L’affaire opposait Merck à son assureur. Victime en 2017 de NotPetya, le laboratoire demandait que les pertes subies soient couvertes par son assurance. Refus de l’assureur, qui indique ne pas couvrir les dommages dus aux actes de guerre. Aux yeux du tribunal, « guerre » doit être entendu dans son sens ordinaire et, le cas échéant, l’assureur aurait dû inclure les cyberattaques dans le champ des exceptions.
En 2017, le laboratoire pharmaceutique Merck prenait de plein fouet la vague NotPetya. 40 000 postes endommagés. 1,4 milliard de dollars de pertes. Le bilan est lourd pour l’entreprise. Mais, heureusement pour elle, elle avait auparavant souscrit 1,75 milliard de dollars d’assurance tout-risque pour se prémunir contre ce type de dégâts. Pourtant, l’assureur refuse de couvrir les dommages subis.
Guerre et paix
En effet, selon lui, le contrat d’assurance le liant à Merck comprend certaines exceptions à l’assurance tout-risque. Notamment si les pertes ont été provoquées par des actions « hostiles » ou « de guerre » (warlike dans le texte).
Lesdites provisions indiquent : « les pertes ou dommages causés par une action hostile ou de guerre en temps de paix ou de guerre, incluant l’action d’entraver, combattre ou défendre contre une attaque en cours, imminente ou attendue: a) de tout gouvernement ou puissance souveraine (de jure ou de facto) ou toute autorité maintenant ou conservant des forces terrestres ou aériennes ; b) ou de forces militaires terrestres, navales ou aériennes ; c) ou d’un agent d’un tel gouvernement, puissance, autorité ou forces ».
Or, dans le cas de NotPetya, l’assureur souligne que le malware était un instrument du gouvernement russe, ce qui relève du champ des exceptions à la couverture des dommages occasionnés à Merck. Ce dernier défend pour sa part que, même si NotPetya était à l’instigation de la Russie pour déstabiliser l’Ukraine, les exceptions ne sauraient s’appliquer.
Sens ordinaire
Pour la Cour supérieure du New Jersey, saisie de ce litige, il ne s’agit pas de démontrer si oui ou non NotPetya est un outil de la Russie contre l’Ukraine. Le cœur du débat tourne autour de la question : qu’est-ce qu’un acte de guerre, ou un acte hostile ? Depuis la Guerre de Corée, les cours de justice outre-Atlantique bataillent autour de cette considération. Conflits classiques opposant plusieurs nations, guerres civiles, actes terroristes… La décision est un peu complexe, en ce qu’elle cite une longue liste de décisions de justice antérieures.
Le tribunal donne aux termes cités dans les clauses du contrat liant Merck à son assureur leur « sens ordinaire ». Et non pas leur définition juridique, technique, sociologique ou anthropologique ! Il rejoint ce faisant le laboratoire pharmaceutique, qui comprend lesdits termes comme l’usage de forces armées. Ce qui est l’opinion de l’ensemble des décisions antérieures citées. Merck appuie pour sa part qu’aucune cour n’a appliqué le terme de « guerre » ou d’ « acte hostile » à aucune cyberattaque recensée à ce jour.
Faute à l’assureur
La cour du New Jersey estime en outre que les deux parties sont conscientes que les attaques informatiques sont devenues monnaie courante et que, « en dépit de cela, les assureurs n’ont rien fait pour modifier le langage de l’exemption de sorte à raisonnablement mettre en demeure l’assuré de son intention d’exclure les cyberattaques [de la couverture tout-risque] ».
Puisque l’assureur n’a pas modifié les clauses d’exclusion, le juge considère que Merck avait toutes les raisons de penser que les exceptions à son assurance tout-risque ne s’appliquait qu’aux formes « conventionnelles » de guerre. Le laboratoire, plaignant dans cette affaire, l’emporte donc et est légitime à réclamer le remboursement de ses pertes. Une décision qui fait l’effet d’une bombe dans le monde des assurances aux Etats-Unis.