Incident CrowdStrike : quel rôle pour les assurances ?

Le Pdg de Delta Airlines estime que l’incident de mise à jour de CrowdStrike survenu le 19 juillet a coûté à la compagnie aérienne un demi-milliard de dollars en cinq jours. 

L’assureur Parametrix a fait ses comptes : hors Microsoft, qui a également été affecté, l’épisode devrait coûter aux entreprises du classement Fortune 500 quelques 5,4 milliards de dollars. Ça, c’est avant de faire jouer son assurance, pour celles qui le pourront. 

Pace qu’il n’est pas question de compter sur les termes contractuels des licences logicielles de CrowdStrike pour envisager de dédommagement significatif. La lecture de son End User Licence Agreement ne laisse pas grand espoir. Outre-Atlantique, certains tentent toutefois une action collective.

Les contrats d’assurance cyber sont susceptibles d’aider, à compter que les bugs et erreurs ne figurent pas parmi les faits générateurs exclus. Dans un billet publié sur LinkedIn, Marc-Eric Bellot, responsable du domaine Cyber chez Allianz, explique que « certains contrats et garanties Cyber proposent, en complément, d’étendre la couverture aux faits générateurs des bugs et erreurs : dans ces cas, la garantie jouera si une erreur (d’un collaborateur ou d’un prestataire) génère un dommage prévu au contrat et ce, en l’absence de toute cyberattaque initiale ». Ce qui, précise-t-il, correspond au cas de l’incident CrowdStrike.

Quant aux contrats dommages de type multirisques entreprises, si certains avocats semblent miser dessus, les chances d’obtenir gain de cause seraient limitées, selon quelques fins connaisseurs du domaine : « les dommages aux données sont des dommages immatériels, qui ne sont pas couverts, sauf cas rarissime de contrats mal rédigés », nous glisse-t-on.

Selon Parametrix, « la part des pertes couvertes par les polices d'assurance cyber ne dépassera probablement pas 10 à 20 %, en raison de l'importance des rétentions de risque de nombreuses entreprises et du faible montant des limites de garantie par rapport aux pertes potentielles liées aux pannes ».

Son concurrent Coalition estime quant à lui que l’épisode devrait coûter aux assureurs cyber aux États-Unis entre 0,27 Md$ et 0,96 Md$. L’estimation haute représente rien moins que 20 % des primes d’assurance cyber collectées en 2023 dans le pays.