NotPetya : le procès gagné par Merck bouleverse la cyber-assurance
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
![Image [Atos / Eviden :] Airbus jette (à nouveau) l’éponge](https://incyber.org//wp-content/uploads/2023/09/incyber-news-cybersecurity-money-bank-885x690.jpg)
Un tribunal du New Jersey a donné raison à Merck dans le litige l’opposant à son assureur Ace American sur les dommages de l’attaque NotPetya : cette décision impose une refonte profonde des contrats de cyber-assurance.
En 2017, l’attaque par wiper NotPetya (faussement présenté comme un ransomware) a détruit les données de plusieurs milliers d’entreprises dans le monde. Le groupe pharmaceutique Merck fut particulièrement touché : NotPetya a détruit les données de 40 000 ordinateurs du groupe, pour un coût total estimé à 1,4 milliard de dollars.
Or, Merck avait souscrit auprès d’Ace American un contrat d’assurance « tous risques », qui comprenait une couverture des pertes de données liées aux cyberattaques. Ce contrat disposait d’une exclusion standard des « actes de guerre », qu’Ace American a voulu faire jouer pour ne pas indemniser Merck, car l’attaque NotPetya s’inscrivait dans le cadre des hostilités russes contre l’Ukraine.
En novembre 2019, Merck a contesté devant un tribunal cette interprétation, en estimant notamment que l’attaque n’était pas « une action officielle de l’État », et que la clause d’exclusion limitait les actes de guerre aux agences gouvernementales officielles, et ne mentionnait pas spécifiquement les événements cybernétiques.
En décembre 2021, un tribunal du New Jersey a donné raison à Merck : « étant donné le sens clair du langage de l’exclusion, ainsi que l’examen précédent de la jurisprudence applicable, le tribunal conclut sans hésitation que l’exclusion ne s’applique pas », expose le juge Thomas J. Walsh. Le jugement précise aussi qu’Ace American savait que les cyberattaques pouvaient être des actes de guerre et n’a pas choisi de le préciser dans sa clause d’exclusion.
Cette décision fait partie des événements qui transforment en profondeur le marché de la cyber-assurance : le langage contractuel fait actuellement l’objet d’une révision majeure, et les primes augmentent, afin de garantir une couverture des dommages causés par un nombre toujours croissant de cyberattaques.
« Le raisonnement à l’ancienne des assureurs traditionnels, combiné à des polices fondées sur une formulation et une souscription erronées, les laissera sans protection contre les cyberrisques majeurs », a commenté Catherine Lyle, responsable des réclamations chez Coalition, un assureur spécialisé en cyberrisques.
https://therecord-media.cdn.ampproject.org/c/s/therecord.media/merck-wins-cyber-insurance-lawsuit-related-to-notpetya-attack/amp/