Depuis quelques mois, je constate qu’il y a de plus en plus d’assureurs en cyberrisques qui refusent d’indemniser les assurés, et ce, pour diverses raisons. Ces divergences d’opinions entre ce qui est couvert par le contrat d’assurance et ce qui ne l’est pas se règlent en général devant les tribunaux.
Un des cas que j’ai trouvé particulièrement intéressant est le litige entre le géant de l’assurance Zurich et la multinationale américaine Mondelēz qui œuvre dans l’agroalimentaire.
Mondelēz a été frappé par un logiciel malveillant de type NotPetya en juin 2017. Le géant de l’alimentation et des boissons, connu dans le monde entier pour des marques telles que Cadbury, Oreo, Ritz et Philadelphia, a été durement touché par ce logiciel malveillant.
Les ordinateurs de l’entreprise ont gelé, les employés ont perdu l’accès aux courriels et aux fichiers et le logiciel de logistique utilisé pour orchestrer les livraisons est tombé en panne. Malgré les efforts colossaux de l’entreprise pour réparer les dégâts, il a fallu des semaines à Mondelēz pour s’en remettre complètement. Les conséquences financières ont été évaluées à plus de 100 millions de dollars. L’attaque a endommagé de manière permanente 1 700 serveurs et 24 000 ordinateurs portables, affectant les installations de production dans le monde entier.
Pourquoi Zurich refuse d’indemniser Mondelēz?
Comme vous l’avez certainement constaté dans vos polices d’assurance, ces contrats sont parsemés d’exclusions. Des clauses d’exclusion en cas de guerre ou d’actes hostiles sont des clauses courantes dans les polices d’assurance. Ces clauses d’exclusion font en sorte que les dommages résultant par exemple d’un acte de guerre ne seront pas couverts en cas de réclamation.
Dans le contexte de l’attaque sur Mondelēz, Zurich prétend que le logiciel malveillant NotPetya provient d’une attaque militaire russe lancée contre des sociétés ukrainiennes. À la suite de ces attaques, le logiciel malveillant s’est répandu partout dans le monde et a frappé Mondelēz. Cette dernière serait donc une victime collatérale d’un acte de guerre et donc non couvert par sa cyberassurance. La multinationale américaine n’était évidemment pas d’accord avec la thèse de Zurich et a intenté une poursuite.
Comment se positionnent les tribunaux?
À la fin d’octobre 2022, un jugement a été rendu, soit plus de cinq ans après le sinistre. La conclusion? Zurich devra dédommager.
Cette décision fait suite à un jugement similaire à l’issue duquel une victime de NotPetya a aussi eu gain de cause. La société pharmaceutique mondiale Merck réclamait des pertes s’élevant à 1,4 milliard de dollars à l’assureur Ace American Insurance. Dans ce dossier, le tribunal a statué que l’exclusion pour acte de guerre n’était pas acceptable dans les circonstances. La compagnie d’assurance fait actuellement appel du jugement. C’est donc un dossier à suivre.
Les assureurs vont-ils resserrer les règles?
Plusieurs pays commanditent directement les cyberattaquants. Ils paient pour le raffinement des tactiques et des outils de cyberattaques afin d’obtenir des avantages stratégiques, économiques et géopolitiques sur leurs adversaires. Ce n’est pas surprenant que les attaquants aient une longueur d’avance.
En raison de l’augmentation importante des cyberattaques supportées par des nations, il est possible de croire que les dommages collatéraux sur nos entreprises seront de plus en plus fréquents.
Pour faire face à cette escalade, les produits de cyberassurance vont probablement devenir beaucoup plus spécifiques dans leur couverture et sur les conditions d’application. Je m’imagine très bien une police cyberrisques lister spécifiquement pour quels types de logiciels malveillants elle s’applique. Cette façon de faire existe déjà en assurance vie où les causes de décès couvertes sont spécifiquement listées, ainsi que les exclusions.
Finalement, je pense que les assureurs vont devenir beaucoup plus stricts sur les fausses représentations des assurés. Par exemple, l’assureur Travelers a contesté une réclamation de l’assuré ICS, parce que ce dernier prétendait utiliser de l’authentification à multiples facteurs dans son formulaire d’adhésion. Élément qui s’est avéré ne pas être vrai à la suite de l’enquête effectuée en lien avec le cyberincident subit par ICS en 2020.
Travelers ne veut assumer aucune part des pertes, des coûts et des réclamations dans ce dossier parce que l’authentification à multiples facteurs est une condition essentielle à l’obtention d’une couverture par Travelers.
Des préoccupations pour les PME du Québec
Qui va remplir le formulaire?
Ceux qui ont souscrit à une assurance cyberrisques savent que l’exercice peut être fastidieux. Il y a des questionnaires à remplir et les questions ne sont pas toujours claires. Une fois les questionnaires complétés, il y a souvent des demandes d’informations supplémentaires qui proviennent du courtier et/ou du manufacturier d’assurance. Certaines organisations n’ont pas les compétences requises à l’interne pour remplir adéquatement les questionnaires et ont recours à des consultants pour y arriver. Assurez-vous d’avoir les preuves nécessaires avant d’apposer votre signature sur votre questionnaire d’assurance.
Est-ce qu’une assurance cyberrisques c’est suffisant?
Il n’est pas rare d’entendre des entrepreneur(e)s dire qu’ils ou elles ont transféré les cyberrisques à leur assureur. Peut-être que ce modèle était viable dans le passé, mais aujourd’hui, si vous n’avez pas des contrôles de cybersécurité efficaces, aucun assureur raisonnable ne voudra vous assurer. Si vous n’avez jamais investi significativement en cybersécurité et que vous bénéficiez d’une couverture d’assurance cyber, je vous recommande deux choses. Premièrement, assurez-vous que vos déclarations sur votre posture actuelle de cybersécurité sont vraies. Deuxièmement, vérifiez que votre couverture est adéquate et que votre police n’exclue pas d’entrée de jeu les principaux risques auxquels vous faites face. L’avenue des tribunaux pour régler un litige avec votre assureur peut être très longue et coûteuse. Mondelēz a attendu 5 ans. En avez-vous les moyens?
Préparez-vous à une cyberattaque
Imaginez-vous dans la peau d’un(e) entrepreneur(e) qui reçoit un refus d’indemnisation de sa cyberassurance parce que le rançongiciel qui l’a frappé découle d’un acte de guerre.
Comment l’entreprise pouvait le savoir?
Comment l’assuré peut savoir s’il ne se fait pas jouer un tour?
Posez-vous la question suivante: «Comme assuré, comment vais-je faire pour identifier la cause souche d’un cyberincident sans me fier uniquement à la firme mandatée par mon assureur?» Je pense que des outils et une équipe efficace de réponse aux cyberincidents sont des éléments devenus nécessaires à la poursuite des affaires dans un monde numérique.
Bref, nous sommes tous au centre d’une transformation numérique avec ses bons et mauvais côtés. Le cyberespace est un endroit où il est maintenant difficile d’évoluer sans connaissance en cybersécurité.
C’est l’équivalent d’emprunter la route avec votre voiture. Il y a des règles que vous devez connaître pour être en sécurité. Votre voiture doit être équipée d’équipements de protection. C’est la même chose sur internet.