclusion de Microsoft), à la suite de la panne de CrowdStrike survenue le 19 juillet.

La « perte moyenne pondérée » serait de 44 millions de dollars par entreprise, mais varie de 6 millions pour les entreprises manufacturières à 143 millions pour les compagnies aériennes :

« Les pertes financières directes les plus importantes seront subies par les entreprises du Fortune 500 dans le secteur de la santé (1,938 milliard de dollars), suivi par le secteur bancaire (1,149 milliard de dollars). Les entreprises de ces secteurs subissent 57 % des pertes, mais ne représentent que 20 % des revenus de Fortune 500, en raison de l'impact inégal de l'événement sur les secteurs d'activité […], tandis que l'événement a coûté aux six compagnies aériennes du classement Fortune 500 environ 860 millions de dollars, pour un revenu de 187,1 milliards de dollars. »

Un quart du classement Fortune 500 a été touché

Un quart du classement Fortune 500 a été touché (125 entreprises), dont 100 % des compagnies aériennes de la cohorte, 43 % des détaillants et grossistes, et environ trois quarts des entreprises des secteurs de la santé et de la banque, pour un montant total estimé à 5,4 milliards de dollars de pertes.

Jonatan Hatzor, directeur général de Parametrix, a précisé à Reuters que les pertes financières liées à la panne pourraient s'élever à environ 15 milliards de dollars au niveau mondial, dont 1,5 à 3 milliards seulement couverts pas les assureurs.

Au-delà de ces pertes financières primaires, la panne a entraîné « une cascade de retards opérationnels », précise Parametrix dont l'analyse souligne que les industries traditionnelles qui s'appuient sur des ordinateurs physiques ont connu des délais de rétablissement plus longs, « ce qui souligne la résilience et le rétablissement rapide des systèmes basés sur le cloud ».

39 % de pannes « critiques », contre 18 % d'ordinaire

Parametrix, qui surveille en temps réel plus de 6 000 rapports sur l'état des services de sociétés de logiciels et de services liés à l'informatique, relève environ 300 interruptions de service, en moyenne, par jour. Or, le 18 juillet, ce chiffre était monté à 419, par la panne affectant la plateforme de cloud computing Microsoft Azure, puis à 700 le 19, après la mise à jour défectueuse de CrowdStrike.

De plus, en temps normal, environ 18 % des entreprises ayant signalé une interruption de service la classent comme « critique », 31 % comme « majeure » et 51 % comme « mineure ». Pendant la panne de CrowdStrike, ces proportions sont respectivement passées à 39, 34 et 27 %, indiquant que les entreprises touchées par cet événement l'ont été plus gravement que d'ordinaire.

Sur la base d'études antérieures, Parametrix estime que le rapport entre les pertes assurées et les pertes financières « se situe généralement entre 10 et 20 % », et que les pertes assurées se situeraient donc « entre 0,54 et 1,08 milliard de dollars » pour les entreprises du Fortune500 :

« Cela s'explique par l'importance des rétentions de risque et le faible montant des limites de police des grandes entreprises par rapport aux pertes potentielles liées aux pannes. »

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
La vraie question : est-ce que CrowdStrike va devoir rembourser ces montants manquants ? Si oui, on peut s'attendre à une banqueroute.
votre avatar
Bah non... aucune raison à cela.

La seule chose que doit fournir CrowdStrike est du support. Ce qu'il a fait.
Les dégâts sont à la charge des entreprises (et pour celles qui ont eu l'intelligence de se faire assurer, être rembourser par leur assurance).

Faut bien lire les petites lignes des contrats d'utilisation qui permet de totalement se dédouaner en cas de désastre :D
votre avatar
Second degré ou quelle est la source de cette affirmation surprenante ?
votre avatar
"8.2 Product Warranty. If Customer has purchased a Product, CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error; and (ii) CrowdStrike has used industry standard techniques to prevent the Products at the time of delivery from injecting malicious software viruses into your Endpoints where the Products are installed. You must notify CrowdStrike of any warranty claim during the Subscription/Order Term. Your sole and exclusive remedy and the entire liability of CrowdStrike for its breach of this warranty will be for CrowdStrike, at its own expense to do at least one of the following: (a) use commercially reasonable efforts to provide a work-around or correct such Error; or (b) terminate your license to access and use the applicable non-conforming Product and refund the prepaid fee prorated for the unused period of the Subscription/Order Term. CrowdStrike shall have no obligation regarding Errors reported after the applicable Subscription/Order Term."

"(a) use commercially reasonable efforts to provide a work-around or correct such Error;"

Crowdstrike ayant fourni une aide raisonnable (un plan de remédiation de l'erreur) relativement rapidement, ils sont safe.
Si les entreprises avaient aucun moyen de le déployer at scale, c'est pas trop leur problème.

Après, il va certainement avoir des débats d'avocats (devant la justice ou en cercle privé) pour déterminer si tout le monde a la même compréhension du terme "commercially reasonable" et du montant privé à mettre pour s'assurer que tout le monde ait la même compréhension.
votre avatar
Sauf que ce point :
CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error;
n'est pas respecté. Il y a eu une erreur telle que les machines sous Windows plantaient et ne pouvaient pas être réparées automatiquement à cause justement de ce plantage.

En France, les articles 1240 et suivants du code civil sont applicables dans un cas comme celui-ci.
On n'est plus dans le cadre de la garantie mais de la faute de CrowdStrike dans son développement logiciel et du déploiement des configurations sans les tester qui sont loin des standards de l'état de l'art.

Oui, dans le cadre de la garantie, CrowdStrike a fourni un correctif, mais cela n'empêche pas la responsabilité civile.
votre avatar
Je n'ai rien compris. Il y a trop de chiffres et pas assez d'explications sur le pourquoi les assurances rembourseraient si peu.

