Résumé
- Merck a divulgué que la cyberattaque du réseau du 27 juin 2017 a perturbé les opérations mondiales, y compris la fabrication, la recherche et les ventes. Son formulaire 10-K de 2017 indiquait que l'attaque avait eu un effet défavorable sur les ventes de 2017 d'environ 260 millions de dollars et avait entraîné 285 millions de dollars de dépenses de fabrication et de remédiation, nettes d'environ 45 millions de dollars de recouvrements d'assurance.
- Le formulaire 10-K de 2018 de Merck a ensuite indiqué que les ventes de 2018 avaient été affectées défavorablement à hauteur d'environ 150 millions de dollars en raison du carnet de commandes résiduel, et que des litiges subsistaient avec certains assureurs concernant certaines couvertures d'assurance pour les réclamations liées à la cyberattaque de 2017.
- L'arrêt d'appel du New Jersey a décrit le programme d'assurance comme étant constitué de vingt-six polices d'assurance tous risques couvrant les biens, pour une limite totale de 1,75 milliard de dollars au-dessus d'une franchise de 150 millions de dollars, et a précisé que la couverture contestée en appel s'élevait à 699 475 000 dollars, soit un peu moins de quarante pour cent de la couverture totale de Merck pour la période d'assurance.
- Ce même arrêt a confirmé que l'exclusion pour « actes hostiles ou de guerre » ne faisait pas obstacle à la couverture dans les circonstances présentées. Il s'agissait d'une décision sur la couverture, et non d'un règlement public définitif de tous les paiements, de tous les assureurs ou de toutes les catégories de pertes.
- L'appel devant la Cour suprême du New Jersey s'est ensuite terminé par un règlement à l'amiable et un désistement avant qu'une décision ne soit rendue sur le fond. Les comptes rendus publics ont décrit le règlement comme confidentiel ou non divulgué, de sorte que le règlement ne doit pas être considéré comme une répartition publique finale des montants payés et dus.
- La leçon durable en matière de responsabilité est plus précise que la légende: NotPetya a fait de la résilience des entreprises, de la continuité de l'approvisionnement pharmaceutique, de la comptabilité des pertes, de l'attribution et de la rédaction des polices d'assurance des éléments d'un même dossier de preuves.
NotPetya a transformé la dépendance ordinaire des entreprises en un risque pour l'approvisionnement en médicaments
L'expérience de Merck avec NotPetya est importante parce qu'elle relie une perturbation du domaine Windows à l'échelle mondiale aux opérations pharmaceutiques, puis à la couverture d'assurance. L'incident n'était pas simplement un problème relevant du service informatique. Merck a informé les investisseurs que la cyberattaque du réseau du 27 juin 2017 avait perturbé les opérations mondiales, y compris la fabrication, la recherche et les ventes. Une entreprise qui fabrique des vaccins, des médicaments sur ordonnance et des produits de santé animale ne peut pas traiter ce type de perturbation comme un simple nettoyage de routine.
Les documents clés de l'entreprise commencent par leformulaire 10-K de 2017 de Merck. Merck y indiquait que la cyberattaque avait entraîné une perturbation des opérations mondiales, y compris la fabrication, la recherche et les ventes. Elle précisait que tous les sites de fabrication étaient opérationnels au moment du dépôt et fabriquaient des principes actifs pharmaceutiques, formulaient, emballaient et expédiaient des produits. Elle ajoutait que la fabrication externe n'avait pas été touchée et que Merck continuait à honorer les commandes et à expédier des produits. Ces déclarations sont importantes car elles empêchent toute exagération. Le document public ne dit pas que Merck a arrêté toute la fourniture de médicaments dans le monde entier indéfiniment. Il indique que l'entreprise a connu une perturbation grave tout en continuant à expédier des produits et en rétablissant par la suite tous les sites de fabrication.
