Cybersécurité: le dossier qui agite les assureurs et les industriels

C’est un cas sans précédent suivi avec inquiétude par l’industrie de l’assurance et la gestionnaires de risques Des entreprises du monde entier. Mondelez, le géant américain du chocolat et des biscuits, a poursuivi l'assureur de Zurich pour ne pas vouloir l'indemniser pour les dommages causés par la cyberattaque mondiale NotPetya de juin 2017 .

Dans sa plainte déposée en octobre dernier devant un tribunal de l'Illinois (Etats-Unis) et évoquée jeudi par le "Financial Times", le groupe agroalimentaire a indiqué qu'il était toutefois couvert "Les dommages physiques et les catastrophes causés aux données, programmes et logiciels électroniques, y compris [ceux] résultant de l'introduction malveillante de codes machine ou d'instructions.

Une première

Frappé deux fois par NotPetya, Mondelez a déclaré avoir subi une perte de 100 millions de dollars ainsi que des dégâts matériels liés à l'attaque, qui a détruit 1 700 serveurs et 24 000 ordinateurs.

Mais Zurich American Insurance Company a finalement refusé de jouer cette couverture, invoquant la clause d’exclusion du contrat. "Pour actes hostiles ou guerriers" ou causé par "Un gouvernement ou une force souveraine". Mondelez réclame 100 millions de dollars de dommages et intérêts.

"C'est à ma connaissance la première fois qu'un assureur invoque cette clause de guerre pour un sinistre lié à une cyberattaque", rapporte un professionnel du secteur. Les États-Unis et la Grande-Bretagne avaient accusé la Russie d'être à l'origine de NotPetya, ce que cette dernière avait nié. Dans une note publiée en août 2018, le courtier en assurances américain Marsh, lui, a déclaré que NotPetya "N'était-ce pas une cyberguerre". Entre autres arguments, ses experts ont fait valoir que "N'était-ce pas une arme soutenant un usage militaire de la force".

"La certitude des couvertures"

La décision qui sera prise par la justice américaine dans l'affaire Mondelez-Zurich est d'une importance cruciale. "C’est la question de la sécurité de la couverture qui est en jeu pour toutes les entreprises ayant souscrit une cyber-assurance", explique Philippe Cotelle, directeur de l'Association pour la gestion des risques et des assurances de la société (Amrae), en charge des systèmes d'information.

En assurance conventionnelle, il est d'usage d'avoir une exclusion de guerre dans les contrats. "Dans une cyberattaque, le défi consiste à attribuer l'origine, ce qui est toujours très compliqué. En outre, les entreprises ne doivent pas être à la merci de l'interprétation des assureurs. Cela rendrait l'application d'une police d'assurance totalement subjective et être totalement inacceptable ", Il ajouta.

Cette affaire arrive à un moment où le marché encore récent de la cyberassurance se développe rapidement . Selon les prévisions établies en septembre dernier par le réassureur Munich Re, sa taille pourrait plus que doubler d'ici 2020 pour atteindre 8 à 9 milliards de dollars de primes brutes émises dans le monde.

Laurent Thévenin

Fièrement propulsé par WordPress | Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑

%d blogueurs aiment cette page :