Cyber-assurance: L'Université de Californie attaque la Lloyd's of London

Entre 2014 et 2015, l’Université de Californie (UCLA) et en particulier l’activité hospitalière (Health) a été victime d’une cyberattaque. Elle a entraîné une fuite de données concernant 4,5 millions de patients. Ce piratage faisait suite à une autre campagne d’envergure contre Anthem, société américaine d’assurance maladie. A cette époque, UCLA avait été critiqué pour ne pas avoir chiffré les données patients. Aujourd’hui, l’affaire refait surface sur le terrain judicaire avec une plainte déposée par l’Université contre la Lloyd’s of London, une place de marché regroupant plusieurs assureurs

Un délai pour les réclamations expiré

Elle est accusée de ne pas avoir remboursé les pertes liées au piratage couvertes par la police d’assurance. Il soutient que le délai de prescription s'appliquant aux réclamations avait expiré. L'université a déboursé des millions de dollars pour informer les victimes, remédier à l’attaque, se défendre et régler les procès intentés par les patients. Cependant, d’après une plainte déposée auprès de la Cour supérieure de Los Angeles sous l’intitulé « Regents of the University of California v. Certain Underwriters at Lloyd's, 238TCV14642, California Superior Court (Los Angeles) », les 26 Régents siégeant au Conseil de l'Université de Californie, dont le rôle est défini par la Constitution de l’État, déclarent que les assureurs de la Lloyd's ont « refusé à plusieurs reprises de couvrir » les pertes liées à l'incident. Selon la plainte, ce refus se fonde uniquement sur une « prétendue » condition de couverture, mentionnée dans aucun des accords d'assurance, en vertu desquels l'Université cherche à obtenir le remboursement de la plupart de ses pertes. Le Wall Street Journal avait déjà couvert l'affaire.

Les défendeurs cités dans la plainte de l'affaire sont des associations de souscripteurs, connues sous le nom de « syndicats », qui opèrent sur le marché de l'assurance de la Lloyd's de Londres, au Royaume-Uni. Les souscripteurs ont précédemment affirmé que l'Université de Californie n'avait pas respecté les dispositions de la police relatives à la cybersécurité, ce que l'université a nié. Selon UCLA, l'argument des assureurs selon lequel le délai de prescription pour toute demande de couverture a expiré en juin 2021 est inexact, d'après la plainte. « Les défendeurs ont également refusé de suivre la procédure alternative de résolution des litiges exigée par leur propre police d'assurance sur la base d’un délai de prescription infondé », indique aussi la plainte.

Une évolution du marché de la cyberassurance

Le paysage de la cyberassurance a connu récemment d'importants changements. Avec l'augmentation de la fréquence et de la gravité des attaques par ransomware, phishing et déni de service, la demande et les conditions de couverture ont évolué. Les polices sont de plus en plus diversifiées, complexes, coûteuses et difficiles à obtenir, ce qui place les RSSI et leurs entreprises face à des défis supplémentaires pour investir de manière optimale dans la cyber-assurance. « L'affaire Université de Californie/Lloyd's of London sera intéressante car elle peut créer des précédents sur la manière dont la législation interprète la demande de prescription (ou Statute of Limitations) de la défense dans ce contexte, mais aussi les clauses contractuelles en cas de sinistre », a expliqué Paul Watts, analyste auprès de l’Information Security Forum. « Il est important d’attirer l'attention des entreprises sur deux domaines clés : la lecture/interprétation des petits caractères des polices d'assurance cyber et l'importance d'une communication efficace et proactive entre les entreprises et leurs assureurs », a encore expliqué le consultant. « L’entreprise doit être claire sur les stipulations, les conditions préalables et les exigences de la police, et s’assurer qu’elle peut les respecter (et les prouver). Elle doit aussi les réviser régulièrement et travailler avec son assureur pour les affiner au moment de la mise à jour ou du renouvellement de la police. Si ces exigences comportent un certain degré de subjectivité, il est préférable d'obtenir des éclaircissements dès le départ - sinon, elle peut avoir à négocier et à argumenter au milieu d'un sinistre, ce qui est la dernière chose que l’on peut souhaiter ».

« Si une entreprise a la malchance d'être confrontée à un sinistre important, plus elle s'engage tôt avec les assureurs, plus la gestion du sinistre sera efficace », a-t-il ajouté. « Il sera intéressant de voir comment évoluera la question du Statute of Limitations Defense, quel est le délai, aux yeux de la loi, pour faire une réclamation ? L'issue de l'affaire aura certainement un impact en aval sur le marché, c'est donc une affaire à suivre avec intérêt », a encore déclaré l’analyste. En août dernier, la Lloyd's of London a annoncé qu'elle introduirait, à partir de 2023, des exclusions à la couverture des cyberassurances dans le cas d'attaques « catastrophiques » soutenues par des États. L’assureur a déclaré qu'il exigerait de tous ses groupes d'assureurs qu'ils appliquent une clause appropriée excluant la responsabilité pour les pertes résultant d'une cyberattaque soutenue par un État, conformément à plusieurs exigences.