Alors que le marché de la cyber-assurance est en plein essor, un conflit oppose actuellement Mondelez International, victime d’une attaque informatique en 2017, à son assureur Zurich, qui refuse de l’indemniser. L’issue judiciaire du dossier est cruciale pour les entreprises comme pour les assureurs.
C’est un dossier qui pourrait bien rebattre les cartes du marché international de l’assurance cyber. En effet, le géant américain de l’agroalimentaire, Mondelez International, propriétaire entre autres de la marque Toblerone, a intenté une action en justice contre Zurich American Insurance Company. Le groupe reproche à l’assureur de ne pas l’avoir indemnisé de la somme de 100 millions de dollars pour les dommages causés par la cyber-attaque mondiale «NotPetya» lancée en juin 2017, qui a notamment mis hors service 1 700 de ses serveurs et plus de 24 000 ordinateurs. Dans sa plainte déposée en octobre dernier devant un tribunal de l’Illinois, aux Etats-Unis, Mondelez a expliqué qu’il était pourtant couvert par le contrat d’assurance pour «les dommages et sinistres physiques causés aux données électroniques, aux programmes et aux logiciels, incluant ceux résultant de l’introduction malintentionnée de codes machine ou d’instructions». Mais l’assureur a refusé de faire jouer cette couverture, invoquant la clause d’exclusion prévue dans ledit contrat «pour les actes hostiles ou liés à des guerres ou causés par un gouvernement ou une force souveraine». Une première dans l’histoire de la cyber-assurance ! «Jamais un assureur n’avait invoqué cette clause pour refuser d’indemniser un client», s’étonne Michel Juvin, chief information security officer et membre du Club des experts de la sécurité de l’information ...
