NotPetya : Merck gagne un procès à 1,4 milliard face à son assureur
Lourdement touché par le logiciel malveillant NotPetya en 2017, le laboratoire pharmaceutique s’était tourné vers son assureur, la société américaine Ace American, pour espérer obtenir un dédommagement.
La société évaluait à l’époque les dégâts causés par le vrai faux ransomware à environ 1,4 milliard de dollars. Coup de chance : la société avait contracté une couverture tout risque auprès de son assureur, lui permettant d’espérer un remboursement à hauteur de 1,7 milliard de dollars.
Cyberattaque ou cyberguerre ?
Mais Ace American n’était pas d’accord : selon l’assureur, NotPetya était en réalité un « outil utilisé par le gouvernement russe dans son conflit avec l’Ukraine » et il estimait qu’il était donc légitime de faire jouer la clause d’exclusion prévue dans le contrat pour les actes causés dans le cadre d’un conflit militaire.
Une interprétation qui avait fortement déplu à Merck. Celle-ci s’était donc retournée contre son assureur et l’avait attaqué en justice en 2019, demandant à la justice américaine de trancher le différend. La cour du New Jersey a rendu son jugement sur l’affaire au début du mois de décembre 2021, et a fini par trancher en faveur de Merck.
Selon les juges américains, la clause d’exclusion prévue dans le contrat ne s’applique pas, celle-ci ayant été rédigée afin de prendre en compte les cas impliquant des conflits armés. Le juge indique que des attaques informatiques peuvent effectivement être employées dans le cas d’un conflit, mais estime que l’assureur aurait dû remanier sa clause d’exclusion afin d’inclure ce cas de figure spécifique. Cela n’ayant pas été fait, il estime que Merck « avait tous les droits de penser que cette clause d’exclusion ne s’appliquait qu’aux conflits armés ».
NotPetya, c’est pas la guerre à boire
NotPetya n’était pas un logiciel malveillant ordinaire : ce vrai faux ransomware avait été déployé en 2017 et s’était propagé en exploitant la fameuse faille EternalBlue, une vulnérabilité déjà utilisée auparavant par le logiciel malveillant WannaCry. Le logiciel visait en premier lieu les entreprises ukrainiennes, les premières infections ayant été diffusées via une mise à jour malveillante d’un logiciel de comptabilité ukrainien très populaire. Mais de nombreuses victimes collatérales ont également été affectées par ce logiciel malveillant, dont le but réel était de détruire des données et de saboter les systèmes. Les services secrets ukrainiens ont rapidement désigné le gouvernement russe comme l’organisation à l’origine de ce logiciel malveillant, une analyse apparemment partagé par la communauté américaine du renseignement. La Russie se défend de son coté de toute implication.
Dommages collatéraux
Déployé au mois de juin 2017, ce logiciel malveillant avait fait de nombreuses victimes parmi les entreprises : Merck déplore ainsi plus de 40 000 ordinateurs affectés, mais des sociétés françaises comme Saint-Gobain avaient également été touchées par le virus.
Le différend juridique entre Merck et son assureur au sujet de NotPetya était regardé de près par le secteur de l’assurance, qui cherche encore à trouver le bon équilibre pour assurer les risques liés aux attaques informatiques.
Au vu de l’utilisation croissante des attaques informatiques dans le cadre de conflit entre puissances étatiques, on imagine que de nombreux assureurs vont chercher à revoir leurs clauses pour s’éviter un destin similaire à Ace American.
