Ports de marchandise à l’arrêt, usines immobilisées et des entreprises contraintes de revenir au papier et au stylo : la facture de ce faux rançongiciel est très salée, selon un décompte du « Monde ». / Jade Labrunye / Le Monde

Petya a-t-il été le virus le plus coûteux de l’histoire ? Le 27 juin apparaissait en Ukraine une souche inconnue d’un rançongiciel, qui bloquait l’accès aux ordinateurs qu’il infectait. En quelques heures, il s’est répandu dans des dizaines d’entreprises dans le monde entier. Des ports de conteneurs ont été mis à l’arrêt, des chaînes de production de médicaments se sont immobilisées et des entreprises comme Saint-Gobain ont été contraintes pendant des jours de revenir au papier et au stylo. Quatre mois plus tard, les sociétés infectées ont pour la plupart établi un premier bilan financier. Et ce dernier est très lourd : si les entreprises sont diversement touchées, le total des pertes s’élève à plus d’un milliard d’euros (1,073), selon un décompte – partiel et donc inévitablement sous-estimé – réalisé par Le Monde.

Petya a nettement grevé le chiffre d’affaires du fleuron de l’industrie française Saint-Gobain, l’entreprise française la plus durement touchée par ce logiciel destructeur. Cette dernière estime que son infection lui a coûté au premier semestre 220 millions d’euros de chiffre d’affaires et 65 millions d’euros de résultat d’exploitation (soit 4,4 %). Sur l’année complète, Saint-Gobain a estimé que Petya lui coûtera un peu moins de 250 millions de chiffre d’affaires et 80 millions d’euros de résultat.

Trois mois pour un retour « presque » à la normale

Autre grand groupe durement touché par Petya, Fedex. Les activités de sa filiale TNT Express ont été « lourdement affectées » dans les semaines qui ont suivi l’attaque : une quinzaine de jours après le début de l’infection, le service n’était toujours pas revenu à la normale et ses clients pâtissaient « de retards généralisés ». Il a fallu attendre la fin septembre, trois mois après le début de l’épisode, pour que les systèmes informatiques critiques de la société soient « pratiquement tous » revenus à un fonctionnement normal, sans que cela n’empêche « les revenus, les volumes traités et les profits de TNT Express » de demeurer « en dessous des niveaux précédant la cyberattaque », reconnaissait le 19 septembre le directeur financier de l’entreprise Alan B. Graf. A la fin de septembre, l’entreprise était encore « concentrée sur la restauration de certains systèmes clés pour nos clients à temps pour le pic d’activité » de fin d’année. L’attaque a occasionné un manque à gagner de 300 millions de dollars (258 millions d’euros), selon l’entreprise, qui reconnaît également que le coût total sur une année pleine sera sans doute supérieur.

Autre entreprise très durement touchée, le géant du transport maritime Maersk. Ce dernier avait dû interrompre le fonctionnement de certains de ses terminaux de marchandise à la suite de l’infection. Mardi 7 novembre, l’entreprise a légèrement revu à la hausse les dégâts, les estimant entre 250 et 300 millions de dollars (215 et 260 millions d’euros). Si l’attaque n’a pas fait perdre à la société « le contrôle de ses bateaux », Petya a eu des conséquences très concrètes en faisant diminuer le volume de marchandises transporté par la société de 2,5 % au troisième trimestre.

Le géant de l’agroalimentaire américain Mondelez (LU, Cadbury…) a également été très perturbé par Petya. Le 2 août, il annonçait que le virus lui avait coûté 2,3 % de ses revenus, soit environ 140 millions de dollars (120 millions d’euros), auxquels s’ajoute un coût de réponse à l’attaque de 7,1 millions de dollars (6 millions d’euros). Il ne s’agit que d’estimations, le groupe prédisant des efforts additionnels au second semestre pour dissiper totalement les conséquences du virus.

Les chaînes de production d’un vaccin interrompues

Dans un premier temps, le poids lourd du médicament Merck a été incapable d’estimer les dégâts liés à Petya. A la fin du mois de juillet, plus d’un mois après l’épisode, il était encore « en train de se remettre de la cyberattaque », expliquait lors d’un échange avec des analystes le directeur financier de l’entreprise, Robert M. Davis. « L’évaluation des dégâts » étant encore en cours et sans exclure que les conséquences de Petya s’étalent jusqu’en 2018, l’entreprise avait été forcée d’être « conservatrice » en termes de prévisions de résultat. Le 27 octobre, elle a annoncé que l’infection lui avait coûté 135 millions de dollars (116 millions d’euros), notamment parce que Petya a interrompu les chaînes de production du Gardasil 9, un vaccin contre le cancer du col de l’utérus, forçant la société à puiser dans les réserves du gouvernement américain.

