Mondelez, il gigante americano del cioccolato e dei biscotti, ha citato in giudizio Zurich, che non ha voluto risarcire i danni subiti dopo l’attacco cyber NotPetya. L’esito del caso è cruciale per l’assicurato.
Si tratta di una questione senza precedenti, seguita con ansia dal settore assicurativo e dai risk manager delle compagnie di tutto il mondo. Nel suo reclamo presentato lo scorso ottobre in un tribunale dell’Illinois, USA, il gruppo agroalimentare spiega che è stato coperto per “danni fisici e perdite causate a dati elettronici, programmi e software, compresi quelli derivanti dall’introduzione dolosa di codici macchina o istruzioni”.

Laurent Thévenin

Mondelez poursuit en justice Zurich, qui n’a pas voulu l’indemniser pour les dommages subis après la cyberattaque NotPetya. L’issue du dossier est cruciale pour les assurés.
C’est un dossier au caractère inédit suivi avec anxiété par le secteur de l’assurance et les « risks managers » des entreprises du monde entier. Mondelez, le géant américain du chocolat et du biscuit, a intenté une action en justice contre l’assureur Zurich pour ne pas avoir voulu l’indemniser pour les dommages causés par la cyberattaque mondiale NotPetya de juin 2017.
Dans sa plainte déposée en octobre dernier devant un tribunal de l’Illinois, aux Etats-Unis, et évoquée jeudi par le « Financial Times », le groupe agroalimentaire explique qu’il était pourtant couvert pour « les dommages et sinistres physiques causés aux données électroniques, aux programmes et aux logiciels, incluant [ceux] résultant de l’introduction malintentionnée de codes machine ou d’instructions ».

Plus de 100 millions de dollars de dommages
Touché à deux reprises par NotPetya, Mondelez indique avoir subi pour plus de 100 millions de dollars de pertes et de dommages du fait de cette attaque, qui a notamment mis hors de service 1.700 de ses serveurs et 24.000 ordinateurs. Mais, Zurich American Insurance Company a finalement refusé de faire jouer cette couverture, invoquant la clause d’exclusion prévue dans le contrat « pour les actes hostiles ou liés à des guerres (‘warlike’) » ou causés par « un gouvernement ou une force souveraine ». Mondelez lui réclame 100 millions de dollars de dommages et intérêts. « C’est à ma connaissance la première fois qu’un assureur invoque cette clause de guerre pour un sinistre lié à une cyberattaque », rapporte un professionnel du secteur. Les Etats-Unis et la Grande-Bretagne avaient accusé la Russie d’être derrière NotPetya, ce que cette dernière avait nié. Dans une note publiée en août 2018, le courtier américain en assurances Marsh estimait, lui, que NotPetya « n’était pas une cyberguerre ». Entre autres arguments, ses experts faisaient valoir qu’il « ne s’agissait pas d’une arme soutenant un usage militaire de la force ».

La décision qui sera rendue par la justice américaine dans l’affaire Mondelez-Zurich revêt une importance cruciale. « C’est la question de la certitude des couvertures qui est en jeu pour l’ensemble des entreprises ayant souscrit des assurances cyber », explique Philippe Cotelle, administrateur de l’Association pour le management des risques et des assurances de l’entreprise (Amrae), en charge des systèmes d’information.
Dans les assurances classiques, il est d’usage d’avoir une exclusion de guerre dans les contrats. « Dans une cyberattaque, l’enjeu est d’attribuer l’origine, ce qui est toujours très compliqué. Aussi, il ne faudrait pas que les entreprises se retrouvent à la merci de l’interprétation des assureurs. Cela rendrait totalement subjectif l’application d’une police d’assurance et ce serait totalement inacceptable », insiste Philippe Cotelle.
Cette affaire survient au moment où le marché encore récent de la cyberassurance se développe à vitesse grand V. D’après des projections avancés en septembre dernier par le réassureur Munich Ré, il pourrait plus que doubler de taille d’ici à 2020, pour atteindre de 8 à 9 milliards de dollars de primes brutes émises au niveau mondial.

Fonte: