Dans le contexte actuel marqué par plusieurs cyberattaques, les entreprises du monde entier doivent faire face à des menaces numériques dont l’impact est souvent majeur. Ces attaques, souvent attribuées à des acteurs étatiques ou à des groupes organisés, imbriquent des enjeux économiques, géopolitiques et de souveraineté numérique. L’affaire NotPetya, un malware qui a frappé de plein fouet le groupe pharmaceutique Merck en 2017, illustre parfaitement cette dynamique complexe mais aussi ses répercussions sur le secteur de l’assurance.
Les assurances cyber-risques, une promesse fragile ou un véritable bouclier ?
Depuis plusieurs années, les entreprises cherchent à se prémunir contre les risques d’attaques informatiques et à protéger leurs infrastructures. Cependant, la rapidité avec laquelle ces menaces évoluent met en lumière les limites des mécanismes traditionnels, y compris les assurances cyber.
Proposées par les grands groupes d’assurance, les garanties offertes par ces assurances couvrent essentiellement les pertes financières causées par une attaque. Toutefois, elles ne suffisent pas à protéger contre des atteintes plus profondes. Une intrusion peut exposer des secrets industriels, entraîner le vol de propriété intellectuelle ou la destruction de données stratégiques, mettant ainsi en péril l’avenir et le fonctionnement d’une organisation, et ce, malgré les clauses prévues dans son contrat. Lorsqu’une entreprise se voit perdre ses brevets, ses informations stratégiques ou son avance technologique, sa compétitivité est impactée à long terme. Aucune indemnisation n’a la capacité ou les outils nécessaires pour compenser pleinement une telle perte sur le marché. Si les cyberassurances aident à limiter certains risques et leurs conséquences, elles ne couvrent pas l’ensemble des préjudices liés à la perte d’actifs immatériels.
Dans la plupart des cas, ces assurances incluent des clauses d’exclusion ou des mentions légales qui limitent la prise en charge totale en cas de cyberattaque. Les clauses d’exclusion précisent les situations dans lesquelles l’assureur ne prendra pas en charge les dommages, par exemple en cas de négligence de l’assuré, de non-respect des mesures de cybersécurité minimales. De même, certaines mentions légales peuvent fixer un plafond d’indemnisation ou imposer des conditions strictes pour bénéficier de la couverture, ce qui peut entraîner une prise en charge partielle ou inexistante des pertes subies.
En fonction de l’origine de l’attaque, de son impact ou de sa qualification juridique, certaines organisations peuvent se retrouver non indemnisées, bien qu’elles soient assurées. Un autre exemple parlant est celui de Sony Pictures, victime d’une cyberattaque en 2014 menée par le groupe de hackers Guardians of Peace (GOP), qui serait lié à la Corée du Nord. L’attaque a provoqué la fuite de nombreuses données sensibles – des films inédits, des échanges d’e-mails confidentiels et des informations sensibles sur les employés – . Pour Sony, les conséquences ont été désastreuses, tant sur le plan financier que pour son image. Pourtant, malgré l’ampleur des dégâts, l’entreprise n’a pas pu être indemnisée comme elle l’espérait. Son contrat de cyberassurance exclut en effet les attaques menées par des États ou considérées comme des actes de guerre, laissant Sony seul face aux pertes.
Affaire Merck : une cyberattaque qui redéfinit les clauses d’assurance
En 2017, le géant de la pharmacie Merck a été victime d’une cyberattaque par NotPetya, un malware destructeur. Des acteurs, comme le gouvernement américain, mais aussi des experts en cybersécurité et en géopolitique, ont indiqué que ce malware ressemblait fortement à une opération de cyber-guerre, à une période où les tensions entre l’Ukraine et la Russie étaient déjà très importantes. NotPetya visait principalement l’Ukraine et s’est propagé via une mise à jour piégée du logiciel de comptabilité M.E.Doc, largement utilisé par les entreprises opérant dans le pays. Bien que Merck ait été un «dommage collatéral» de cette cyberattaque, l’entreprise a subi des pertes majeures, ce qui l’a poussée à faire appel à son assurance pour obtenir une indemnisation.
L’ampleur de l’attaque qui a détruit les données de 40 000 ordinateurs du groupe, n’a pas seulement entraîné des pertes financières estimées à 1,4 milliard de dollars. Elle a également ouvert un débat juridique sur la définition des cyberattaques dans le cadre des contrats d’assurance. Merck était confronté à une clause d’exclusion invoquée par ses assureurs, qui qualifiaient l’attaque NotPetya d’ « acte de guerre », une notion historiquement liée aux conflits armés traditionnels mais désormais transposée au cyberespace. C’est sur cette base que les assureurs de Merck ont refusé d’indemniser l’entreprise, en s’appuyant sur une clause de leur contrat qui exclut les dommages causés par la guerre. Cette affaire montre les difficultés rencontrées pour les entreprises lorsqu’elles tentent d’obtenir une indemnisation après une cyberattarque.
