Pendant l’attaque, les ordinateurs de Mondelēz ont gelé, les employés ont perdu l’accès aux e-mails et aux fichiers, et le logiciel de logistique utilisé pour coordonner les livraisons est tombé en panne. (Photo : 123RF)
Au cours des derniers mois, j’ai constaté un nombre croissant de compagnies d’assurance contre les risques cyber refusant d’indemniser les assurés pour diverses raisons. Ces divergences d’opinion sur ce qui est couvert par le contrat d’assurance et ce qui ne l’est pas sont généralement résolues devant les tribunaux.
Un exemple que j’ai trouvé particulièrement intéressant est le différend entre le géant de l’assurance Zurich et la multinationale américaine Mondelēz, qui opère dans l’industrie alimentaire.
Mondelēz a été touché par un logiciel malveillant de type NotPetya en juin 2017. Le géant de l’alimentation et des boissons, connu dans le monde entier pour des marques telles que Cadbury, Oreo, Ritz et Philadelphia, a été durement touché par ce malware.
À (re)lire: notre dossier sur la cybersécurité, un impératif commercial.
Les ordinateurs de l’entreprise ont gelé, les employés ont perdu l’accès aux e-mails et aux fichiers, et le logiciel de logistique utilisé pour coordonner les livraisons est tombé en panne. Malgré les efforts massifs de l’entreprise pour réparer les dégâts, il a fallu des semaines à Mondelēz pour se remettre complètement. L’impact financier a été estimé à plus de 100 millions de dollars. L’attaque a endommagé de manière permanente 1 700 serveurs et 24 000 ordinateurs portables, affectant les installations de fabrication dans le monde entier.
Pourquoi Zurich refuse d’indemniser Mondelēz?
Comme vous l’avez sûrement remarqué dans vos polices d’assurances, ces contrats sont jonchés d’exclusions. Les clauses d’exclusion de guerre et d’actes hostiles sont des clauses courantes dans les polices d’assurance. Ces clauses d’exclusion garantissent que les dommages résultant par exemple d’un acte de guerre ne seront pas couverts en cas de sinistre.
Dans le contexte de l’attaque contre Mondelēz, Zurich affirme que le malware NotPetya provient d’une attaque militaire russe contre des entreprises ukrainiennes. À la suite de ces attaques, le logiciel malveillant s’est répandu dans le monde entier et a affecté Mondelēz. Ce dernier serait donc victime collatérale d’un acte de guerre et donc non couvert par sa cyber assurance. La multinationale américaine n’était apparemment pas d’accord avec la thèse de Zurich et a porté plainte.
Comment se positionnent les tribunaux?
Le verdict a été rendu fin octobre 2022, plus de cinq ans après l’incident. Conclusion? Zurich devra compenser.
Cette décision fait suite à une décision similaire dans laquelle une victime de NotPetya a également gagné. La société pharmaceutique mondiale Merck a réclamé 1,4 milliard de dollars de dommages et intérêts à Ace American Insurance. Dans cette affaire, le tribunal a statué que l’exclusion pour acte de guerre n’était pas acceptable dans les circonstances. La compagnie d’assurance fait actuellement appel de la décision. C’est donc un dossier à suivre.
Les assureurs vont-ils resserrer les règles?
Plusieurs pays parrainent directement des cyber-attaquants. Ils paient pour perfectionner les tactiques et les outils de cyberattaque afin d’obtenir un avantage stratégique, économique et géopolitique sur leurs adversaires. Sans surprise, les attaquants ont le dessus.
Avec l’augmentation significative des cyberattaques parrainées par les États, il est raisonnable de croire que les dommages collatéraux à nos entreprises deviendront de plus en plus courants.
Pour faire face à cette escalade, les produits de cyberassurance sont susceptibles de devenir beaucoup plus spécifiques en termes de couverture et de conditions d’utilisation. Je peux facilement imaginer une politique de cyber-risque qui indique spécifiquement les types de logiciels malveillants qu’elle couvre. Ce mode de fonctionnement existe déjà en assurance-vie, où les causes de décès couvertes, ainsi que les exceptions, sont précisées.
Au fil du temps, je pense que les compagnies d’assurance deviendront beaucoup plus strictes à l’égard des fausses déclarations des assurés. Par exemple, Travelers Insurance Company a contesté la réclamation d’un titulaire de police ICS parce que ce dernier prétendait utiliser l’authentification multifacteur dans son formulaire de demande. Un élément qui s’est avéré faux après qu’une enquête a été menée sur un cyberincident subi par ICS en 2020.
Dans ce cas, le voyageur ne veut supporter aucune partie des pertes, des coûts et des réclamations, car l’authentification multifacteur est une condition essentielle pour que les voyageurs obtiennent une couverture.
Des préoccupations pour les PME du Québec
Ceux qui ont souscrit une cyber assurance savent que l’exercice peut être fastidieux. Il y a des questionnaires à remplir et les questions ne sont pas toujours claires. Une fois les questionnaires remplis, il y a souvent des demandes d’informations supplémentaires auprès du courtier d’assurance et/ou du fabricant. Certaines organisations n’ont pas les compétences nécessaires pour bien remplir les questionnaires et font appel à des consultants pour le faire. Avant de signer le questionnaire d’assurance, assurez-vous d’avoir les documents nécessaires.
L’assurance cyberrisque est-elle suffisante ?
Il n’est pas rare d’entendre des entrepreneurs dire qu’ils ont externalisé les risques cyber à leur compagnie d’assurance. Ce modèle a peut-être été viable dans le passé, mais aujourd’hui, si vous ne disposez pas de contrôles de cybersécurité efficaces, aucune compagnie d’assurance raisonnable ne voudra vous assurer. Si vous n’avez jamais fait d’investissement important dans la cybersécurité et que vous avez une cyberassurance, je vous recommande deux choses. Tout d’abord, assurez-vous que vos déclarations sur votre position actuelle en matière de cybersécurité sont vraies. Deuxièmement, vérifiez que votre couverture est adéquate et que votre police n’exclut pas d’emblée les principaux risques auxquels vous faites face. Le processus de résolution d’un litige avec une compagnie d’assurance devant les tribunaux peut être très long et coûteux. Mondelēz a attendu 5 ans. Pouvez-vous vous le permettre?
Préparez-vous à une cyberattaque
Imaginez-vous dans la peau d’un entrepreneur qui reçoit un refus d’indemnisation de sa cyber-assurance parce que le ransomware qui l’a frappé était le résultat d’un acte de guerre.
Comment l’entreprise pourrait-elle savoir?
Comment l’assuré doit-il savoir s’il n’a pas été trompé ?
Posez-vous la question suivante : « En tant qu’assuré, comment vais-je déterminer la cause profonde d’un incident cybernétique sans me fier uniquement à une compagnie autorisée par ma compagnie d’assurance ? » Je crois que des outils et une équipe efficace de réponse aux cyberincidents sont devenus des éléments essentiels pour faire des affaires dans le monde numérique.
Bref, nous sommes tous au centre de la transformation numérique, avec nos bons et nos mauvais côtés. Le cyberespace est un espace où il est désormais difficile de se développer sans connaissance de la cyber sécurité.
C’est la même chose que de partir en voyage en voiture. Il y a des règles que vous devez connaître pour rester en sécurité. Votre voiture doit être équipée d’équipements de protection. C’est pareil sur internet.