Une cyberattaque contre la Caisse nationale de sécurité sociale du Maroc, entraînant la fuite de données personnelles et financières de près de deux millions de personnes. Un vol de 1,5 milliard de dollars en Ethereum perpetré contre la plateforme de cryptomonnaies dubaïote ByBit. Une vague d’attaques contre des cibles italiennes, dont des ministères, des plateformes de services publics et de transports à Rome… Ces épisodes font partie des 21 cyberincidents majeurs recensés par le Center for Strategic & International Studies (a) pour la seule année 2025.
Ces événements, de plus en plus fréquents et de plus en plus graves, menacent tous les secteurs et tous les pays. Les cyberincidents ont pour effet de saper les efforts de développement, en particulier dans les pays à revenu faible et intermédiaire, où la révolution numérique est encore en plein essor et les systèmes de défense, moins robustes.
Pourtant, jusqu’à récemment, les conséquences économiques de la cyberinsécurité restaient largement méconnues.
Les défaillances du marché de la cybersécurité
Lors des dernières Assemblées annuelles de la Banque mondiale à Washington, j’ai assisté à l’une des sessions de partage de connaissances organisées par le service Développement numérique en Amérique latine et Caraïbes. Ces sessions visent à diffuser des analyses qui éclairent la transformation numérique dans la région. Elles s’inscrivent plus largement dans la volonté de développer la vocation de « banque de connaissances » de la Banque mondiale, au-delà de son seul rôle d’institution financière.
La session, centrée sur les implications économiques des cyberincidents, a débuté par une intervention de Stéphane Straub, économiste en chef de la Banque mondiale pour les Infrastructures. Sa présentation a exposé les inefficacités du marché de la cybersécurité et plaidé de façon convaincante en faveur de l’intervention de l’État et du soutien de la Banque mondiale.
Selon Stéphane Straub, quatre types de défaillances justifient une action publique : l’asymétrie d’information, les externalités, le risque extrême et les inefficiences du côté de l’offre.
Premièrement, les entreprises qui évoluent dans l’espace numérique manquent de données sur la probabilité d’une intrusion et sur les dommages potentiels qui en résulteraient, ce qui nuit à l’efficacité des investissements dans la sécurité. D’où la nécessité d’une entité qui facilite le partage de l’information.
Deuxièmement, les investissements en cybersécurité génèrent des effets d’entraînement positifs pour les entreprises interconnectées : renforcer la sécurité d’une organisation réduit les risques pour l’ensemble du réseau. Mais ces bénéfices ne sont souvent pas pleinement internalisés par les entreprises individuelles, ce qui mène à un sous-investissement. Les pouvoirs publics peuvent y remédier en imposant par exemple aux entreprises des certifications obligatoires.
Troisièmement, pour les risques d’attaque à coût élevé mais faible probabilité, qui ne sont pas assurables par le secteur privé, l’intervention de l’État s’avère indispensable pour maintenir des marchés d’assurance viables et protéger les infrastructures critiques.
Quatrièmement, du côté de l’offre, les marchés de services de sécurité dans les économies émergentes manquent de concurrence, ce qui se traduit par des prix plus élevés, une qualité moindre et peu d’incitation à adapter les solutions à ces contextes spécifiques. Les pouvoirs publics doivent donc favoriser l’entrée de nouveaux acteurs sur les marchés.
Voici en substance le message central de l’introduction de Stéphane Straub : les gouvernements, avec l’appui des financements, des connaissances et du pouvoir de mobilisation de la Banque mondiale, doivent fournir des biens publics — réglementation, renseignement sur les menaces — pour compléter l’action du secteur privé en matière de cybersécurité.
L’économie de la cybersécurité pour les marchés émergents
Lors de la même session, Estefanía Vergara, économiste à la Banque mondiale, a présenté les principales conclusions de son rapport intitulé Cybersecurity Economics for Emerging Markets (a).
S’appuyant sur les données du Center for International and Security Studies at Maryland (a) et sur la base de données de la Banque mondiale sur les cyberévénements divulgués par les médias (MDCE), cette étude retrace les grandes tendances des cyberincidents mondiaux au cours de la dernière décennie et analyse le lien entre croissance économique et cybersécurité.
