La vaste campagne de cyberattaque qui a prévalu en juin 2017 n’a pas encore fini de parler d’elle. Mais cette fois-ci, elle implique les attributions de la cyberassurance. Zurich Insurance Group a refusé de régler 100 millions de dollars de dommages-intérêts suite à la réclamation d'assurance de Mondelez, géant états-unien de l'alimentation, relativement à une cyberattaque de NotPetya. Ce refus a poussé Mondelez à intenter une action en justice contre son assureur devant le tribunal du comté de Cook en Illinois pour refus de paiement suite à la cyberattaque de 2017 [Le siège de Mondelez est dans l'Illinois].De l’avis des experts en sécurité, NotPetya ne serait rien d’autre qu’un wiper déguisé en ransomware, dont l’objectif est de détruire les données de ses victimes. En juin 2017, les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de l’attaque du ransomware WannaCry, une précédente campagne mondiale de cyberattaque. Se propageant comme un ver, NotPetya a infecté de nombreuses entreprises et organisations, notamment TNT, des banques ukrainiennes, des sociétés énergétiques, des aéroports et le géant maritime Maersk.
Mondelez, l'une des principales victimes de l'attaque de NotPetya à l’époque, a vu ses usines perturbées et la production s'est arrêtée alors que le personnel luttait pour reprendre le contrôle de leurs ordinateurs, selon Sensei Enterprises, Inc. Les marges bénéficiaires de Mondelez auraient été affectées à cause de la cyberattaque qui a frappé dans plusieurs pays, y compris la France dont la cellule nationale d’alertes aux menaces informatiques, CERT-FR, a pu identifier quelques capacités de propagation du wiper.
La compagnie d’assurance Zurich a opposé un refus au paiement réclamé par Mondelez au motif que l'attaque de NotPetya de juin 2017 était un acte de cyberguerre et n'était donc pas couverte par la police d’assurance de son client, d’après un article de Sensei. Toutefois, selon Mondelez, sa police d'assurance cybernétique auprès de Zurich couvrait spécifiquement « tous les risques de perte ou de dommage physique » et « tous les risques de perte ou de dommage physique aux données, programmes ou logiciels » dus à « l'introduction malveillante d'un code machine ou d'instructions ». Selon Sensei, le libellé de la police d’assurance de Mondelez est suffisamment large, non seulement, pour couvrir son cas d’attaque par le logiciel malveillant NotPetya, mais également, pour protéger l’entreprise en cas de tout attaque ou de piratage informatique.
Les dommages causés par NotPetya et relevés par la demande d'assurance de Mondelez comprenaient la perte de 1 700 serveurs et 24 000 ordinateurs portables, ainsi que de la perte de milliers de références d'utilisateurs, de commandes en souffrance et autres pertes économiques liées à l'atteinte à la sécurité. Soit des dommages d’un montant de 100 millions de dollars.
Selon Sensei, la compagnie d’assurance a indiqué, au départ, qu'elle pourrait payer 10 millions de dollars, soit environ 10 % du montant total de la réclamation, avant d’invoquer une clause spéciale de « cyberguerre » et de déclarer qu'elle ne paierait rien de la créance. Selon Zurich, la compagnie d’assurance n'est pas responsable du paiement de la créance si NotPetya était en fait « un acte hostile ou guerrier en temps de paix ou de guerre », a rapporté Sensei. Zurich considère la cyberattaque de NotPetya contre Mondelez comme une « cyberguerre », car selon elle, l’attaque a été lancée par des pirates russes travaillant directement avec le gouvernement russe pour déstabiliser l'Ukraine.
Selon Sensei, Zurich, pour soutenir sa décision, a évoqué les déclarations officielles des responsables de la sécurité nationale des gouvernements britannique, canadien et australien, qui ont tous blâmé la Russie pour la cyberattaque de février 2018. « Le gouvernement du Royaume-Uni juge que celui de Russie, spécifiquement l’armée russe, était responsable de la destructive cyberattaque au wiper NotPetya de juin 2017 », a déclaré Lord Ahmad, membre de la Chambre des lords du Royaume-Uni. La CIA avait également conclu en novembre 2017 qu’une direction générale des renseignements de l’État-Major des Forces armées de la Fédération de Russie (GRU) est à l’origine de le NotPetya, même su la Russie a nié tout lien avec NotPetya. De plus, tous ces gouvernements occidentaux ont spécifiquement noté que la première attaque de NotPetya s'est produite en Ukraine avant de s'étendre dans le monde entier pour toucher des entreprises comme Mondelez.
