Il y aura donc une jurisprudence partielle dans l’affaire opposant Merck et les assureurs concernant la cyberattaque liée à NotPetya. En effet, après plusieurs années de procédure, le laboratoire pharmaceutique américain a, selon nos confrères de Bloomberg, conclut un accord avec les compagnies d’assurance. Le montant de la transaction n’a pas été dévoilé.
Pour mémoire, en 2017 a été victime de l’attaque NotPetya, un malware qui se faisait passer pour un ransomware et qui a impacté plusieurs grandes entreprises. Plus de 40 000 machines de Merck ont été paralysées et la facture totale de l’attaque (arrêt de production, remise en état, perte des ventes) s’est établie à 670 millions de dollars.
Une affaire qui a fait évoluer les polices d’assurance
Ayant souscrit à des contrats d’assurance contre le risque cyber, Merck s’est naturellement tourné vers ses assureurs pour faire valoir ses droits à remboursement. La firme avait souscrit des polices auprès d’une trentaine de compagnies d’assurance pour une couverture d'1,75 Md$. Or, une douzaine d’entre elles (dont American Insurance, Allianz Global, Liberty Mutual, Zurich American Insurance et Lloyd's of London)n'ont pas voulu régler la police au motif que l’attaque NotPetya est considérée comme un acte de guerre.
Le laboratoire a donc mené une procédure en 2019 contre les sociétés récalcitrantes pour un montant de 700 M$. Au début 2022, un tribunal du New Jersey a jugé que l'exemption de guerre ne s'appliquait pas à l'affaire - une décision qui a été confirmée en appel l'année dernière. Les assureurs avaient de nouveau fait appel devant la Cour Suprême de l’état, mais un accord de « dernière minute » a été conclu avant le début des plaidoiries. Les juristes n’auront donc que la jurisprudence en première instance et en appel pour déterminer si une cyberattaque doit être considérée comme un acte de guerre. Depuis cette affaire, les assureurs et en particulier la place de marché Lloyds of London ont écarté les cyberattaques soutenues par des Etats dans les polices d’assurance.