Cette décision, rendue par la juridiction de l’État du New Jersey, a non seulement renforcé la position de Merck, mais elle a également aussi conduit vers un débat juridique sur la définition des cyberattaques dans le cadre des contrats d’assurance. En 2022, la justice américaine a statué en faveur de Merck, estimant que les clauses relatives aux « actes de guerre » ne s’appliquent pas aux cyberattaques d’origine étatique, faute de mentions explicites dans les contrats. Ce jugement a contraint les assureurs à revoir la formulation de leurs polices, et la nécessité d’adapter les clauses contractuelles aux nouvelles formes de menace qui émergent.
Aujourd’hui, la cybersécurité s’impose comme un enjeu stratégique pour les États, mais surtout pour les grandes entreprises. Les assurances cyber peinent cependant à répondre pleinement aux besoins des acteurs économiques. Les évolutions contractuelles récentes, comme celles menées par le marché de Lloyd’s de Londres en 2023, montrent une volonté de clarifier les exclusions et de mieux délimiter les responsabilités. Ce choix, qui peut sembler contre-intuitif puisqu’il limite l’attractivité des couvertures proposées, s’explique par le besoin de protéger le marché contre des sinistres de plus en plus récurrents. Cette approche d’autorégulation met aussi en évidence les tensions constantes entre les assureurs et les législateurs. Les compagnies d’assurance savent tirer parti des zones d’ombre juridiques qui entourent encore la responsabilité en cas de cyberattaque. Même si quelques décisions de justice commencent à donner des repères, les règles restent floues, ce qui leur permet de limiter leurs obligations. De leur côté, les autorités tardent à encadrer plus strictement ces pratiques, peut-être par manque de moyens pour suivre l’évolution rapide des menaces, ou parce qu’elles préfèrent ne pas freiner un marché encore en pleine expansion. Cependant, ces modifications ne garantissent pas une meilleure protection pour les entreprises, qui restent encore aujourd’hui face à des exclusions et des clauses qui limitent leur indemnisation en cas de cyberattaque.
Les APT, un véritable casse-tête pour les assureurs
De plus , les attaques APT (Advanced Persistent Threat) sont un véritable casse-tête pour les assureurs. Contrairement aux cyberattaques classiques, qui peuvent être rapidement détectées et stoppées, les APT s’infiltrent discrètement et restent en place pendant des mois, voire des années. Pendant tout ce temps, elles volent des informations sensibles et menacent la sécurité économique des entreprises ciblées. Leur nature furtive pose un problème majeur : lorsqu’une entreprise découvre trop tard qu’elle a été piratée, il est très difficile de prouver qu’elle a été victime d’une APT et d’obtenir une indemnisation. Le problème s’aggrave lorsque l’attaque est attribuée à un État ou à un groupe lié à un gouvernement. C’est ce qui s’est passé dans l’affaire Merck, où l’assureur a refusé de payer en invoquant une clause d’exclusion pour « acte de guerre » ou « attaque d’origine étatique ». Dans ce contexte, l’assurance cyber est essentielle, mais elle ne suffit pas. Mal comprise, elle peut même donner un faux sentiment de sécurité aux entreprises, qui se croient protégées alors qu’en réalité, elles restent vulnérables.
Cyberassurance et cybersécurité, un duo indissociable?
La meilleure approche pour une entreprise n’est donc pas de compter uniquement sur l’assurance, mais de renforcer sa propre sécurité en interne. Cela passe par plusieurs actions clés : former ses équipes aux bons réflexes face aux cybermenaces, préparer une stratégie pour gérer les crises et protéger sa réputation, respecter les obligations légales, bien identifier et sécuriser ses données sensibles, et mettre en place des mesures de protection informatique solides.
Autrement dit, une entreprise doit voir l’assurance comme un filet de sécurité et non comme un bouclier absolu. La meilleure défense reste la prévention et une bonne connaissance des menaces pour mieux s’en protéger. Chaque événement, qu’il soit numérique ou géopolitique, s’inscrit dans une dynamique d’influence et de rapports de force. L’affaire NotPetya, tout comme les crises historiques entre nations, montre que les entreprises doivent non seulement renforcer leurs défenses techniques, mais aussi s’assurer que leurs contrats d’assurance couvrent véritablement les risques auxquels elles sont exposées. Si les exclusions se multiplient, les assurances cyber risquent de perdre leur rôle protecteur pour devenir un simple instrument financier aux bénéfices limités.
Ainsi, l’affaire NotPetya met en lumière un dilemme : si les assurances cyber peuvent offrir une protection financière, elles ne remplacent pas des mesures de prévention solides. Pour les entreprises, la clé réside dans une approche intégrée, combinant polices adaptées et investissements en cybersécurité. Ce cas soulève une question fondamentale : les assurances cyber sont-elles réellement un filet de sécurité fiable ou un compromis vulnérable face à des menaces globales tel que le cyber ?
Cristina Gurau pour le Club Cyber de l’AEGE
Pour aller plus loin :
- La cyber-assurance, nouveau moyen de lutte contre la violation des données
- Le crime organisé dans le cyber : le pouvoir des entreprises de services numériques face aux États
Formation à la cybersécurité des TPE et des PME : Référentiel pédagogique pour les organismes de formation