Deuxième victoire pour Merck devant la juridiction du New Jersey. Après un premier round devant un tribunal, Merck vient de gagner en appel contre des assureurs dont Ace American Insurance, Allianz Global, Liberty Mutual, Zurich American Insurance et Lloyd's of London. Ces derniers contestaient le droit à indemnisation suite à l’attaque NotPetya, un malware destructeur en 2017, au motif qu’il s’agissait d’un acte de guerre. Le montant du remboursement est de 1,4 Md$.

Dans leur décision, les juges d’appel se sont focalisés sur cette définition d’acte de guerre et la jurisprudence pourrait affecter les futurs contrats de cyber-assurance. Ils ont reconnu que la définition pleine et entière de la guerre s'appliquait aux différentes polices d'assurance. Mais la cyberattaque contre un éditeur de solution de compatibilité Ukrainie non engagé dans des hostilités, bien que criminelle et basée sur de mauvaises intentions manifestes, n'était pas assimilable à un acte de guerre. Comme le précise la décision, plusieurs autres sociétés  ont associé une partie de leur plainte avec Merck. Dans une affaire distincte, mais parallèle, impliquant la multinationale de l'alimentation et des boissons Mondelez International et Zurich American Insurance, un règlement a été conclu, privant l’affaire d’un impact révélateur et empêchant un ajustement des futurs contrats de cyber-assurance.

Des indices dans le règlement de la Lloyd's

Le rejet de l'appel par les compagnies d'assurance et les mesures prises en mars 2023 par la Lloyd's of London fournissent des indications sur la manière dont la cyber-assurance sera probablement traitée à l'avenir, avec notamment plus de clarté dans les exclusions relatives à la cybersécurité. Le mémoire d'un amici curiae déposé par les Insurance Law Scholars dans l'affaire Lloyd's indique que la décision du tribunal de première instance devrait être confirmée parce qu'elle est « étayée par les travaux préparatoires sur les exclusions imputables à une situation de guerre » et que les assureurs « n'ont pas utilisé les dispositions des clauses d’assurance contradictoires facilement disponibles qui auraient exclu ou limité la couverture fournie pour les événements liés à la cybersécurité ».

À la page 23 de la décision des juges dans l'affaire Merck, le verbiage est plus direct : « La couverture ne pourrait être exclue ici que si nous étendions le sens du mot « hostile » jusqu'à sa limite extérieure pour tenter de l'appliquer à une cyberattaque contre une entreprise non engagée dans un conflit qui fournissait des mises à jour de logiciels de comptabilité à divers clients, le tout totalement en dehors du contexte d'un conflit armé ou d'un objectif militaire ». Les juges ont fait remarquer que cette approche serait contraire aux principes de base qui exigent que les tribunaux interprètent étroitement l'exclusion d'une police d'assurance. « Le sens spécifique, clair, net et évident d'un mot ou d'une phrase dans une exclusion, ainsi que sa signification et son intention, n'équivalent pas à son interprétation la plus large possible, mais plutôt à son interprétation la plus étroite. S'il s'agissait d'un match de football, il semblerait que le tribunal parle d'un « but contre son camp » de la part de l'assureur.

Un cas probablement porté devant la Cour suprême

L'exclusion pour motif de guerre a été jugée inapplicable et le tribunal a utilisé les propres mots de l'assureur pour expliquer en détail son refus. De manière prosaïque, on pourrait dire que les juges ont estimé que les assureurs avaient largement le temps d'ajuster la dynamique de leur police d’assurance et qu'ils ne l'ont pas fait. Violet Sullivan, vice-présidente chargée de l'engagement des clients chez Redpoint Cybersecurity et professeur adjoint de droit de la cybersécurité à la Baylor Law School, pense que la décision sera très probablement portée devant la Cour suprême du New Jersey. En outre, elle note que la charge de la preuve incombait à l'assureur et que le tribunal et les juges d'appel ont estimé que cette charge n'avait pas été remplie.

Guerre sur le terrain ou guerre dans le cyberespace

Selon Mme Sullivan, la question n’est pas d’attribuer ou de savoir à quel gouvernement étranger l'attaque était liée, et elle pense que toute la décision initiale de 2022 résulte d'une différenciation arbitraire entre guerre physique/cinétique ou guerre cybernétique. Celle-ci se concentre sur la nature de l'attaque et sur la signification de la guerre dans la politique et dans la jurisprudence. Cela dit, quand les services de renseignement d'un pays mènent des opérations secrètes, comme c’est souvent le cas de la Russie, l'objectif du gouvernement en place est de toujours maintenir un déni plausible de tout acte illégal.

L'attaque NotPetya pourrait-elle avoir été commanditée par la Fédération de Russie ? Absolument, et en effet, devant le tribunal, Kroll Cyber Security, cyber consultant pour les assureurs, a reconnu « avec une grande confiance » que l'attaque avait été « orchestrée par des acteurs travaillant pour, ou au nom, de la Fédération de Russie ». Il convient toutefois de remarquer que quand le Département américain de la justice a eu l'occasion de mettre en cause la Russie dans ces attaques, il s'est abstenu. Ainsi, si un gouvernement national n'attribue pas à une attaque le parrainage d'un État-nation, il sera très difficile pour une compagnie d'assurance de le faire avec succès devant les tribunaux sans avoir à s’étendre sur les exclusions relatives à la cybersécurité.