Une brèche a été ouverte et les autorités judiciaires vont être amenées à se prononcer sur un sujet important pour l'avenir. Rappel des faits pour l'acte 1, en décembre dernier, on apprenait que la multinationale de l'agro-alimentaire, Mondelez avait été touché par l'attaque du pseudo-ransomware NotPetya. Ayant souscrit une assurance pour le risque cyber, la firme a fait jouer sa police auprès de Zurich American. Après quelques tergiversations, l'assureur a refusé au motif que NotPetya devait être qualifié comme « un acte de guerre », une exclusion dans le contrat d'assurance.
L'acte 2 vient toujours des Etats-Unis et du cabinet international d'avocats, DLA Piper. Ce dernier a également été victime de NotPetya et avait souscrit un contrat auprès de l'assureur Hiscox. Tout comme son homologue Zurich American, Hiscox a décidé de ne pas accorder de dédommagement à DLA Piper car l'attaque devait être considérée comme un « acte de guerre ». Le cabinet d'avocats a décidé de porter l'affaire en justice.
Dans ces deux affaires, la problématique de la qualification de la menace est importante. Hiscox, tout comme Zurich American, vont devoir prouver que NotPetya est « un acte hostile ou de guerre ». Le malware est considéré, notamment par les autorités américaines, comme une cyberattaque d'origine et parrainé par la Russie, même si cette dernière nie fermement ces allégations. Il sera donc intéressant de voir la jurisprudence sur ces affaires. Si la justice valide « l'acte de guerre », les rapports entre assureurs et assurés vont être profondément remaniés dans la couverture du risque cyber.
MAJ : dans un communiqué Hiscox tient à apporter les renseignements suivants :
« Nous sommes très attentifs aux retours de nos clients et à l’écoute de toute question. Néanmoins, le respect de la confidentialité des informations relatives à nos clients est extrêmement important pour nous, nous ne pouvons donc pas commenter de cas individuels. Nous tenons cependant à préciser que la situation présente ne concerne ni l'une de nos polices cyber ni l'application de l’exclusion relative à la guerre. Notre politique de gestion de sinistres est de prendre en charge tout signalement effectué par un assuré CyberClear suite à une cyber-attaque ou une perte de données, et répondant aux conditions de sa police d’assurance. Nous partons du principe qu’une réclamation est juste et ne tentons pas d’interpréter le contrat en la défaveur de nos assurés. Si le sinistre est dû, nous le payons ».
Commentaire