[ TO READ THIS POST IN ENGLISH CLICK HERE ]
20 janvier 2019 – Le Forum international de la Cybersécurité à Lille, France (FIC2019) est une plate-forme visant à promouvoir une vision européenne de la cybersécurité et à renforcer la lutte contre la cybercriminalité. Il est rapidement devenu LE rendez-vous de référence réunissant tous les acteurs majeurs de la confiance numérique. Cette année, nous aurons plus de 8 700 visiteurs, plus de 350 fournisseurs et partenaires et plus de 80 pays représentés.
Il n’y a pas de meilleur endroit que le FIC2019 pour :
– se renseigner sur la cybertechnologie, la cyberguerre et la cybersécurité
– avoir l’occasion de rencontrer les principaux acteurs de la cybersécurité et de faire le point sur les tendances en matière de cyberattaques, et notamment sur les solutions à l’heure où ce problème devient si critique et si général
Et à la veille du FIC2019, se profile le premier litige juridique sérieux sur la façon dont les entreprises peuvent récupérer les coûts d’une cyberattaque, alors que les groupes d’assurance cherchent à définir étroitement leurs responsabilités.
L’affaire concerne Mondelez, la société alimentaire américaine propriétaire des marques Oreo et Cadbury, qui poursuit sa compagnie d’assurance Zurich pour avoir refusé de payer une indemnité de 100 millions de dollars pour les dommages causés par la cyberattaque NotPetya.
C’est un gros problème. En tant que spécialiste du cyber-droit, je n’ai jamais vu une compagnie d’assurance adopter cette position. Et je n’ai pas encore vu une police d’assurance qui n’exclue pas un acte de guerre. Cela va avoir des répercussions sur le secteur des assurances. Les grandes entreprises vont réfléchir à ce qu’incluent leurs polices d’assurance.
Deux questions clés restent en suspens :
- Qui décide si un cyberincident malveillant émanant d’un État-nation déclenche ou non l’exclusion?
- La question qui se pose est de savoir quel est le seuil de cyberactivité malveillante qui serait considéré comme un acte de guerre. Est-ce que le simple fait d’exposer des courriels compte?
Et ce qui est encore plus intrigant, c’est que les dirigeants du département américain de la Défense ont revu leur stratégie de cybersécurité au cours des derniers mois pour mettre l’accent sur la capacité du département à opérer sur les réseaux ennemis mais en dessous du seuil de la guerre.
N’oubliez pas non plus que ce n’est pas la première fois que l’on discute d’une somme aussi importante pour de telles cyberattaques. Lorsque Sony a été victime d’une cyberattaque en provenance de Corée du Nord en 2014 après la sortie prévue de son film « The Interview », qui dépeint le meurtre de Kim Jong Un, la société a reçu 100 millions de dollars en dommages et intérêts de sa compagnie d’assurance.
CONTEXTE
L’attaque NotPetya de l’été 2017 a paralysé les systèmes informatiques de sociétés du monde entier, dont Merck, la société pharmaceutique, Reckitt Benckiser, le groupe de consommateurs et Maersk, le plus grand groupe maritime du monde.
Il a causé des milliards de dollars de dommages. Les États-Unis et le Royaume-Uni ont reproché à des pirates informatiques russes d’attaquer le gouvernement ukrainien. Le Kremlin a nié toute implication.
Mon équipe de médias s’est rendue dans l’Illinois, où l’affaire a été déposée et suit de près le déroulement des procédures judiciaires. À la fin de cet article, je mentionne un lien vers la plainte initiale. Je tiendrai les lecteurs au courant de l’évolution de l’affaire.
En résumé, Mondelez a déclaré avoir été frappée à deux reprises par NotPetya, avec 1 700 de ses serveurs et 24 000 ordinateurs portables devenus « définitivement dysfonctionnels ». Mondelez a réclamé les frais de sa police d’assurance pour les biens qui, selon elle, couvrait « la perte ou les dommages physiques causés aux données, programmes ou logiciels électroniques, y compris la perte ou les dommages physiques causés par l’introduction malveillante d’un code machine ou d’instructions ».
Selon les documents du tribunal en charge de l’affaire Mondelez, la compagnie d’assurance Zurich, s’est d’abord efforcée d’ajuster la déclaration de sinistre de la manière habituelle et a même promis à un moment donné d’effectuer un paiement provisoire de 10 millions de dollars. Mais elle a par la suite refusé de payer, invoquant l’exclusion dans la police d’assurance d’un « acte hostile ou guerrier » d’un gouvernement, d’une puissance souveraine ou d’un peuple agissant en leur nom. Mondelez a qualifié le refus de Zurich de « sans précédent » et demande 100 millions de dollars de dommages et intérêts. Les deux sociétés ont refusé de commenter l’affaire.
J’ai parlé à plusieurs courtiers d’assurance et ils sont tous d’accord pour dire qu’il est assez audacieux de compter sur une exclusion de guerre pour un piratage parrainé par l’État. Personne n’a jamais soulevé cette exclusion auparavant. L’assureur devrait le prouver et c’est tellement difficile de prouver une attribution. Et les exclusions pour terrorisme et guerre étaient « un peu une zone grise », mais je pense qu’il est peu probable que les auteurs de la police d’assurance aient pensé à de telles cyberattaques en insérant l’exclusion.
Mais cette déclaration de sinistre touche au cœur de l’une des plus grandes préoccupations du secteur des assurances au sujet des cyberattaques. Bien qu’il existe un marché en plein essor pour les polices d’assurance spécifiques aux cyberattaques, de nombreuses entreprises déclarent des sinistres pour des cyberattaques contre leurs polices non cybernétiques, comme l’a fait Mondelez. Les assureurs s’inquiètent de l’ampleur de cette « cyberexposition silencieuse » et des experts ont déclaré que Zurich pourrait tester les tribunaux sur ce point. C’est une perte importante pour une police non spécifique aux cyberattaques. Il s’agirait là d’une cyberindemnisation silencieuse et les assureurs essaient de supprimer cette couverture.
Néanmoins, l’affaire pourrait avoir de vastes répercussions sur le marché de l’assurance, poussant potentiellement les acheteurs d’assurances à acheter des polices spécifiques aux cyberattaques ou à exiger des conditions plus strictes pour leur couverture non spécifiques aux cyberattaques.
Pour lire la plainte originale, cliquez ici.
REMARQUE : vous pouvez suivre toute l’action de la semaine prochaine sur Twitter avec le hashtag # FIC2019 et le compte Twitter de l’événement @FIC_fr, ainsi que notre compte Twitter @ediscoverycloud, qui sera publié sur Twitter en français et en anglais.