#NotPetya : quand la cyberassurance montre ses limites

Il y a un an et demi, le vrai-faux ransomware NotPetya/ExPeter/Nyetya/EternalPetya faisait des ravages. Plusieurs victimes ont joué la carte de la transparence, affichant des coûts exorbitants. Mondelez International reconnaissait alors s’attendre à des pertes exceptionnelles importantes, mais sans trop s’étaler. Selon TechLawX, il faut compter de l’ordre de 100 M$. Du moins c'est ce que le groupe espérait obtenir en dédommagement de sa compagnie d’assurance, Zurich American.

Mais voilà, entre temps, les Etats-Unis ont attribué l’opération à la Russie. Dans un communiqué publié en février dernier, ils estimaient que l’épisode « faisait partie des efforts continus du Kremlin pour déstabiliser l’Ukraine ».

Zurich American ne l’évoque pas ouvertement, mais pour l’assureur, l’incident tombe sous le coup des exceptions relatives aux « actions hostiles ou comparables à des actes de guerre, en temps de paix ou de guerre », conduites par « un gouvernement ou une puissance souveraine ». Mondelez International a engagé des poursuites à l’encontre de son assureur.

Dans le cadre de la procédure, il reviendra à Zurich American d’étayer ses propos. Et là, il sera intéressant de voir si les tribunaux se contenteront des affirmations publiques de l’administration américaine ou s’ils chercheront à en savoir plus, quitte à demander à celle-ci des éléments probants supportant ses affirmations.

Quoi qu’il en soit et d’ici l’issue des procédures, les responsables de la gestion des risques, susceptibles de compter sur l’assurance pour gérer leurs risques cyber résiduels, seront bien inspirés de relire toutes les petites lignes de leurs contrats.

Ce n’est pas la première fois que l’assurance contre le risque cyber montre ses limites. Un établissement de santé américain en avait fait la désagréable expérience en 2015. Son assureur cherchait alors à obtenir de la justice de ne pas être contraint de l’indemniser pour une importante brèche de sécurité survenue à l’automne 2013. Celle-ci s’était traduite par le vol de 32 000 dossiers patients, par nature confidentielle. Las, ces données étaient stockées en clair, sans chiffrement, sur un système accessible en ligne, dans sa totalité.

Le motif invoqué pour ne pas indemniser l’établissement, après une procédure collective soldée par un accord amiable n’était donc autre que la négligence, l’assureur expliquant que sa couverture est conditionnée au respect d’un « minimum de pratiques requises ».