Le différend de longue date sur le sinistre cyber entre Merck et ses assureurs dommages aux biens apérité par Chubb a été tranché en faveur du poids lourd pharmaceutique en première instance, dans une affaire qui met également en lumière les expositions cyber « silencieuses » de l’industrie.
À la fin de la semaine dernière, un tribunal de l’État du New Jersey a statué que les assureurs IARD de Merck ne pouvaient pas s’appuyer sur une clause d’exclusion de guerre ISO standard pour exclure les dommages causés par la cyberattaque NotPetya de 2017, qui a causé environ 1 milliard de dollars de pertes physiques et d’interruption d’activité à la société pharmaceutique après avoir infecté ses systèmes informatiques.
Le célèbre virus NotPetya a été l’une des cyberattaques les plus dommageables lorsqu’on en juge par l’ampleur de son impact.
Merck a estimé que l’attaque lui avait coûté – ainsi qu’à son assureur captif International Indemnity – environ 1 milliard de dollars de pertes et a déclaré le sinistre auprès de son programme IARD mondial apérité par des filiales de Chubb, de plus de 1,3 milliard de dollars.
Alors qu’un petit nombre d’assureurs participant au programme ont réglé leur part dans les années intervenantes y compris Munich Re, CNA Hardy Syndicate 382, Allianz et Mitsui Sumitomo – la plupart des Compagnies se sont alignés avec Chubb et ont contesté la couverture, s’appuyant sur une clause d’exclusion de guerre.
Les syndicats de Lloyd’s impliqués comprenaient : Atrium 609, Argo 1200, Axis 1686, QBE 1886 et 5555, CV Starr 1919, Barbican (Arch) 1955, XL Catlin 2003, Canopius 4444, Liberty Mutual 4472 et Lloyd’s consortium 9536.
Cependant, le tribunal du New Jersey a statué la semaine dernière que même en supposant que l’attaque puisse être considérée comme un « acte hostile » cyber, l’exclusion ne s’appliquait pas aux cyber événements.
Il a été dit que les deux parties à ce contrat étaient conscientes que les cyberattaques sous diverses formes, parfois de sources privées et parfois d’États-nations, sont devenues plus courantes. Malgré cela, les assureurs n’ont rien fait pour changer le libellé de l’exemption afin de mettre raisonnablement cet assuré en demeure qu’il avait l’intention d’exclure les cyberattaques. De toute évidence, ils avaient la capacité de le faire. N’ayant pas changé la rédaction de la police, Merck avait tout à fait le droit de prévoir que l’exclusion ne s’appliquait qu’aux formes traditionnelles de guerre.
Le différend a également mis en évidence que seuls quelques assureurs – tels que XL – avaient imposé des formulations dans leur couverture dommages qui limitaient les expositions au cyber.
Silencieux est le terme inventé dans l’industrie pour sa couverture involontaire donnée aux sinistres cybers potentiels dans les programmes IARD classiques en raison d’un défaut d’ajout de formulations d’exclusion et ce malgré le fait qu’il ne facture pas explicitement une prime supplémentaire pour la couverture.
Mason Courtage
NotPetya a déjà été considéré par PCS comme la pire perte cybernétique de l’industrie, avec des pertes estimées à environ 3 milliards de dollars.
Bien que le sinistre de Merck ait été considéré comme la plus importante réclamation individuelle, l’attaque a également provoqué des différends similaires en matière d’exclusion de guerre avec d’autres demandeurs impliquant Zurich et Hiscox qui ont également subi des pertes.
En plus de sa réclamation importante en dommages aux biens, Merck aurait réclamé séparément auprès de son programme de cybersécurité affirmative de 275 millions de dollars apérité par AIG.
Merck et sa captive ont initialement poursuivi 33 assureurs et réassureurs en août 2018 pour avoir refusé la couverture relative aux dommages causés par l’attaque NotPetya de juin 2017.
Dans les années qui ont suivi l’attaque, les (ré)assureurs ont modifié leur libellé dans les programmes dommages aux biens et tous risques CAT afin d’exclure ou de sous-limiter spécifiquement les cyber expositions.
A ce jour, Janvier 2022, il n’est pas clair si les assureurs envisageaient de faire appel de la décision.
Le jugement peut bien entendu faire l’objet d’un appel. En attendant, cependant, c’est un rappel (très coûteux) de la raison pour laquelle l’industrie a eu raison de s’attaquer au soi-disant cyber phénomène silencieux…