Le même document a quantifié l'impact sur l'activité. Merck a déclaré qu'elle n'avait pas été en mesure d'honorer les commandes de certains produits sur certains marchés, ce qui a eu un effet défavorable sur les ventes de 2017 d'environ 260 millions de dollars. Elle a également enregistré des dépenses liées à la fabrication, principalement des écarts défavorables de fabrication, ainsi que des dépenses de remédiation dans les catégories administratives et de recherche et développement, pour un total de 285 millions de dollars en 2017, nettes de recouvrements d'assurance d'environ 45 millions de dollars. Merck prévoyait également que le carnet de commandes résiduel aurait un effet défavorable sur les ventes de 2018 sur certains marchés à hauteur d'environ 200 millions de dollars.
Le canal de communication publique de Merck est important parce qu'il ne s'agissait pas d'estimations approximatives faites lors d'une interview de presse. Lapage des documents SEC pour les investisseurs de Merckrenvoie les investisseurs au dossier officiel, et les rapports annuels ont placé la cyberattaque dans les discussions sur les risques, les résultats d'exploitation et les assurances. Cela donne à l'incident une couche de responsabilité publique que de nombreux cas de ransomware n'ont pas. Les documents ne montrent pas le dossier de sinistre interne, mais ils montrent le point de vue public de la direction sur l'effet sur les ventes, la comptabilisation des dépenses, le rétablissement de la fabrication, les recouvrements d'assurance et les litiges de couverture restants. Pour les conseils d'administration, cette combinaison est la forme minimale utile de divulgation des cyberpertes: catégorie opérationnelle, mesure financière, période, état d'avancement du rétablissement et incertitude.
Ce chiffre prévisionnel a changé au fur et à mesure que le dossier s'étoffait. Dans sonformulaire 10-K de 2018, Merck a de nouveau décrit la cyberattaque du réseau de 2017 et a indiqué que les ventes de 2018 avaient été affectées défavorablement sur certains marchés à hauteur d'environ 150 millions de dollars en raison de la cyberattaque. Le document a repris le chiffre de 2017 d'un effet sur les ventes d'environ 260 millions de dollars et de 285 millions de dollars de dépenses, nettes d'environ 45 millions de dollars de recouvrements d'assurance. Il précisait également que Merck disposait d'une couverture d'assurance contre les coûts résultant des cyberattaques, avait reçu des produits d'assurance et avait des litiges avec certains assureurs concernant la disponibilité de certaines couvertures d'assurance pour les réclamations liées à la cyberattaque de 2017. Unformulaire 10-Q du troisième trimestre 2018a montré la transition: les effets sur les ventes au cours des neuf premiers mois de 2018 étaient d'environ 150 millions de dollars, y compris un impact non significatif au troisième trimestre, tandis que les coûts de fabrication et de remédiation au cours des neuf premiers mois de 2018 étaient non significatifs.
Ces documents sont plus utiles que des estimations générales de pertes, car ils divisent le problème en catégories opérationnelles. Les pertes de ventes étaient liées à des commandes non honorées sur certains marchés. Les coûts de fabrication étaient liés à des écarts défavorables et au rétablissement. Les coûts de remédiation étaient liés à des travaux administratifs et de recherche. Des recouvrements d'assurance ont été perçus, mais toutes les couvertures n'étaient pas incontestées. Une défaillance de la continuité pharmaceutique devenait donc un problème de preuve: qu'est-ce qui a été perdu, où, pourquoi, pendant combien de temps, en vertu de quel libellé de police, avec quelle franchise et avec quelles exclusions?
Le dossier judiciaire a donné au litige d'assurance une colonne vertébrale technique
Le document contentieux public le plus détaillé est l'arrêt de 2023 de la Division d'appel du New Jersey, disponible via lePDF officiel des tribunaux du New Jerseyetla copie de Justia de l'affaire Merck & Co., Inc. c. ACE American Insurance Co.. L'arrêt n'est pas un rapport technique d'incident, et il ne doit pas être lu comme le dossier médico-légal complet de Merck. Il est, en revanche, exceptionnellement clair sur les parties du dossier qui importaient pour le litige d'assurance.
