Avec la multiplication des cyberattaques, de plus en plus d’entreprises subissent des dégâts opérationnels et financiers importants. Cela concerne autant le manque à gagner lié à l’indisponibilité plus ou moins longue de tout ou partie des systèmes informatiques que les dépenses engagées en termes de remédiation et de remise en route.
Le laboratoire pharmaceutique MSP (Merck Sharp & Dohm) connait bien le problème. Frappé par le rançongiciel NotPetya en 2017, le groupe avait estimé l’impact financier de cet incident à plus d’1,4 milliard de dollars. Il comptait sur son assureur Ace American pour rembourser les dégâts mais ce dernier avait refusé, argumentant le fait que ce ransomware était considéré comme un « acte de guerre » et ne rentrait donc pas dans les clauses possibles pour être dédommagé. En novembre 2019, Merck avait alors intenté contre son assureur un procès qu'il vient de remporter.
Des libellés de clause pas mis à jour
Une dernière décision de la Cour supérieure du New Jersey a rendu un verdict favorable au laboratoire pharmaceutique contre son assureur qui refusait de couvrir les pertes liées à NotPetya. Ces dernières comprenaient à la fois les montants des incidents sur la production, le recrutement d’experts IT et les coûts de rachat de nouveaux équipements pour remplacer les systèmes touchés. Plus de 40 000 ordinateurs ont été endommagés suite à cette cyberattaque selon Merck qui disposait d’une couverture tous risques à hauteur d’1,75 Md$, incluant les événements de pertes de données relatives à ses logiciels.
La Cour de justice a ainsi penché en faveur de Merck et expliqué sa décision : « Compte tenu du sens ordinaire du libellé de l'exclusion, ainsi que de l'examen précédent de la jurisprudence applicable, le tribunal conclut sans hésiter que l'exclusion [de la clause acte de guerre, NDLR] ne s'applique pas », a indiqué le juge Thomas J. Walsh. Le juge a fait valoir que, bien qu'il sache que les cyberattaques peuvent être des actes de guerre, Ace American n'a pas non plus décidé de mettre à jour le libellé de ses clauses d'exclusion. « Ils avaient certainement la capacité de le faire », a déclaré le juge Walsh. « N'ayant pas réussi à changer les règles de langage, Merck avait parfaitement le droit d'anticiper que la politique d'exclusion ne s'appliquait qu'aux formes traditionnelles de guerre ».
Des assureurs traditionnels à la peine ?
Ce verdict risque d’avoir un impact retentissant sur le secteur de l’assurance aux Etats-Unis. Les acteurs de ce secteur ont commencé - certains depuis plusieurs années - à mettre à jour leurs clauses contractuelles et d’exclusion des risques. Parmi les derniers en date et non des moindres, la Lloyd’s qui a mis à jour le libellé de ses clauses quelques jours seulement avant ce verdict. Ace American n’est pas le seul assureur a avoir perdu un procès de ce type. Cela a également été le cas pour Zurich Assurance attaqué par Mondelez.
« La décision de la Cour Supérieure du New Jersey renforce le fait que l'assurance traditionnelle a un sérieux problème : répondre aux événements cyber avec des polices non cyber qui échouent à prendre en considération le cyber risque entrainant pour elles des dommages inutiles », analyse Catherine Lyle, responsable juridique chez le fournisseur de services de cybersécurité et cyber-risques Coalition. Reste à voir si, et comment, les assureurs français vont adapter leurs clauses suite à cette décision d'une part, et si cela poussera d'autre part des entreprises à engager davantage de poursuites à l'encontre de leurs très chers assureurs.
Commentaire