Kadmy - Fotolia
Risques cyber : les cas DLA Piper et Mondelez soulignent l’importance du type d’assurance
Tous deux ont été victimes de NotPetya en 2017. Tous deux sont aujourd’hui en conflit avec leur assureur, différent pour chacun, tout comme les exclusions contestées. Voici pourquoi.
Mise à jour le 5 avril 2019 avec le commentaire d'Hiscox
Mi-2017, le vrai-faux ransomware NotPetya/ExPeter/Nyetya/EnternalPetya faisait des ravages. Plusieurs victimes ont joué la carte de la transparence, affichant des coûts exorbitants. Mondelez International reconnaissait alors s’attendre à des pertes exceptionnelles importantes, mais sans trop s’étaler. Fin décembre, certains avançaient le chiffre de 100 M$ pour l’indemnisation que le groupe espérait obtenir de sa compagnie d’assurance, Zurich American.
Las, entre temps, les Etats-Unis ont ouvertement attribué l’opération à la Russie. Dans un communiqué publié en février 2018, Washington estimait que l’épisode « faisait partie des efforts continus du Kremlin pour déstabiliser l’Ukraine ». Le Royaume-Uni s’était inscrit sur la même ligne.
Zurich American ne l’évoquait pas ouvertement, mais pour l’assureur, l’incident tombe sous le coup des exceptions relatives aux « actions hostiles ou comparables à des actes de guerre, en temps de paix ou de guerre », conduites par « un gouvernement ou une puissance souveraine ». Mondelez International a engagé des poursuites à l’encontre de son assureur.
Le groupe n’est pas seul à se heurter à un refus d’indemnisation de la part de son assureur, pour les pertes subies dans le cadre de l’incident NotPetya. Nos confrères du Times rapportaient ainsi, fin mars, que DLA Piper engageait une procédure à l’encontre de son assureur, Hiscox.
Là, le contexte pourrait être différent. Mais touche-t-on pour autant aux limites de la cyberassurance ? Probablement pas. Car toute la subtilité de ces deux cas tient à la nature des contrats d’assurance concernés. Laure Zicry, responsable de l’assurance cyber chez Willis Towers Watson, apporte un éclairage précieux sur ces situations en fixant un point de départ clé à son analyse : « il ne s’agit pas de contrats d’assurance cyber ». Et de déplorer que les journalistes soient « tombés dans le panneau » [NDLR : cela a également été notre cas au MagIT, lorsque l’affaire Mondelez / Zurich a été mise en lumière].
La question clé du type de contrat d’assurance
Laure Zicry relève tout d’abord que Mondelez International a cherché à faire jouer son contrat dommages, comme l’indique l’assignation. Mais dans les contrats cyber, s’il y a bien une exclusion pour actes de guerre, « en France, elle est dans le code des assurances et l’on ne peut pas y déroger, on a un mécanisme de rachat » qui garantit donc une indemnisation.
Dans le cas de Mondelez contre Zurich, il reviendra en fait au juge de dire si l’attribution faite par l’exécutif américain est suffisante pour que l’assureur puisse invoquer l’exclusion, ou si les dénégations russes sèment un doute suffisant pour que cela ne soit pas le cas. Laure Zicry s’interroge au passage sur la portée de telles déclarations dans le contexte d’entreprises françaises elles-mêmes victimes de NotPetya. Mais déjà, pour l’affaire Mondelez/Zurich, l’attribution ne constitue pas une preuve indéniable selon elle, et « je pense que cela va être un cas compliqué ».
Dans le cas de DLA Piper, « nous n’avons pas encore la nature du contrat d’assurance » concerné. Mais cela ne permet pas de conclure qu’il s’agit d’une assurance cyber et d’invoquer une exclusion pour acte de guerre : Hiscox vend des contrats d’assurance cyber, mais pas uniquement, loin s’en faut. Les équipes de Willis Towers Watson se sont donc interrogées sur la nature du contrat d’assurance concerné pour isoler deux possibilités : « responsabilité civile professionnelle », si par exemple le cabinet avait reçu des réclamations de clients s’estimant lésés durant l’incident, ou « enlèvement/rançon », mais « NotPetya n’est pas un ransomware ».
[*] Dans un e-mail à la rédaction, Hiscox apporte des précisions : « nous sommes très attentifs aux retours de nos clients et à l’écoute de toute question. Néanmoins, le respect de la confidentialité des informations relatives à nos clients est extrêmement important pour nous, nous ne pouvons donc pas commenter de cas individuels. Nous tenons cependant à préciser que la situation présente ne concerne ni l'une de nos polices cyber ni l'application de l’exclusion relative à la guerre. Notre politique de gestion de sinistres est de prendre en charge tout signalement effectué par un assuré CyberClear suite à une cyber-attaque ou une perte de données, et répondant aux conditions de sa police d’assurance. Nous partons du principe qu’une réclamation est juste et ne tentons pas d’interpréter le contrat en la défaveur de nos assurés. Si le sinistre est dû, nous le payons ».
Un marché émergent qui appelle à la circonspection
Il faudra donc attendre d’en savoir plus, pour mieux comprendre la situation dans laquelle se trouve DLA Piper, même si à ce jour, il ne semble pas s’agir d’une assurance cyber. Laure Zicry relève toutefois une ironie : le cabinet d’avocats connaît bien le domaine de l’assurance cyber, car « c’est l’un de ceux préconisés aux clients dans le cadre de partenariats avec les assureurs » pour le volet assistance et gestion de crise des contrats.
Plus loin, Laure Zicry insiste sur une prudence nécessaire à chaque fois que sont évoquées des affaires d’assurance et d’incidents cyber : « il y a énormément de clients qui ne sont pas assurés cyber. Nous en sommes aux prémisses. Dire que les assurances cyber n’indemnisent pas est totalement faux ».
Et d’assurer ainsi que, « chez Willis, nous avons eu beaucoup de clients frappés par WannaCry et NotPetya, qui ont été indemnisés. Si l’on en entend peu parler, c’est parce que l’on conseille à nos clients de garder confidentielles leurs polices d’assurance cyber ». Afin d’éviter d’en faire des cibles trop tentantes.
Et puis, beaucoup de clients estiment être couverts pour des incidents cyber par d’autres polices. Ce qui peut être partiellement vrai. Dès lors, « Willis, comme nombre de ses concurrents, propose des gap analysis, [des analyses de lacunes de couverture assurantielle] », afin de mettre en évidence la manière dont une police cyber est susceptible de compléter, ou non, d’autres polices déjà souscrites.
Mais peut-être est-ce appelé à ne plus être nécessaire. Car Laure Zicry souligne que certains assureurs ont commencé à exclure de leurs couvertures dommages et responsabilité civile ce qui peut être lié aux incidents informatiques, « pour qu’il n’y ait plus aucune ambiguïté ».
L’exercice n’est pas pour autant trivial : « en droit français, une exclusion doit être formelle et limitée », ce qui rend difficile la rédaction d’exclusions touchant à des « risques cyber qui sont en réalité très larges ». Toutefois, pour Laure Zicry, « cela va venir. Et si cela ne vient pas des assureurs, cela viendra des réassureurs ».