Dans son allocution inaugurale des Assises de la Sécurité, Guillaume Poupard a longuement insisté sur l'analyse et la gestion des risques. Le risque cyber est devenu important à travers différentes affaires et notamment Wannacry et NotPetya. De grandes entreprises ont été touchées avec pour certaines un fort impact sur leur activité et leur résultat financier. Le spécialiste agroalimentaire, Mondelez (propriétaire de Lu, Oreo, Hollywood chewing-gum,...), a été touché en juin 2017 par NotPetya en bloquant les processus d'expédition et les logiciels basés sur Windows. La société a estimé ses dommages et sa perte à 100 millions de dollars.

Heureusement, Mondelez avait souscrit une assurance auprès de Zurich American couvrant toutes les « pertes et dommages physiques », y compris, « les pertes et les dommages de données électroniques, de programmes ou de logiciels incluant les dommages causés par une introduction intentionnelle du code machine ou des instructions ». Dans un premier temps, Zurich était sur le point d'indemniser Mondelez pour l'attaque, mais ce dernier avait fait une réclamation auprès de l'assureur pour réajuster sa perte.

Refus de couverture pour acte de guerre

Au final, Zurich a refusé la couverture du préjudice en mettant en avant un point d'exclusion de la police d'assurance : les actes hostiles ou de guerre en temps de paix ou de guerre, y compris les actes visant à entraver, combattre ou se défendre contre une attaque réelle, imminente ou attendue menée par : i) un gouvernement ou pouvoir souverain (de jure ou de facto) ; ii) une force militaire, navale ou aérienne ; iii) un agent ou une autorité des parties citées précédemment.

Zurich considère que NotPetya est « un acte hostile ou de guerre » provenant d'un « gouvernement ou d'un Etat souverain ». Le malware est largement considéré comme une cyberattaque d'origine et parrainé par la Russie, même si cette dernière nie fermement ces allégations. Face à ce refus, Mondelez a attaqué en justice son assureur auprès d'un tribunal de l'Illinois. Surtout que ce dernier était revenu sur son refus, en proposant un paiement partiel de 10 millions de dollars au titre de dédommagement avant de changer à nouveau d'avis et de revenir sur son refus initial, rapporte le blog TechLaw X.

Dans cette affaire, Zurich va être obligé de démontrer qu'un Etat, en l'occurrence la Russie, est effectivement derrière le malware. Un exercice difficile. L'autre enseignement de ce cas réside dans la couverture des cyber-assurances, un marché en plein développement dans le cadre de la gestion des risques citée en préambule. L'intégration des « actes hostiles ou de guerre » dans les contrats d'assurance va probablement augmenter le tarif de la police. Les entreprises vont peut-être y réfléchir en même temps que la révision de leur niveau de sécurité.