Toutefois, Marsh & McLennan, cabinet international de services professionnels, n’est pas du même avis que Zurich. Selon le cabinet, lorsque NotPetya a frappé des cibles non militaires qui opéraient « dans des endroits éloignés du lieu ou du sujet de la guerre », les dommages causés étaient purement économiques plutôt que de causer des pertes en vies humaines ou des blessures, et « le chaos causé par NotPetya ressemblait davantage à une action de propagande qu'à une action militaire destinée à la « coercition ou à la conquête », à laquelle l'exclusion de la guerre était destinée à résoudre. »
Les dirigeants de Mondelez consternés, ont qualifié les actions de Zurich d’actions « sans précédent », et les initiés de l'industrie de l'assurance ont eux aussi dit que les actions de Zurich pourraient créer un « méchant nouveau précédent » sur ce que couvre la cyberassurance. Le différend Mondelez-Zurich a directement impliqué le domaine de la cyberassurance et beaucoup s'inquiètent maintenant du fait que chaque fois qu'il y a une cyberattaque ou une atteinte à la protection des données, une compagnie d'assurance offrant de la cyberassurance puisse simplement prétendre qu'elle est due à un « acte de cyberguerre » et rejeter la réclamation, a écrit Sensei.
Toutefois, selon Sensei, il revient maintenant à Zurich de réunir les preuves que NotPetya était effectivement un acte de cyberguerre afin de se défendre devant le tribunal du comté de Cook en Illinois. Et ce ne sera pas chose facile selon Sensei, car bien que la Russie ait été blâmée après les cyberattaques au NotPetya, aucune preuve n’a été fournie par les entités dénonciatrices.
Le domaine de la cyberassurance est fortement indexé dans cette affaire aussi pour une autre raison. En effet, en plus du cas Mondelez, le géant maritime Maersk, après évaluation des dommages causés à son activité par NotPetya, les pertes consenties cumuleraient à environ 300 millions de dollars, tandis que le géant mondial de la logistique FedEx affirme que ses pertes seraient également de l'ordre de 300 millions.
Sensei a supposé que si des attaques similaires se produisaient chaque mois contre des grandes entreprises qui détiennent d’énormes quantités de données telles que Maersk et FedEx, ceci entrainerait la chute de toute l'industrie de l'assurance, ou du moins, l'industrie de la cyberassurance. Selon Sensei, les compagnies d’assurance pourraient commencer à refuser de souscrire des polices de cyberassurance pour de grandes organisations qui traitent des données et renseignements personnels.
Toutefois, Matthew McCabe, vice-président sénior de Marsh a déclaré, qu’ « Alors que la gravité des cyberattaques ne cesse de croître, les assureurs et les acheteurs d'assurance réexamineront la question de savoir si l'exclusion liée à la guerre devrait s'appliquer à un cyberincident ».
Source : Sensei, CPO magazine
Et vous ?
Que pensez-vous cette histoire ? Pensez-vous que les cyberattaques, au fur et à mesure que leur gravité devient importante, vont soulever une nouvelle préoccupation concernant la cyberassurance ? Pensez-vous que l'exclusion liée à la guerre devrait s'appliquer à un cyberincident ?Lire aussi
Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation, et donne des recommandations pour l'éviter Le Royaume-Uni attribue la paternité du wiper NotPetya à la Russie par voie officielle, une première en Europe La Russie et la Chine sont les deux principales origines des cyberattaques dans le monde entier, d'après un rapport de Carbon Black Étude : 44 % des entreprises auraient déjà été victimes d'une cyberattaque durant les 12 derniers mois, 9 % des sondés n'ont aucune certitude 
