Dans le petit monde de l’assurance, il est des nouvelles qui passent moins inaperçues que d’autres. Surtout quand elles impliquent des contentieux et des chiffres avec de nombreux zéros. La semaine passée, la décision rendue par une Cour du New Jersey a eu l’effet d’une petite onde de choc dans le secteur. Un juge a, en effet, donné raison à Merck dans le litige qui l’opposait à son assureur. En jeu : une somme de 1,4 milliard de dollars liée à une cyberattaque ayant eu lieu en 2017.
Le grand laboratoire figurait dans la liste des victimes de NotPetya. Ce malware avait infecté 40 000 ordinateurs de l’entreprise, occasionnant des pertes colossales. Entre la coupure d’activité, le recours urgent à des experts et la nécessité de remplacer une partie du matériel affectée, la facture s’était au final révélée particulièrement salée. Toutefois, Merck disposait d’un contrat d’assurance tous risques, notamment porté par Ace American, à hauteur de 1,75 milliard de dollars. La police mentionnait bien une prise en charge consécutive à une perte de données.
Que s’est-il donc passé ? L’assureur américain a essayé d’abattre une carte « surprise » afin de ne pas avoir à payer. Selon lui, NotPeya trouvait son origine dans une action hostile menée par la Russie à l’encontre de l’Ukraine. Donc une initiative fomentée par un Etat, stratégie permettant de requalifier la cyberattaque en un « acte de guerre » qui figure quasiment systématiquement dans les exclusions. La justice n’a cependant pas été de cet avis, en donnant raison au géant pharmaceutique, estimant que les libellés de clause n’étaient pas à jour.
« Compte tenu du langage clair dans lequel est formulée l’exclusion, ainsi que l’examen précédent de la jurisprudence applicable, le tribunal conclut sans hésitation que l’exclusion relative à la clause de guerre ne s’applique pas, a précisé le juge Thomas J. Walsh. Ace American avait la possibilité de modifier les clauses, mais ne l’a pas fait. Pour Merck, il était légitime de considérer les seules formes traditionnelles de guerre comme motifs d’exclusion. »
Cette décision intervient dans un contexte pour le moins tendu autour de la cyber assurance. La hausse du montant des primes épouse la courbe exponentielle du volume des attaques, et la tendance n’est pas prête de fléchir. Le risque cyber a ainsi repris la première place du baromètre Allianz pour 2022. Les assureurs traditionnels sont clairement à la peine, et Olivier Wild, président de l’AMRAE, a tiré la sonnette d’alarme en déclarant que « le marché de la cyberassurance n’existerait peut-être plus l’an prochain ».
« Cet événement rappelle que les assureurs traditionnels ont un sérieux problème en voulant couvrir des incidents cyber avec des couvertures non spécifiques, appuie Catherine Lyle de l’insurtech américaine Coalition. Pour les entreprises, les implications sont claires : en continuant à recourir à des acteurs qui abordent le risque avec des méthodes à l’ancienne, tant sur le pricing que sur le langage, ils s’exposent tout simplement à ne pas être couverts face à des cyberattaques d’envergure ».
Face au risque cyber, dont la dimension systémique s’impose chaque jour un peu plus, un travail de fond doit être entrepris rapidement. Là encore, l’innovation et la technologie seront clés pour adresser ce défi. De la licorne Coalition à la jeune pousse française Stoïk, ils sont d’ailleurs déjà nombreux à investir le terrain et imaginer des solutions adaptées afin de renforcer la résilience de nos sociétés face à ce fléau des temps modernes.