Le tribunal a décrit que Merck demandait un jugement déclaratoire en vertu de vingt-six polices d'assurance tous risques couvrant les biens pour les pertes causées par l'attaque par malware de juin 2017 connue sous le nom de NotPetya. Le programme d'assurance courait du 1er juin 2017 au 1er juin 2018 et avait une limite totale de 1,75 milliard de dollars au-dessus d'une franchise de 150 millions de dollars. Le tribunal a indiqué que les parties contestaient 699 475 000 dollars de couverture, soit un peu moins de quarante pour cent de la couverture totale de Merck pour la période d'assurance. Ces chiffres ne représentent pas le coût économique total de Merck; il s'agit du montant de la couverture contestée dans ce dossier d'appel. La distinction est importante car une perte peut être plus ou moins importante que le montant en jeu dans un appel juridique particulier.
L'arrêt a également résumé la manière dont le malware a pénétré et s'est propagé selon le dossier soumis au tribunal. Il a décrit M.E.Doc, un logiciel de comptabilité ukrainien utilisé par Merck et d'autres entreprises faisant des affaires en Ukraine, et un mécanisme de mise à jour compromis. L'arrêt indique que Merck a reçu des mises à jour malveillantes via un serveur situé en Ukraine qui vérifiait automatiquement les nouvelles versions de M.E.Doc. Il décrit NotPetya comme se présentant comme un ransomware, chiffrant certaines données, rendant les systèmes inaccessibles et laissant les systèmes infectés inutilisables. En quatre-vingt-dix secondes, selon l'arrêt, environ 10 000 machines du réseau mondial de Merck ont été infectées; en cinq minutes, environ 20 000 machines l'étaient; finalement, plus de 40 000 machines ont été infectées.
Cette échelle explique pourquoi il ne s'agissait pas simplement d'un problème local de bureau en Ukraine. Le malware a atteint un réseau d'entreprise mondial assez rapidement pour faire de la résilience centrale, de l'identité, des correctifs, des sauvegardes et de la segmentation du réseau des éléments d'un même dossier de responsabilité. Le tribunal a cité la position de Merck selon laquelle NotPetya a mis hors ligne les installations de production et les applications critiques et a massivement perturbé les opérations, y compris la fabrication, la recherche et le développement et les ventes. Il s'agit d'un langage de dossier contentieux, non d'un substitut à un détail opérationnel usine par usine. Mais il correspond aux déclarations de Merck auprès de la SEC, qui décrivaient une perturbation de la fabrication, de la recherche et des ventes.
Des sources techniques publiques étayent le contexte général de NotPetya. L'alerte de la CISA sur le ransomware Petyaa averti en juin 2017 de la campagne et des mesures d'atténuation. L'analyse de Microsoft de juin 2017a décrit le malware comme combinant des techniques de ransomware avec une propagation de type ver et un abus de justificatifs d'identité. LeNational Cyber Security Centre du Royaume-Unia par la suite attribué NotPetya au renseignement militaire russe dans le cadre d'un dossier d'attribution publique plus large, et ladéclaration de la Maison Blanchea décrit NotPetya comme faisant partie d'une cyberattaque imprudente et aveugle. Ces déclarations publiques gouvernementales sont importantes pour le contexte géopolitique. Elles n'ont pas automatiquement tranché la question du contrat d'assurance dans le New Jersey.
Les contrôles opérationnels sous-entendus par ce contexte technique sont familiers mais difficiles à grande échelle. LeNIST SP 800-61 Rév. 2décrit la gestion des incidents comme la préparation, la détection et l'analyse, le confinement, l'éradication, le rétablissement et l'activité post-incident. Dans un événement de l'ampleur de NotPetya, ces phases ne s'enchaînent pas de manière nette. Une entreprise peut encore détecter des hôtes affectés tout en confinant des segments de réseau, en rétablissant des systèmes métier urgents, en préservant des preuves et en informant la direction. Le point pour Merck n'est pas que les sources publiques prouvent comment elle a exécuté chaque phase. Le point est que l'échelle de l'événement a fait de la gestion des incidents une fonction de gouvernance d'entreprise plutôt qu'une file d'attente du service d'assistance.
