C’est la fin d’un procès fleuve, qui devrait avoir de l’impact pour le monde de l’assurance cyber. Après des années de bataille juridique, le groupe pharmaceutique Merck a obtenu gain de cause en appel dans l’affaire qui l’oppose à ses assureurs. Ces derniers refusaient de l’indemniser après l’attaque NotPetya au motif qu’il s’agissait d’un acte de guerre.
Deuxième victoire pour Merck devant la juridiction du New Jersey. Après un premier round devant un tribunal, Merck vient de gagner en appel contre des assureurs dont Ace American Insurance, Allianz Global, Liberty Mutual, Zurich American Insurance et Lloyd’s of London. Ces derniers contestaient le droit à indemnisation suite à l’attaque NotPetya, un malware destructeur en 2017, au motif qu’il s’agissait d’un acte de guerre. Le montant du remboursement est de 1,4 Md$.
Dans leur décision, les juges d’appel se sont focalisés sur cette définition d’acte de guerre et la jurisprudence pourrait affecter les futurs contrats de cyber-assurance. Ils ont reconnu que la définition pleine et entière de la guerre s’appliquait aux différentes polices d’assurance. Mais la cyberattaque contre un éditeur de solution de compatibilité ukrainien non engagé dans des hostilités, bien que criminelle et basée sur de mauvaises intentions manifestes, n’était pas assimilable à un acte de guerre. Comme le précise la décision, plusieurs autres sociétés ont associé une partie de leur plainte avec Merck. Dans une affaire distincte, mais parallèle, impliquant la multinationale de l’alimentation et des boissons Mondelez International et Zurich American Insurance, un règlement a été conclu, privant l’affaire d’un impact révélateur et empêchant un ajustement des futurs contrats de cyber-assurance.
Jusqu’où étendre le mot « hostile » ?
Les assureurs considéraient que NotPetya était en réalité un « outil utilisé par le gouvernement russe dans son conflit avec l’Ukraine » et estimaient qu’il était donc légitime de faire jouer la clause d’exclusion prévue dans le contrat pour les actes causés dans le cadre d’un conflit militaire. Ce n’est pas l’avis des juges qui soulignent que « la couverture ne pourrait être exclue ici que si nous étendions le sens du mot « hostile » jusqu’à sa limite extérieure pour tenter de l’appliquer à une cyberattaque contre une entreprise non engagée dans un conflit qui fournissait des mises à jour de logiciels de comptabilité à divers clients, le tout totalement en dehors du contexte d’un conflit armé ou d’un objectif militaire ». Les juges ont fait remarquer que cette approche serait contraire aux principes de base qui exigent que les tribunaux interprètent étroitement l’exclusion d’une police d’assurance. « Le sens spécifique, clair, net et évident d’un mot ou d’une phrase dans une exclusion, ainsi que sa signification et son intention, n’équivalent pas à son interprétation la plus large possible, mais plutôt à son interprétation la plus étroite. S’il s’agissait d’un match de football, il semblerait que le tribunal parle d’un « but contre son camp » de la part de l’assureur. La charge de la preuve incombait à l’assureur, le tribunal a estimé que cette charge n’avait pas été remplie.
Une décision impactante pour la cyber assurance
Cette décision pourrait bien avoir des impacts majeurs sur la cyber assurance, à l’heure où les attaques ne cessent d’augmenter, en nombre et en ampleur. Durant l’été 2022, le Lloyd’s of London annonçait à tous les assureurs opérant sur cette bourse qu’ils ne pourraient plus proposer des polices d’assurance contre les cyberattaques étatiques, y compris hors guerre. « Les couvertures de cyberattaques par des États exposent les assureurs à des risques systémiques qu’ils pourraient avoir des difficultés à assumer », pouvait-on lire dans une note. « Les pertes induites pourraient nettement excéder ce que le marché est capable d’absorber. » L’interdiction est entrée en vigueur en avril 2023.
En France, en 2022, pas moins de 831 « intrusions avérées » dans des systèmes d’information ont été signalées à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Sources : décision d’appel de la cour du New Jersey, article du Monde informatique.