Les experts juridiques resteront sur leur faim après l’annonce de la signature d’un compromis entre Mondelez et Zurich American Assurance à propos de NotPetya. Cette affaire avait lancé le débat sur la couverture par les assurances du risque cyber et en particulier sur la qualification d’acte de guerre et d’attribution à un Etat de ce type d’attaque. Rappel des faits, en juin 2017, le groupe mondial de l’agro-alimentaire a été victime de NotPetya sabotant 24 000 PC et 1 700 serveurs au sein de son réseau. La firme avait alors estimé les dommages à hauteur de 100 millions de dollars.

Ayant souscrit une police d’assurance sur le risque cyber auprès de Zurich American Insurance, le groupe a donc réclamé le remboursement de ces dommages. L’assureur avait alors refusé la demande au motif que NotPetya était considéré comme un acte de guerre soutenu par un Etat. Quelques semaines après, Zurich était revenu sur sa décision en offrant à Mondelez une avance de 10 millions de dollars tout en laissant la porte ouverte à une négociation.

Un marché de la cyberassurance qui évolue

La maison mère d’Oreo, de LU et Milka en a eu assez des discussions et en octobre 2018 elle a saisi la justice. Un procès suivant attentivement car entre temps le secteur de la cyberassurance a évolué. En janvier 2022, le laboratoire pharmaceutique Merck a gagné (pour un montant d’1,4 milliard de dollars) contre l’assureur Ace American Insurance sur le même sujet que Mondelez. Le juge a estimé que l’exclusion pour acte de guerre ne s’appliquait dans ce cas-là. Ces problématiques de la qualification d’acte de guerre et de l’attribution des attaques à un Etat en particulier sont très compliquées à prouver.

Pour autant, en août 2022, le marché de l’assurance britannique Lloyd’s a décidé d’écarter des polices les cyberattaques soutenues par les Etats. Il fixe un cadre des exclusions sans pour autant résoudre le problème de l’attribution. Le procès Mondelez-Zurich aurait pu confirmer ou infirmer la jurisprudence Merck, mais en signant un compromis vers la fin du procès éteint automatiquement l’action judiciaire.