L’attaque de NotPetya en juin 2017 n’en finit plus de provoquer des dégâts et des tensions au sein des entreprises. Merck est en train de batailler contre ses assureurs pour le remboursement de 1,3 milliard de dollars au titre de sa couverture contre le cyber-risque. Le jour de l’attaque, des dizaines de milliers d’ordinateurs du laboratoire pharmaceutique ont vu leurs données chiffrées et une demande de rançon de 300 dollars en bitcoin chacun. En fait, le malware n’était pas un ransomware mais avait pour vocation le sabotage de l’IT des entreprises. Plusieurs ont été touchées comme Maersk, FedEx, DHL, Metro, etc...
Après la remédiation et les réparations, Merck s’est retourné auprès des assureurs pour faire valoir ses droits à remboursement. La firme avait souscrit des polices auprès d’une trentaine de compagnies d’assurance pour une couverture de 1,75 milliard de dollars. Une douzaine d’assureurs n'ont pas voulu régler la police au motif que l’attaque NotPetya est considérée comme un acte de guerre. Beaucoup d’observateurs dont l’Otan estiment que cette opération a été menée par la Russie contre l’Ukraine et s’est ensuite propagée à de nombreuses sociétés dans le monde.
Un cas loin d'être isolé
Or les actes de guerre ne rentrent pas dans les clauses des contrats d’assurance sur le cyber-risque. Merck n’a pas cette vision et a décidé d’attaquer les assureurs récalcitrants auprès du tribunal du New Jersey pour récupérer son dû. Allianz SE et American International Group sont dans la liste des rebelles selon Bloomberg. Les observateurs vont scruter l’affaire qui pourrait faire office de jurisprudence. Mondelez a exactement eu le même problème avec Zurich Americain qui refusait de l’indemniser.