Je n'ai pas compris non plus si l'on parle des assurances des utilisateurs ou des assurances du responsable de ce chaos mondial, à savoir CrowdStrike dont la responsabilité civile est établie.
Les assurances des utilisateurs vont de toute façon se retourner contre le responsable vu les sommes en jeu.

Si elle n'est pas assurée suffisamment pour sa responsabilité, cette société dont la capitalisation est de plus de 4 fois de ces 15 milliards de pertes a les moyens de rembourser ses clients mais ça va lui faire très mal.
votre avatar
Limite de la police d'assurance...

Sinon la valorisation boursière n'implique pas directement les liquidités de l'entreprise, ni rien d'autre il me semble sur sa capacité à rembourser.
votre avatar
De ce que j'ai vu du dernier K-10, ils ont annoncé environ 3,4 milliards de dollars de liquidité à la clotûre de FY24, il y a quelques mois.

Je n'ai par contre pas regardé leur endettement actuel, mais ça risque d'être quand même impactant pour eux, et je doute que le titre ne retrouve l'apogée de son cours avant longtemps.
votre avatar
De quelle police d'assurance ? J'envisage 2 cas dans mon commentaire.

La société valant un peu plus de 4 fois les dégâts, on doit bien pouvoir en récupérer le quart pour rembourser les dégâts et tant pis pour les actionnaires qui ont laisser le conseil d'administration et indirectement la direction faire des conneries.
votre avatar
« Cela s'explique par l'importance des rétentions de risque et le faible montant des limites de police des grandes entreprises par rapport aux pertes potentielles liées aux pannes. »
Cette limite là ;)

Pour le reste, voir ce que dit Myifee.
votre avatar
Justement, je ne comprends pas à quoi ça correspond, d'où ma question.
votre avatar
Si je comprends bien, l'assurance par exemple refuse d'assurer le risque de la compagnie Machin pour les de 1 M$.
votre avatar
Je vais prendre un exemple : moi. J'ai une RC Pro, qui me protège dans le cas où je ferai des dégats dans une entreprise (par exemple, si j'interviens sur un serveur et que je le flingue, mettant en carafe toute l'entreprise). J'ai des clauses d'exclusions (le domaine financier n'est pas couvert par exemple). Mais j'ai aussi des plafonds de couverture. Je suppose que c'est aussi le cas ici : plafond atteint, donc indemnisation limitée.

A noter ici que c'est mon assurance qui couvre mes clients quand j'interviens chez eux et que l'erreur m'ait imputable. Rien n'empêche le client (et c'est même recommandé !) d'avoir une assurance qui le couvre également pour des choses qui peuvent arriver (un serveur qui crame de lui-même, un incendie, une inondation, un employé qui fait une bêtise volontairement ou non, etc.). Mais là aussi, il y a des plafonds.

Et il ne faut pas se leurrer : pour ce genre de chose, plus les plafonds sont élevés, plus les assurances coûtent chères (quand et si les compagnies d'assurances acceptent).
votre avatar
la partie "souligne que les industries traditionnelles qui s'appuient sur des ordinateurs physiques ont connu des délais de rétablissement plus longs, « ce qui souligne la résilience et le rétablissement rapide des systèmes basés sur le cloud »" me semble un très mauvais résumé de la part de Parametrix qui oppose "cloud" et "ordinateur physique", alors que le plus pertinent (à mon avis) serait d'opposer "cloud" avec "internalisé" : je parierai bien que les boites qui ont un service informatique (digne de ce nom) ont rétabli bien plus vite leurs ordi physiques que les boites avec "tout dans le cloud"

même si je reconnais qu'une boite avec 10 tech qui doivent courir sur 25 sites de production étalés sur un grand territoire c'est moins évident.

mais comparer "cloud" avec "physique", ça compte probablement les boites qui font appel à un prestataire externe pour gérer leur infra interne, et quand un technicien d'un prestataire est en charge de 25 clients (même "que 10"), si la moitié des clients est touché, ben il faut galérer à aller chez chaque client pour passer à la main sur tous les postes, ce qui sera encore plus long (surtout pour le client en bas de la liste) que si c'est les techniciens "internes" de la boite ...

la métrique et donc la conclusion de Parametrix me semble légère sur ce point (c'est une impression "à vue de nez" hein, toute discussion contradictoire cordiale est la bienvenue ;) )

edit : typo
votre avatar
Faut dire que le cloud, c'est surtout du Linux, il me semble, même chez Microsoft. Et bon, le cloud, c'est peut-être bien, mais il faut quand même un "ordinateur physique" pour y accéder.
votre avatar
hum, dans ce cas l'affirmation de Parametrix est encore plus louche, dire que ceux qui avait des "systèmes basés sur le cloud" ont été rétabli plus vite alors que les linux n'étaient pas touchés n'est pas vraiment cohérent avec l'idée que le cloud en question "c'est surtout du linux"

(j'ai probablement mal compris ton message ou en tout cas je ne vois pas où tu veux en venir, je suis à peu près certain que du coup ma réponse n'a aucun sens XD)
votre avatar
Idem à la SNCF qui a remboursé le train mais pas les billets pour la cérémonie d'ouverture.
votre avatar
La grosse différence, c'est que ce n'est pas la SNCF qui a causé le feu de ses câbles de signalisation.
votre avatar
Si ça avait été de leur faute ça aurait été pareil niveau remboursement.
votre avatar
Ah bon ?

Panne CrowdStrike : seuls 10 à 20 % des 15 milliards de dollars de pertes seront remboursés

  • Un quart du classement Fortune 500 a été touché

  • 39 % de pannes « critiques », contre 18 % d'ordinaire

Fermer