NotPetya : l’assureur ne peut pas invoquer l’exclusion pour acte de guerre

Mi-2017, le vrai-faux ransomware NotPetya/ExPeter/Nyetya/EnternalPetya faisait des ravages. Plusieurs victimes ont joué la carte de la transparence, affichant des coûts exorbitants. Mondelez International reconnaissait alors s’attendre à des pertes exceptionnelles importantes, mais sans trop s’étaler. Fin décembre, certains avançaient le chiffre de 100 M$ pour l’indemnisation que le groupe espérait obtenir de sa compagnie d’assurance, Zurich American.

De son côté, Merck comptait bien sur son assurance, Ace American, pour l’aider à faire face au 1,4 Md $ de coûts induits par l’épisode, entre perte d’exploitation et sollicitation d’expertises externes, notamment. Le groupe pharmaceutique était couvert « tous risques » à hauteur de 1,75 Md $. Et même s’il ne s’agissait pas d’une assurance « cyber » à proprement parler, celle-ci couvrait tout de même les pertes résultant d’atteintes aux données et logiciels informatiques.

Mais, entre temps, les États-Unis ont ouvertement attribué l’opération à la Russie. Dans un communiqué publié en février 2018, Washington estimait que l’épisode « faisait partie des efforts continus du Kremlin pour déstabiliser l’Ukraine ». Le Royaume-Uni s’était inscrit sur la même ligne.

Zurich American ne l’évoquait pas ouvertement, mais pour l’assureur, l’incident tombe sous le coup des exceptions relatives aux « actions hostiles ou comparables à des actes de guerre, en temps de paix ou de guerre », conduites par « un gouvernement ou une puissance souveraine ». Mondelez International a engagé des poursuites à l’encontre de son assureur.

Le groupe n’est pas seul à se heurter à un refus d’indemnisation de la part de son assureur, pour les pertes subies dans le cadre de l’incident NotPetya. Nos confrères du Times rapportaient ainsi, fin mars, que DLA Piper engageait une procédure à l’encontre de son assureur, Hiscox. Merck s’est également tourné vers les tribunaux pour arbitrer le différend l’opposant à son assureur.

Dans ce cas précis, la Cour suprême de l’État américain du New Jersey a tranché, début décembre. Le jugement, relevé par Lexology, ne conteste pas la qualification d’acte de guerre, mais dispose que, faute de précision dans la clause d’exclusion au contrat, celle-ci n’est pas applicable au domaine cyber.

Autrement dit, la cour a estimé que si l’assureur avait voulu étendre l’exclusion pour actes de guerre au domaine cyber, au-delà des formes de guerre conventionnelles, il aurait dû l’écrire noir sur blanc. Accessoirement, des modèles de clauses ad hoc ont été publiés dans le bulletin de la Lloyd’s Market Association fin novembre dernier.

Au printemps 2019, Laure Zicry, responsable de l’assurance cyber chez Willis Towers Watson, soulignait l’importance du type de contrat d’assurance. Elle relevait ainsi que Mondelez International avait cherché à faire jouer son contrat dommages, comme l’indiquait l’assignation. Mais dans les contrats cyber, s’il y a bien une exclusion pour actes de guerre, « en France, elle est dans le code des assurances et l’on ne peut pas y déroger, on a un mécanisme de rachat » qui garantit donc une indemnisation.

Dans les cas de Modelez contre Zurich et de Merck contre Ace, la question pouvait se poser de savoir si l’attribution faite par l’exécutif américain était suffisante pour que l’assureur puisse invoquer l’exclusion, ou si les dénégations russes semaient un doute suffisant pour que cela ne soit pas le cas. Le jugement rendu par cour suprême du New Jersey évite en fait cette question pour se concentrer sur la dimension technique de la rédaction des clauses d’exclusion.