Un tournant dans la cybersécurité : une compagnie d’assurance doit verser une indemnité de 1,4 milliards de dollars

Mesdames et messieurs, bonjour !

Plusieurs mois se sont écoulés depuis ma dernière publication de cyber-actualité, une section aussi connue comme cyber-histoires du côté obscur ! Cette section fait son grand retour et présente les moments forts de certains événements informatiques étonnants dont vous n’avez peut-être pas entendu parler dans les sources habituelles d’informations…

Dans cet article, je ne vais vous parler que d’une seule cyber-actualité, mais elle est très vaste : n’importe quel ajout lui aurait fait perdre de l’importance, ce qui n’est pas très correct lorsqu’il s’agit d’un tournant décisif…

Voici le résumé de cette cyber-actualité : après d’interminables procédures judiciaires aux États-Unis, un tribunal a donné gain de cause à la grande entreprise pharmaceutique Merck face à une compagnie d’assurance en l’obligeant à lui verser une indemnité de 1,4 milliards de dollars (!!) pour couvrir les dommages que Merck a souffert en 2017 à cause du terrible virus NotPetya (aussi connu comme ExPetr ou Petya).

Retour rapide sur ce qui s’est passé en 2017…

En juin de cette année, un ver de chiffrement vicieux, cruel et technologiquement avancé est soudainement apparu et s’est répandu comme une traînée de poudre : NotPetya. Ce programme s’en est d’abord pris à l’Ukraine où il a attaqué les victimes via un célèbre programme de comptabilité et a affecté les banques, les sites de l’État, l’aéroport de Kharkiv, les systèmes de surveillance de la centrale nucléaire de Tchernobyl (!!!) et de bien d’autres organisations. Ensuite, cette épidémie s’est propagée en Russie puis dans le monde entier. Diverses sources officielles estimaient que NotPetya était l’attaque informatique la plus destructive. Cela semble plutôt correct si on regarde combien d’entreprises ont été attaquées (et que des dizaines d’organisations ont perdu des centaines de millions de dollars), alors que les dégâts de l’économie mondiale s’élevaient à plus de 10 milliards de dollars !

Le géant pharmaceutique américain Merck est une des victimes les plus affectées par cette cyber-attaque mondiale. Ainsi, il a été dit que 15 000 de ses ordinateurs ont été bloqués en 90 secondes (!) au début de l’infection, alors que son centre de sauvegarde des données (qui était connecté au réseau principal) a été perdu presque instantanément. À la fin de l’attaque, Merck avait perdu 30 000 postes de travail et 7 500 serveurs.

L’entreprise a passé les mois suivants à nettoyer les dégâts causés par l’attaque, ce qui lui a coûté 1,4 milliards de dollars. Merck a même dû emprunter des vaccins de sources externes pour la modique somme de 250 millions de dollars à cause des interruptions dont ses processus de fabrication ont souffert.

Toutes ces informations sont suffisantes pour comprendre le contexte. Entrons dans le vif du sujet…

Le contrat de police entre Merck et la compagnie d’assurance Ace American couvrait tous les risques, y compris les pertes de données dues à l’utilisation du logiciel. Ces risques étaient assurés pour 1,75 milliards de dollars. Pourtant, Ace American a refusé de reconnaître que les pertes causées par l’attaque du virus-ransomware NotPetya étaient couvertes et a refusé de payer : l’attaque était considérée comme cas de force majeure. Pour justifier cette décision, la compagnie d’assurance a dit que la Russie était responsable de la création de NotPetya, et que ce dernier a été utilisé comme arme numérique dans la guerre contre l’Ukraine et que, par conséquent, l’assureur n’était pas obligé d’indemniser l’assuré pour les dégâts causés par des actions militaires. De plus, pour défendre cet argument, l’entreprise a cité les annonces faites par les autorités britanniques et américaines, qui avaient longtemps auparavant officiellement attribué cette attaque informatique à la Russie.

En 2019, Merck a engagé des poursuites judiciaires contre l’assureur, plaidant que l’attaque n’était pas l’action officielle d’un état et que, par conséquent, elle ne pouvait pas être considérée comme action militaire ou conflit armé. Les avocats de Merck ont également souligné que les attaques informatiques n’étaient pas mentionnées dans la section des exceptions de la police de la couverture d’assurance. Finalement, le tribunal a donné raison à Merck et a souligné qu’Ace American savait que les attaques informatiques pouvaient être reconnues comme actions militaires mais avait décidé de ne pas le mentionner dans la police d’assurance.

Je pense que de nombreuses compagnies d’assurance ont suivi ce cas de près et doivent désormais relire minutieusement leurs polices standard. Pendant ce temps, du côté des victimes, j’imagine que celles qui ont souffert d’incidents informatiques vont aussi ressortir leur contrat d’assurance pour relire les conditions et voir si elles peuvent recevoir une indemnisation, comme ce fut le cas pour Merck. D’autre part, l’assureur et l’assuré doivent tenir compte des conséquences sur le long-terme : si les  » règles du jeu  » changent trop nettement, une hausse significative des assurances premiums semble inévitable.

Si je fais appel à mes dons de devin, il me semble que l’assurance contre les risques informatiques va devenir un secteur très juteux, et cette transformation sera incroyable : un mappage direct des pratiques habituelles des assurances dans l’univers informatique sans garantie (en termes de protection face aux risques informatiques) des fournisseurs de cybersécurité pourrait nuire de façon significative au monde des assurances, et les conséquences pourraient être irrémédiables. Pourtant, la plupart des entreprises de cybersécurité ne garantissent une protection que de 50 % contre les ransomwares, y compris ceux qui ressemblent à NotPetya.

50 % ? Mais c’est comme si pour assurer la sécurité d’un bâtiment il n’y avait qu’un panneau au-dessus de la porte d’entrée disant que  » les ennemis ne sont pas autorisés  » au lieu d’avoir des caméras de vidéosurveillance, des vigiles, etc. Il vous faut une protection de 100 %, sinon ce n’est pas la peine. D’ailleurs, lorsqu’il s’agit des ransomwares une seule entreprise vous offre une protection de 100 %. Devinez laquelle !

La situation est donc la suivante : les risques de souffrir d’une attaque informatique sont importants et divers, et cela signifie que les entreprises veulent couvrir ces risques et bien d’autres. D’autre part, n’importe quel assureur normal et rationnel ayant vu que la facture s’élève à 1,4 milliards de dollars va faire de son mieux pour que les risques informatiques n’apparaissent pas dans ses polices d’assurance. Nous nous retrouvons donc dans un contexte révolutionnaire : les compagnies d’assurance ne veulent pas couvrir les risques informatiques, même si leurs clients en ont vraiment envie.

Mais que faire ? Il est évident qu’il faut réduire les risques d’attaque d’infrastructures numériques. Cela signifie qu’il faut les construire de façon que les segments les plus critiques et vulnérables soient protégés au maximum contre les attaques externes et internes, alors que le reste de la structure utilise plusieurs couches de sécurité ayant prouvé leur résistance. Digne d’un film de science-fiction ? Je ne pense pas, mais c’est une autre histoire.

LIRE LES COMMENTAIRES 0
Laisser un commentaire