La décision d’un tribunal du New Jersey dans le litige qui opposait la compagnie pharmaceutique Merck à de nombreux assureurs, rendue publique en janvier 2022, pourrait inciter les assureurs à revoir leurs contrats en matière de cybersécurité.
Le 27 juin 2017, les systèmes informatiques de Merck ont été infectés par le virus NotPetya, qui a frappé un peu partout dans le monde. Des spécialistes estiment que cette cyberattaque aurait été orchestrée par le GRU, le service du renseignement de la Russie, dans l’une de ses opérations qui visaient à déstabiliser le gouvernement ukrainien.
Le virus était implanté sous la forme d’un rançongiciel qui visait une compagnie ukrainienne qui offre une application aidant les contribuables à remplir leurs déclarations fiscales. Le réseau de Merck aurait été infecté via un serveur installé en Ukraine.
Le logiciel malveillant a affecté quelque 30 000 postes de travail et plus de 7 500 serveurs de Merck durant deux longues semaines. Les dommages ont été estimés à 1,4 milliard de dollars américains (G$ US). La police d’assurance multirisque de la compagnie ne comprenait pas d’exclusion pour le risque cybernétique.
Dans son jugement rendu le 6 décembre 2021, mais dont le texte n’a commencé à circuler que le 13 janvier 2022, la Cour supérieure du New Jersey donne raison à la compagnie pharmaceutique et condamne les défendeurs, dont ACE American Insurance Company comme assureur principal, à l’indemniser pour ses dommages.
Certains d’entre eux ont accepté de régler l’indemnité dont ils étaient responsables, mais d’autres ont décidé de porter le jugement en appel. Le groupe ACE a acquis Chubb en 2016, mais c’est le nom de cette dernière qui a été conservée par la suite.
Le Portail de l’assurance a tenté sans succès de savoir si Chubb allait porter le jugement en appel. Aucune provision associée à ce sinistre n’a été faite dans ses plus récents états financiers trimestriels publiés en avril. Aucune mention de la décision du tribunal n’y apparaissait non plus, tout comme dans le rapport annuel 2021.
Exclusion non retenue
Les assureurs refusaient d’indemniser en raison d’une exclusion au contrat reliée à une situation de guerre entre deux États. La trentaine d’assureurs et de réassureurs qui couvraient les dommages aux installations de Merck ont tous utilisé ce motif pour décliner la demande d’indemnisation.
La police multirisque de Merck indiquait l’exclusion suivante : « toute perte ou tout dommage causé par un acte hostile ou guerrier posé en temps de paix ou de conflit par tout gouvernement ou pouvoir souverain ou toute autorité utilisant des forces militaires, aériennes ou navales ou par l’entremise d’un agent du même gouvernement ».
Les défendeurs ont allégué que l’attaque NotPetya était assimilable à un acte de guerre, lequel annule la couverture en assurance de dommages prévue au contrat. Selon les assureurs, NotPetya est une arme utilisée par la Fédération de Russie dans ses activités hostiles visant la nation ukrainienne.
Chez Merck, on rétorque qu’il s’agit d’une cyberattaque et que celle-ci n’était l’objet d’aucune exclusion dans ses polices. Le contrat couvrait les dommages causés aux systèmes informatiques, aux logiciels et aux données de la compagnie.
Selon le juge Thomas J. Walsh, la compréhension raisonnable de l’exclusion de la guerre prévue au contrat d’assurance doit inclure l’utilisation des forces armées. Les assureurs sont très conscients du risque cybernétique et s’ils veulent exclure les dommages causés par une attaque domestique ou étrangère, ils doivent l’écrire très clairement dans leur contrat, ajoute-t-il.
De nombreuses autres grandes sociétés multinationales ont subi des dommages à cette même occasion en raison de NotPetya. D’autres décisions des tribunaux américains sont attendues en 2022 en lien avec cette attaque.
