Écrit par Suzanne Smalley
Le règlement la semaine dernière d’un procès de 100 millions de dollars sur la question de savoir si le géant de l’assurance Zurich devrait couvrir les pertes subies par Mondelez International à cause de NotPetya pourrait très bien remodeler l’ensemble du marché de la cyberassurance.
Zurich a d’abord refusé réclamations de Mondelez après que le logiciel malveillant, qui, selon les experts, a causé quelque 10 milliards de dollars de dommages dans le monde, a fait des ravages sur ses réseaux informatiques. Le fournisseur d’assurance a réclamé une exemption pour acte de guerre car il est largement admis que des pirates informatiques militaires russes ont lancé NotPetya sur une société ukrainienne avant qu’elle ne se répande dans le monde.
Maintenant, cependant, il est de plus en plus clair que les assureurs ne sont pas à l’abri des paiements de NotPetya ou de la couverture des pertes d’autres attaques avec des liens clairs avec les pirates des États-nations.
En effet, dans ce cas, ce que Mondelez et de nombreuses autres entreprises ont enduré n’était pas un acte de guerre, mais des “dommages collatéraux” dans un cyberconflit beaucoup plus vaste qui n’avait rien à voir avec eux, a déclaré James Lewis, directeur du programme des technologies stratégiques au Centre d’études stratégiques et internationales.
“Nous allons devoir repenser ce qu’est un acte de guerre signifie dans le cyberespace quand il s’agit d’assurance”, a déclaré Lewis. “Les définitions actuelles sortent du 19ème siècle quand nous avions des pirates, des marines et des corsaires.”
La décision de la semaine dernière en faveur de Mondelez suit une décision de janvier dans un tribunal du New Jersey qui s’est rangé du côté de la société pharmaceutique mondiale Merck dans une affaire similaire. Ses compagnies d’assurance ont d’abord refusé de payer les dommages de NotPetya. Merck a réclamé des pertes s’élevant à 1,4 milliard de dollars. Les assureurs font appel du jugement.
Bien que la décision du New Jersey n’ait peut-être pas créé de précédent contraignant, “c’était certainement une indication de la façon dont les juges et les jurys pourraient voir l’argument de Zurich”, a déclaré Josephine Wolff, professeure agrégée de politique de cybersécurité à la Fletcher School of Law and Diplomacy de Tufts. universitaire et auteur de “Politique de cyberassurance : repenser les risques à l’ère des rançongiciels, de la fraude informatique, des violations de données et des cyberattaques.”
Les affaires Merck et Mondelez impliquaient exactement le même ensemble de circonstances, qui “n’étaient pas interprétées, du moins jusqu’à présent, comme un acte de guerre”, a-t-elle déclaré. “Je ne pense pas que les assureurs cesseront de se battre pour refuser la couverture des grandes cyberattaques soutenues par l’État, mais je pense qu’ils modifieront la stratégie sur la façon dont ils le font en écrivant de nouvelles exclusions et en s’éloignant de l’argument selon lequel ces attaques sont des actes” guerriers “. .”
Les assureurs ont profité de l’épisode NotPetya pour tester comment les tribunaux statueraient sur les questions de cyber-couverture, en particulier lorsqu’il y a tant de preuves pointant vers un acteur particulier de l’État-nation. Étant donné que NotPetya a été largement attribué au gouvernement russe, cela a donné à l’industrie une “opportunité vraiment forte” de créer un précédent juridique limitant sa responsabilité dans ces cas, a déclaré Wolff.
Maintenant, elle s’attend à ce que les assureurs soient beaucoup plus francs sur le fait qu’ils ne couvriront pas les actes de cyberguerre ou ne limiteront pas les paiements pour les incidents de type NotPetya à l’avenir.
Déjà, Lloyd’s of London a déclaré qu’il s’arrêterait couvrant certaines cyberattaques l’année prochaine. Le registre a rapporté que le directeur de la souscription de la société, Tony Chaudhry, a écrit dans une note de service qu’en raison des politiques de “risque systématique” devraient inclure “une clause appropriée excluant la responsabilité pour les pertes résultant de toute cyberattaque soutenue par l’État”.
“Au fil du temps, les risques sont devenus plus importants et de plus en plus de personnes ont souscrit des montants d’assurance plus importants”, a déclaré Ari Schwartz, directeur général des services de cybersécurité du cabinet d’avocats de Washington Venable LLP. “Cela a commencé à devenir un marché de l’assurance plus mature… [where] ils ne vont pas simplement payer chaque réclamation.
Schwartz a déclaré que de nombreux facteurs contribuent à déterminer si NotPetya doit être considéré comme un acte de guerre, notamment si des dommages auraient pu être évités avec des correctifs ou d’autres “mesures correctives qui donnent l’impression que ce n’est pas vraiment un acte de guerre”. Le moment de l’attaque et la rapidité avec laquelle l’entreprise réagit sont également des facteurs clés.
En septembre, le département du Trésor a demandé l’avis de l’industrie pour savoir s’il devait fournir un “soutien au marché de la cyberassurance”. FedScoop signalé. Il étudie des mesures politiques telles que «la création d’un programme de soutien pour le risque de cyber-assurance semblable au programme d’assurance contre le risque de terrorisme, qui a été créé après le 11 septembre pour permettre à Wall Street de continuer à proposer des polices d’assurance de biens qui incluent une couverture pour les dommages causés par des actes de terrorisme ».
FedScoop a également noté la hausse du coût de la cyberassurance et que le coût total des primes a augmenté de 75 % à 4,8 milliards de dollars en 2021 par rapport à l’année précédente, selon les données de l’agence de notation AM Best. “Dans un rapport de juin, l’agence a noté que le nombre de réclamations signalées sur le cybermarché américain était passé à près de 26 000 en 2021, contre 22 000 l’année précédente et environ 6 000 en 2016.”
Malgré le fait que le marché de la cyberassurance continue d’évoluer, Davis Hake, vice-président de la politique du cyberassureur Resilience Insurance, a déclaré qu’il avait mûri depuis l’attaque NotPetya initiale de 2017. Il y a “une clarté et une confiance améliorées de la couverture [for] clients à souscrire une cyber-assurance dédiée.
Plus simplement, les compagnies d’assurance deviennent plus transparentes. Le juge qui a donné tort aux assureurs dans l’affaire Merck fait ce pointaussi.
“Les deux parties à ce contrat sont conscientes que les cyberattaques de diverses formes, provenant parfois de sources privées et parfois d’États-nations, sont devenues plus courantes”, a déclaré le juge de la Cour supérieure du New Jersey, Thomas Walsh, dans son avis. “Malgré cela, les assureurs n’ont rien fait pour modifier le libellé de l’exemption afin d’informer raisonnablement l’assuré qu’il avait l’intention d’exclure les cyberattaques.”
