Par Gérard Haas et Miléna Letinaud
Grâce à la décision des juges du New Jersey, l’entreprise pharmaceutique Merck pourra compter sur son assureur pour obtenir l’indemnisation des dommages causés par la cyberattaque NotPetya en date de juin 2017, qui s’évalue à hauteur de 1,4 milliards de dollars.
L’entreprise Merck avait souscrit auprès de l’assureur Ace American un contrat d’assurance pour se protéger en vue d’une cyberattaque. Ce contrat d’assurance comprenait une clause d’exclusion des risques de guerre que l’assureur a soulevé pour ne pas avoir à indemniser le géant pharmaceutique au motif que l’attaque NotPetya s’était déroulée au moment où ont eu lieu les hostilités entre la Russie et l’Ukraine.
Pour autant, les juges américains dans une décision Merck & CO and International Indemnity v. Ace American Insurance Company du 6 décembre 2021[1] ont tranché en faveur de Merck et n’ont pas consacré l’exclusion de l’acte de guerre.
Cette décision met l’accent sur la nécessité d’adapter le marché de l’assurance cyber au nombre grandissant de cyberattaques visant les entreprises, et à une nouvelle impulsion à mettre en œuvre en matière d’offre d’assurance cyber.
Le marché de l’assurance cyber doit s’adapter au nombre grandissant de cyberattaques visant les entreprises
La cyberattaque NotPetya a été mise en œuvre par le biais d’un logiciel malveillant, apparu sous la forme d’un ransomware.
Il existe d’autres types de menaces pour mettre en œuvre des cyberattaques visant les entreprises :
Au-delà de Merck, l’ampleur de la cyberattaque NotPetya a été considérable, et loin d’être un cas isolé puisque la menace depuis cette attaque ne fait qu’accroître.
Pour les assureurs, une cartographie prospective de 2022 des risques de la profession a été publiée par France Assureurs qui met en évidence le risque cyber en haut du classement et ce pour la cinquième année consécutive.
En dépit de la connaissance du risque de cyberattaque, l’ANSSI dénonçait en 2020 une augmentation de 255% des signalements d’attaque par rançongiciel dans son périmètre par rapport à 2019.
Il est important de sensibiliser les entreprises car les risques sont multiples:
De plus il est important de rappeler que « Les assurances jouent en effet un rôle de tiers de confiance vis-à-vis de leurs assurés et leur donnent des outils de prévention pour faire face aux risques auxquels ils sont exposés » exprime le directeur général de l’ANSSI lors de l’assemblée nationale portant sur la cyber assurance en 2021.
Le marché de l’assurance cyber doit s’ajuster à une nouvelle impulsion dans son offre à destination des entreprises
Les assurances cyber ont émergé en France dès 2007 mais les principaux acteurs viennent des Etats Unis comme Ace American par exemple.
Selon l’Association pour le Management des Risques et des Assurances de l'Entreprise (AMRAE) les grands groupes sont en moyenne couverts à hauteur de « 38M€ pour un chiffre d’affaires annuel de plus d’1,5 milliards d’euros » ce qui démontre un déséquilibre significatif.
Lors de l’assemblée nationale portant sur la cyber assurance en 2021, l’ANSSI propose d’ « Inciter à la création en France et en Europe d’un mécanisme d’évaluation des offres de cyber-assurance, Harmoniser à l’échelle française puis européenne les critères d’analyse des cyber-risques entre les assureurs, Interroger le réassureur public, CCR, sur ses capacités d’appréhender les risques émergents, Envisager le partenariat public-privé pour le segment systémique du risque cyber ».
Par ailleurs, une réflexion active est menée par un groupe de travail portant sur le développement d’une offre assurantielle de couverture des risques cyber dont l’objectif est de présenter un plan d’action courant 2022. Ce groupe de travail a été mis en place pour « faire émerger des offres adaptées », en réponse à « l’inflation inquiétante de la menace cyber ». Plusieurs impératifs sont en jeu selon le ministère de l'Economie et des Finances :
- « Analyser les clauses d’assurance cyber et les modalités possibles pour les rendre plus claires »
- « Identifier les leviers pour une meilleure mesure du risque cyber »
- « Les modalités optimales de partage de risque entre assurés, assureurs et réassureurs »
- « Aux moyens de lutte contre la sous-perception de ce risque par les entreprises »
Il apparaît alors comme impératif de réagir face à la multiplicité des cyberattaques, et palier au déséquilibre du marché des assurances cyber en ajustant l’offre à la menace cyber qui demeure accrue.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de sinistres. Si vous souhaitez avoir plus d’informations sur les mesures nécessaires à mettre en place, Contactez-nous ici.
[1] « Superior Court of New Jersey » décision Merck & CO and International Indemnity v. Ace American Insurance Company 6 décembre 2021