L’une d’elles se déroulait en Illinois où la compagnie Mondelez International a vu quelque 1 700 serveurs et 24 000 ordinateurs être infectés par le virus. L’entreprise fabrique des produits alimentaires sous les marques Oreo, Ritz et Philadelphia. Le fabricant réclame des dommages estimés à 10 millions de dollars US (M$ US) à l’assureur Zurich American.
Souscription plus serrée
L’impact évident d’une telle décision juridique est de forcer les assureurs à préciser les exclusions dans les polices en assurance de dommages. C’est ce qu’ils ont fait dès 2018.
Les traités de réassurance ont été révisés pour exclure expressément le risque cybernétique des couvertures classiques en dommages aux biens.
Les limites de couverture en cybersécurité ont été réduites, les conditions de souscription ont été renforcées et les primes ont connu une forte augmentation, tout comme les franchises.
Selon une analyse produite par Moody’s à la fin de janvier dernier, les attaques et les demandes de rançon par des pirates informatiques sont en forte augmentation depuis le début de la pandémie de COVID-19. En raison du télétravail implanté dans beaucoup d’organisations, le nombre de voies d’accès dans les systèmes des entreprises a été multiplié.
Toujours selon Moody’s, les assureurs de dommages ont commencé à réviser les contrats silencieux à l’égard des dommages causés par une cyberattaque. On a vu apparaître des exclusions du risque cybernétique dans des contrats du secteur immobilier ou maritime.
L’industrie de l’assurance n’a pas les capacités de couvrir le risque systémique découlant d’une attaque informatique qui cible les infrastructures stratégiques, comme on le voit en temps normal dans les pays frappés par une guerre.
Le marché de l’assurance contre la cybercriminalité ne rapportait que 10 G$ US en primes directes souscrites à l’échelle mondiale, une très faible proportion des revenus associés à l’assurance de dommages.
Dans un récent rapport sur la cybersécurité, Aon rappelait que les demandes de rançon associées à des attaques informatiques avaient augmenté de 323 % entre le premier trimestre de 2019 et le quatrième trimestre de 2021.
Ukraine et Russie
Depuis l’invasion de l’Ukraine par la Russie à la fin de février 2022, les craintes d’une nouvelle vague d’attaques par des pirates informatiques russes planent sur les assureurs.
En fonction de la hausse des risques cybernétiques et des sinistres qui en découlent, il faut s’attendre à d’autres changements dans les contrats. Dès la fin de 2021, les souscripteurs du Lloyd’s de Londres annonçaient leur intention de ne plus couvrir les risques commerciaux des entreprises touchées par des actes de guerre. Quatre modèles de clause d’exclusion de la cyberguerre étaient soumis aux souscripteurs pour rédiger les avenants des polices en dommages.
Nouvelles exclusions
Parmi les nouvelles exclusions, on inclut désormais les actes préalables, c’est-à-dire les attaques qui auraient pu être faites avant la signature du contrat, mais dont on ne constate les impacts de la brèche que bien plus tard.
La souscription du cyberrisque est faite après avoir rempli un long questionnaire sur les pratiques de la compagnie en matière de sécurité informatique. Le moindre soupçon de relâchement dans les mesures de prévention est susceptible d’entraîner la nullité du contrat ou le refus de le renouveler.
Les assureurs n’ont jamais couvert les dommages associés à une guerre. Pour la police en cybersécurité, tous les types d’attaques sont couverts, peu importe les auteurs, indiquait un courtier français de Marsh dans une dépêche du journal Les Échos publiée le 25 janvier 2022. L’assureur qui veut exclure l’acte de guerre orchestré par une puissance étrangère devra prouver le lien entre les auteurs de l’attaque et le conflit armé.
Déterminer l’identité de l’auteur ou du commanditaire de l’attaque informatique n’est pas toujours simple. Dans le cas de NotPetya, la Maison-Blanche indiquait dès 2018 que le virus faisait partie de l’effort russe visant à déstabiliser l’Ukraine.
La décision du tribunal du New Jersey ne couvre pas cet aspect et se limite à l’interprétation de l’exclusion du contrat d’assurance de Merck.