Victime de NotPetya, Merck trouve finalement un accord avec ses assureurs

La Cour suprême du New Jersey n’aura finalement pas à trancher le contentieux entre Merck et certains de ses assureurs. Un accord amiable a été trouvé juste avant l’ouverture des auditions.

Les racines du dossier remontent à août 2018. Le groupe pharmaceutique avait porté plainte après s’être vu refuser environ 700 M$ d’indemnisations en lien avec une cyberattaque.

Cette cyberattaque, survenue en juin 2017, avait impliqué le ransomware NotPetya. Merck estime qu’elle a touché plus de 30 000 ordinateurs et 7500 serveurs. Et qu’elle lui a coûté, tout frais compris, près d’un milliard et demi de dollars.

L’entreprise et sa captive International Indemnity avaient contracté une assurance de biens « tous risques » à hauteur de 1,75 Md$. Elle couvrait notamment les pertes et dommages résultant de la destruction ou de la corruption de données et de logiciels informatiques.

L’essentiel des polices comprenaient une clause d’exclusion portant sur les pertes ou dommages causés, dans les grandes lignes, par des « faits de guerre » à l’initiative de gouvernements, de pouvoirs souverains de jure ou de facto, ou de toute autorité usant de forces militaires, navales ou aériennes.

À cet égard s’est posée la question de l’origine de NotPetya. Sa première cible avait été un logiciel de comptabilité utilisé en Ukraine. L’attaque était intervenue dans le contexte d’affrontements entre l’armée nationale et des forces séparatistes appuyées par le Kremlin.

Les avocats des assureurs affirmaient pouvoir prouver que la Russie était bien à l’initiative de NotPetya. Et que, par voie de conséquence, l’exclusion s’appliquait bien. Ceux de Merck déclaraient le contraire : il ne s’agissait pas d’une « action étatique ».

Merck l’avait emporté par deux fois

En décembre 2021, le jugement de première instance était tombé. La Haute Cour du New Jersey ne s’était pas tant prononcée sur l’origine de NotPetya que sur les polices d’assurance. Son constat : le langage utilisé n’avait globalement pas varié depuis des années, alors même que les assureurs étaient au courant que « les cyberattaques de formes diverses, parfois de sources privées et parfois d’États-Nations, devenaient plus [fréquentes] ». Il leur revenait de modifier le phrasé pour clarifier leur intention d’exclure ces cyberattaques. À défaut, Merck pouvait raisonnablement supposer que la clause d’exclusion ne s’appliquait qu’à des « formes traditionnelles » de guerre.

En mai 2023, la juridiction d’appel (Cour supérieure du New Jersey) avait confirmé le jugement de première instance. Pour elle, peu importe qu’on doive ou non NotPetya à un « gouvernement ou pouvoir souverain », la clause d’exclusion, telle que rédigeait, n’englobait pas les cyberattaques sur une entreprise civile fournissant un logiciel commercial de comptabilité.

Une affaire similaire a opposé, en parallèle, Mondelez à l’assureur Zurich pour des motifs similaires. Touché à hauteur de 24 000 laptops et 1700 serveurs, le groupe agroalimentaire (Oreo, Cadbury…) réclamait 100 M$ à l’assureur. Les deux parties ont trouvé un accord en 2022.