Pour gérer vos consentements :
Categories: JuridiqueRégulations

Assurances cyber : vers une « jurisprudence NotPetya » ?

NotPetya était-il une arme militaire russe ? La question s’est posée dans une affaire judiciaire aux États-Unis. Le dossier oppose Merck à plusieurs de ses (ré)assureurs. Le groupe pharmaceutique l’a emporté en première instance. C’était début décembre, à la Cour supérieure du New Jersey.

Au cœur du débat, une clause censée exclure l’indemnisation des sinistres découlant de ce qui relève de la notion d’« acte de guerre ». Le tribunal a retenu la version originale suivante, commune à l’essentiel des polices d’assurance que Merck avait souscrites.

Pour saisir les tenants et aboutissants du litige, il faut remonter au 27 juin 2017. Ce jour-là, Merck subit la foudre NotPetya. Bilan : plus de 40 000 ordinateurs touchés… et des mois pour relancer complètement l’activité.

Le groupe pharmaceutique estime avoir englouti 1,4 milliard de dollars dans l’affaire. Passé une franchise de 150 M$, il était couvert à hauteur de 1,75 milliard. Y compris contre la destruction et la corruption de données, de codes et de logiciels informatiques ; soit la principale conséquence de NotPetya. Rien, considère-t-il en tout cas, n’excluait ce type d’incidents de ses polices « tous risques ».

Faire jouer ces garanties a posé problème auprès de la plupart des (ré)assureurs. Ils n’en ont nié ni l’existence, ni la nature. Mais se sont réfugiés derrière la clause en question. En affirmant notamment que NotPetya s’inscrivait dans le conflit russo-ukrainien. Et qu’il relevait ainsi effectivement des actes ne pouvant entraîner d’indemnisation.

De la guerre de Corée au Hamas

L’Ukraine fut en effet la principale cible de NotPetya. C’est d’ailleurs sur place que le ransomware a trouvé un premier point d’entrée chez Merck.

Au contraire des (ré)assureurs, le groupe pharmaceutique réfutait la qualification d’« acte étatique ». En l’absence d’une telle caractérisation, la clause était inapplicable, ajoutait-il.

L’argument était devenu plus difficile à tenir quand, début 2018, la Maison Blanche avait décrit NotPetya comme « une composante de l’effort russe destiné à déstabiliser l’Ukraine ». Restait alors le seul point sur lequel la justice a finalement tranché : l’interprétation même de la clause.

Le tribunal a examiné bien des précédents aux issues diverses. Entre autres :

– La validation de clauses d’exclusion dans des affaires d’assurance-vie après un décès à la guerre de Corée et d’incendie dans un entrepôt situé en zone de guerre

– Le rejet de clauses d’exclusion dans des affaires d’avion détruit par les membres d’une organisation terroriste et d’hôtel endommagé en conséquence d’un affrontement entre factions libanaises

– Une validation en première instance, puis un rejet en appel dans une affaire de relocalisation d’activité forcée après des tirs de roquettes du Hamas à Israël

Il en a retenu, en particulier, qu’en cas de doute, d’incertitude ou d’ambiguïté dans la formulation d’une clause, il convient de favoriser une interprétation au bénéfice de l’assuré. Plus précisément, de ce que l’assuré peut « raisonnablement attendre ». Dans le cas présent, une indemnisation effective.

« Aucun tribunal n’a jamais validé une telle exclusion pour quelque chose d’apparenté aux faits en question », peut-on aussi lire dans le jugement. Avec une remarque aux (ré)assureurs : vous n’ignoriez pas que les cyberattaques pouvaient être des « actes de guerre ». C’était à vous de modifier la formulation de la clause pour les en exclure formellement. Ils sont nombreux à avoir suivi cette voie depuis le dépôt de la plainte en 2019.

Recent Posts

Logiciels : Broadcom convoite VMware, qui bondit de 20%

Le fabricant américain de semi-conducteurs Broadcom pourrait acquérir VMware, spécialiste de la virtualisation et des…

16 heures ago

Cybersécurité : Microsoft recrute encore pour renforcer ses produits

Microsoft a recruté Jason Roszak, chef de produit réputé, pour optimiser la gestion des serveurs…

17 heures ago

Antennes 5G : Deutsche Telekom explore l’éolien pour les alimenter

Utiliser l’énergie éolienne pour contenir la flambée des coûts de l’électricité en Allemagne, c'est le…

19 heures ago

Souveraineté numérique : le choix de Bruno « Bercy » Le Maire

La compétence "numérique" est étendue aux prérogatives de Bruno Le Maire, reconduit à la tête…

22 heures ago

Windows 11 : Microsoft se rapproche de la disponibilité d’Android 12.1

Microsoft a publié une mise à jour qui permet, pour les testeurs de Windows 11,…

23 heures ago

Ransomwares : que paient les PME en France ?

6 PME françaises sur 10 victimes d'une attaque de ransomware disent avoir payé jusqu'à 40…

4 jours ago