Plus modestement touché, le groupe allemand Beiersdorf (Nivea) a annoncé au milieu de l’été une perte de 35 millions d’euros au deuxième trimestre, notamment en raison du déport de certaines ventes. Mais lors de la présentation de ses résultats sur les neuf premiers mois de l’année, le 26 octobre, le groupe ne s’est pas étendu sur le montant exact des montants engagés relatifs à Petya. « La cyberattaque a évidemment eu des effets en termes de coûts, ceux du rétablissement [des systèmes], mais aussi de mise en place de meilleures protections. Ces coûts sont intégrés dans la projection annuelle », a fait savoir dans une présentation aux analystes le directeur financier, Jesper Andersen, refusant de « quantifier » le montant exact. L’infection par Petya « a eu un impact sur notre performance, mais elle n’a pas eu d’effet fondamental », a jugé à la même occasion le trésorier du groupe, Jens Geissler.

Le britannique Reckitt Benckiser (Durex, Vanish, Calgon…) a lui aussi été touché par Petya. Près de trois semaines après l’attaque, le groupe était encore en train d’évaluer « toutes ses implications ». Certaines usines ont cependant été mises à l’arrêt après la cyberattaque, et il a fallu attendre le 11 juillet, soit deux semaines, pour qu’elles retrouvent une production « proche de la normale ». L’entreprise notait toutefois que les systèmes de livraison et de facturation allaient souffrir d’importants retards jusqu’à la fin du mois d’août. Lors de la présentation de ses résultats trimestriels, le 18 octobre, l’entreprise s’est contentée d’indiquer que ses ventes avaient pâti du rançongiciel à hauteur de 2 % au troisième trimestre, ce qui représente, sur la base de son chiffre d’affaires sur la période, un manque à gagner d’environ 65 millions de livres (73 millions d’euros).

Certains n’ont pas encore évalué les pertes

A ce bilan s’ajoutent les entreprises qui n’ont pas encore évalué les pertes. C’est le cas par exemple de Mars. Sollicité par Le Monde, un porte-parole du groupe agroalimentaire américain indique que Petya a touché principalement sa filiale Royal Canin :

« Afin de préserver nos engagements en termes de qualité, nous avons pris la décision de stopper notre production. »

Cette dernière n’a été intégralement restaurée que le 1^er septembre, explique-t-on de même source :

« Notre attention première s’est portée sur les systèmes de production afin de garantir la sécurité alimentaire et la traçabilité de nos produits. Nous avons par ailleurs implanté des mesures additionnelles de protection afin de prévenir d’autres éventuelles attaques. Le chiffrage financier de l’impact de la cyberattaque est toujours en cours. »

Certaines entreprises ont estimé que les dégâts causés par Petya étaient négligeables ou inexistants. C’est le cas du géant du pétrole russe Rosneft, pourtant infecté, de Home Credit, organisme de crédit sis en République tchèque et très présent en Europe de l’Est et en Russie ou du sidérurgiste russe Evraz.

Somme toute, si le bilan des entreprises ayant communiqué à ce sujet s’élève à plus d’un milliard d’euros, plusieurs éléments laissent à penser que les dégâts causés par Petya sont encore plus importants. D’abord, la plupart des victimes se trouvent en Ukraine et ne sont pas cotées en Bourse, ce qui les dispense d’informer le public des conséquences d’événements tels que Petya. Ensuite, certaines entreprises n’ont pas communiqué de montant précis des dégâts.

C’est le cas du géant de la publicité britannique WPP. Ce dernier a d’abord reconnu, le 23 août, que certaines de ses activités avaient été « significativement perturbées » par Petya et que tous ses systèmes informatiques n’étaient pas opérationnels, près de deux mois après l’infection initiale. Lors de la présentation de ses résultats du troisième trimestre, le 31 octobre, le groupe n’a pas mentionné de coût, se contentant de lister Petya comme l’un des facteurs contribuant à l’augmentation de sa dette de près d’un milliard de livres (1,1 milliard d’euros). Le cabinet d’avocats DLA Piper, l’un des géants mondiaux du secteur, avait lui aussi été fortement perturbé par Petya, mais il n’a pas communiqué sur d’éventuels dégâts.

La facture très salée de Petya a servi à « éveiller les consciences », selon Alain Bouillié, président du Cesin, une association qui regroupe notamment les responsables de la sécurité informatique de la plupart des grands groupes français. Plus spécifiquement, le fait que les entreprises touchées n’aient vraisemblablement pas été visées directement mais constituent des victimes collatérales d’une action visant l’Ukraine est une nouveauté : « Cela peut arriver aux plus grands et aux mieux armés : “Je ne suis pas visé, j’ai tout bon, j’ai coché toutes les croix dans toutes les cases et je peux quand même être victime d’une attaque réussie”, c’est ça qui doit rentrer dans la tête des dirigeants. »