Un changement majeur dans le fonctionnement de l’assurance cyber a débuté avec une attaque contre le géant pharmaceutique Merck. Ou bien a-t-il commencé ailleurs ?
En juin 2017, l’incident NotPetya a touché environ 40 000 ordinateurs Merck, détruisant des données et forçant un processus de récupération de plusieurs mois. L’attaque a touché des milliers de multinationales, dont Mondelēz et Maersk. Au total, le logiciel malveillant a causé environ 10 milliards de dollars de dégâts.
Le logiciel malveillant NotPetya exploitait deux vulnérabilités de Windows : EternalBlue, une clé squelette numérique divulguée par la NSA, et Mimikatz, une faille qui permettait de récupérer les mots de passe des utilisateurs sur les machines Windows.
Le logiciel malveillant a été conçu pour infecter sans intervention de l'utilisateur, se déplacer latéralement à l'intérieur des réseaux et se propager très rapidement, mettant parfois les réseaux hors service en moins d'une minute. Une fois exécuté, il écrase l'enregistrement d'amorçage principal, empêchant le démarrage.
Une note de rançon exigeait un paiement pour le déchiffrement. Cependant, aucun mécanisme ni plan n’était prévu à cet effet. Son objectif était de convaincre les victimes qu’elles avaient été touchées par un ransomware. En réalité, NotPetya n’existait que pour détruire des données sans possibilité de récupération.
Merck a estimé que l’attaque a coûté 1,4 milliard de dollars américains. Ces coûts comprenaient une perte temporaire de capacité de production, ainsi que le coût des équipements et des nouvelles embauches informatiques nécessaires à la reprise.
L'entreprise avait souscrit une police d'assurance « tous risques » de 1,75 milliard de dollars américains auprès d'Ace American. Mais l'entreprise a rejeté leur demande, affirmant que NotPetya ayant débuté pendant la guerre entre la Russie et l'Ukraine, la clause d'exclusion relative aux « Actes de guerre » signifiait qu'elle n'avait pas à payer.
Merck a intenté un procès à Ace American en novembre 2019. L'affaire reposait principalement sur l'argument selon lequel l'attaque n'était pas le résultat d'une action officielle de l'État et que Merck n'était qu'un simple spectateur en dehors du théâtre du conflit. Le juge Thomas J. Walsh de la Cour supérieure du New Jersey a donné raison à Merck.
Ace American a fait appel, et la cour d’appel de l’État dans cette affaire a estimé que la clause d’exclusion de guerre dans les polices d’assurance — qui exclut la couverture des pertes causées par des actions hostiles ou belliqueuses des gouvernements — ne s’appliquait pas dans cette affaire.
Les deux parties ont conclu un accord confidentiel avec les assureurs le 5 janvier 2024.
D'autres grandes entreprises ont été confrontées à des scénarios juridiques similaires et ont également conclu des accords, mais probablement pour des montants moins élevés.
L’issue de l’affaire n’était ni entièrement prévisible ni nécessairement intuitive. On estime généralement que NotPetya a vu le jour dans un contexte de conflit — attribué au gouvernement russe (plus précisément au groupe de pirates informatiques Sandworm, qui fait partie des services de renseignement militaires russes) et lancé en Ukraine dans le but présumé de favoriser les objectifs de la Russie dans ce conflit.
Bien qu'il s'agisse probablement d'un acte de cyberguerre, l'attaque s'est ensuite étendue hors d'Ukraine à des machines du monde entier, provoquant ce que l'on pourrait qualifier de dommages collatéraux.
Les polices d'assurance cybernétique contiennent généralement des clauses d'exclusion en cas de guerre. Par exemple, la Lloyd's Market Association (LMA) a publié des conseils sur les clauses d'exclusion de la cyberguerre. Ils recommandent que l'exclusion ne s'applique pas aux opérations cybernétiques menées par des États-nations en dehors d'une guerre chaude, dans certaines circonstances. Par exemple, si la cyberattaque a eu lieu en dehors du théâtre du conflit ou si l’entreprise n’était pas la cible visée.
La décision du tribunal était conforme aux directives de Lloyd, qui a estimé que la clause d'exclusion de guerre ne s'appliquait pas aux circonstances de l'attentat de NotPetya.
Pourtant, la décision était importante. Certaines des cyberattaques les plus sophistiquées et les plus dommageables sont le résultat d'actions menées par des États-nations pour attaquer leurs rivaux ou leurs ennemis. Si les compagnies d'assurance ne peuvent pas utiliser les clauses standard d'exclusion de guerre pour ces cyberattaques dommageables commanditées par des États, elles devront à l'avenir ajuster leurs polices, augmenter leurs prix ou les deux.
L'environnement de l'assurance cybernétique est en mutation depuis au moins une décennie. En raison des cyberattaques de plus en plus coûteuses, les clients des compagnies d'assurance ont dû faire face à une augmentation des primes, à des exigences plus strictes en matière de souscription et à une réduction de la couverture.
Ces changements sont survenus en raison d’une grande variété de tendances dans l’environnement des cyberattaques, y compris les tendances des ransomwares d’il y a quelques années.
Les primes d’assurance cybernétique mondiales sont passées de moins de 5 milliards de dollars en 2018 à une estimation de 18 milliards de dollars cette année, selon l’Institut Swiss Re.
Les entreprises ont dû mettre de l'ordre dans leur cybersécurité, conformément à des lignes directrices de plus en plus strictes, pour pouvoir bénéficier d'une couverture. Les compagnies d'assurance prennent plus de temps pour approuver les personnes qu'elles couvrent et deviennent plus sélectives.
La couverture se rétrécit, en partie à cause du nombre croissant d'exclusions qui annulent la couverture dans certaines circonstances (et l'« exclusion de guerre » était importante).
Le règlement Merck a attiré l'attention du secteur sur les défis que représente la définition des exclusions de guerre dans les polices d'assurance cybernétique. Les compagnies d’assurance risquent de resserrer davantage le langage, notamment en ce qui concerne l’exclusion de la guerre — une tendance déjà commencée en 2022.
Cela a également modifié l’attention des acheteurs d’assurance. Les entreprises devront examiner attentivement les exclusions, les délais d’attente, les limites des polices et d’autres facteurs lorsqu’elles choisiront un fournisseur d’assurance. Un autre élément important consiste à évaluer si une entreprise pourrait être victime ou ciblée à la suite d’événements géopolitiques et à examiner comment les exclusions pourraient les priver de remboursement en cas de cyberattaques graves commanditées par un État.
Et surtout, concentrez-vous sur la cybersécurité réelle - en particulier les outils d’automatisation et l’IA.
Même si Merck et les poursuites et règlements connexes sont susceptibles d’apporter une contribution importante à l’évolution des coûts, des polices, des exclusions et des limites de l’assurance de cybersécurité, le facteur déterminant est la sophistication et le coût croissants des cyberattaques en général.