Selon les constats du rapport, le nombre de cyberincidents signalés dans le monde a progressé à un rythme annuel moyen de 21 % en dix ans. Fait surprenant, l’Amérique latine-Caraïbes est la région du monde où cette hausse est la plus rapide, avec un taux annuel moyen de 25 % depuis 2014. Au sein de la région, l’Amérique centrale est devenue le terrain le plus exposé par million d’habitants — un véritable laboratoire pour les hackers et autres acteurs malveillants.
Source : Vergara Cobos, Estefanía. 2024. Cybersecurity Economics for Emerging Markets. © World Bank.
http://hdl.handle.net/10986/42130 Licence : CC BY 3.0 IGO.
L’étude relève également une particularité des marchés émergents : si le gain financier constitue, comme dans les pays à revenu élevé, la principale motivation des cyberattaques, les mobiles politiques (espionnage, action revendicative…) y sont proportionnellement plus fréquents. De plus, dans ces pays, le secteur le plus touché, et de loin, est l’administration publique, ce qui rend d’autant plus nécessaire une action urgente de la part des gouvernements.
Sur le plan économique, l’étude montre qu’un pays en développement qui parvient à réduire significativement ses cyberincidents, en passant du groupe des 25 % de pays les plus touchés aux 25 % les moins touchés, pourrait enregistrer une augmentation de 1,5 % de son PIB par habitant.
Les recherches en cours d’Estefanía Vergara laissent en outre présager que les pays à revenu faible et intermédiaire subiront des pertes économiques toujours plus importantes à mesure que l’utilisation d’internet et l’intégration numérique s’intensifieront.
Approches nationales
La dernière partie de la session a donné la parole à un spécialiste senior de la réglementation chez ANATEL (a), l’agence brésilienne des télécommunications, et au responsable du projet régional de transformation numérique des Caraïbes (a).
Tous deux ont évoqué les difficultés auxquelles ils font face en matière de cybersécurité. Et de souligner la faiblesse des ressources humaines et financières, la lenteur des réponses politiques face à une numérisation rapide, et les risques inhérents à l’interconnexion des infrastructures numériques.
De fait, les données de l’étude Cybersecurity Economics for Emerging Markets montrent un énorme déficit d’investissement dans les pays en développement.Les dépenses en cybersécurité s’élèvent à 1 dollar par habitant en Inde et au Mexique, contre 30 dollars aux États-Unis et au Canada. Les États-Unis dépensent seize fois plus que tous les pays d’Amérique latine-Caraïbes réunis.
Face à ces défis, les deux intervenants ont esquissé plusieurs pistes : tirer parti des institutions et des structures de gouvernance existantes pour coordonner les efforts de cybersécurité dans tous les secteurs d’infrastructures critiques ; mutualiser les ressources humaines et infrastructurelles ; harmoniser les réglementations relatives à la protection des données et à la cybercriminalité ; et promouvoir un renforcement des capacités.
Ces efforts sont déjà bien engagés grâce à l’appui de la Banque mondiale. Qu’il s’agisse de soutenir la gouvernance de la cybersécurité dans le cadre d’un prêt à la réforme de l’administration publique en République dominicaine (a), de financer le renforcement des capacités de cybersécurité et de protection des données pour les services numériques de l’État du Sergipe au Brésil (a), ou d’organiser des activités de renforcement des capacités pour des fonctionnaires au Costa Rica (a), le service Développement numérique en Amérique latine-Caraïbes accompagne concrètement les pays de la région dans la résolution de leurs défis les plus urgents.
Au fil de cette session, qui s’inscrit dans une série de rencontres pour la diffusion des connaissances au sein du Groupe de la Banque mondiale et à travers la région, un message s’est imposé avec force : la cybersécurité n’est pas qu’un enjeu informatique. C’est, fondamentalement, un enjeu économique.
Et les travaux d’Estefanía Vergara Cobos sur l’économie de la cybersécurité ne constituent pas une étude de plus, mais une étape décisive vers une transformation numérique sûre et résiliente.