Les orientations en matière de continuité renforcent la même leçon. LeNIST SP 800-34 Rév. 1encadre la planification de la continuité autour de l'impact sur l'activité, des priorités de rétablissement, des traitements alternatifs et des tests de plan. LeGuide sur les ransomwares de la CISAmet l'accent sur la préparation, les sauvegardes, le confinement et le rétablissement pour les incidents de ransomware, tandis que le caractère destructeur de NotPetya signifie qu'il ne doit pas être traité comme un ransomware classique récupérable. Ces sources ne jettent pas la faute sur Merck. Elles aident à expliquer pourquoi les opérations pharmaceutiques ont besoin de chemins de rétablissement testés pour l'identité, le support de fabrication, la documentation de libération, les systèmes de vente et les enregistrements d'expédition avant que le malware n'atteigne des dizaines de milliers de machines.
La décision sur l'exclusion de guerre concernait le libellé de la police, et non l'attribution morale
Le combat juridique est souvent simplifié comme suit: « NotPetya était-il un acte de guerre? » L'arrêt d'appel a été plus prudent. Les assureurs ont invoqué une exclusion pour actes hostiles ou de guerre. Ils ont fait valoir que la couverture était exclue parce que NotPetya aurait été orchestrée par des acteurs travaillant pour ou au nom de la Fédération de Russie. Merck a contesté l'application de l'exclusion. Le tribunal de première instance a accordé un jugement sommaire partiel en faveur de Merck, estimant que l'exclusion ne s'appliquait pas pour exclure la couverture. La Division d'appel a confirmé.
Le raisonnement de l'arrêt est important car il sépare l'attribution de l'interprétation du contrat. Le tribunal a noté que les parties contestaient l'attribution, et que le tribunal de première instance n'avait pas eu besoin d'aborder la question de l'attribution pour accorder le jugement sommaire partiel. La Division d'appel a déclaré que le libellé clair de l'exclusion ne soutenait pas l'interprétation des assureurs. Elle a expliqué que l'exclusion des dommages causés par une action hostile ou de guerre par un gouvernement ou une puissance souveraine, en temps de guerre ou en temps de paix, exigeait une action militaire. L'exclusion ne disait pas que les dommages résultant de toute action gouvernementale motivée par de mauvaises intentions étaient exclus.
Le tribunal s'est également concentré sur une formulation raisonnable de la police. Il a convenu avec le tribunal de première instance que les assureurs savaient que les cyberattaques de diverses formes, parfois provenant d'États-nations, étaient devenues plus courantes, mais qu'ils n'avaient pas modifié le libellé de la police pour avertir raisonnablement l'assuré que les cyberattaques seraient exclues. Le tribunal d'appel a déclaré que le libellé clair de l'exclusion n'incluait pas une cyberattaque contre une entreprise non militaire qui fournissait des logiciels de comptabilité à des fins commerciales à des consommateurs non militaires, que l'attaque soit orchestrée par un acteur privé ou un gouvernement ou une puissance souveraine. Il a estimé que les assureurs n'avaient pas satisfait à la charge de la preuve leur incombant de démontrer que l'exclusion pouvait équitablement s'appliquer à NotPetya.
Cette décision doit être décrite avec précision. Elle ne dit pas que les cyberattaques ne peuvent jamais être exclues. Elle ne dit pas que l'attribution gouvernementale n'est pas pertinente dans toutes les polices. Elle ne dit pas que les exclusions de guerre n'ont pas d'application future aux cyberopérations. Elle ne décharge pas Merck de toute responsabilité pour chaque décision de résilience. Elle dit que, dans le cadre des polices et des circonstances soumises au tribunal, les assureurs n'ont pas démontré que l'exclusion pour actes hostiles ou de guerre empêchait la couverture.
Cette distinction est l'endroit où la responsabilité d'assurance devient opérationnelle. Les assureurs contrôlent la rédaction, les exclusions, les sous-limites, les avenants, les questions de souscription et la tarification des primes. Les assurés contrôlent la manière dont ils décrivent les actifs, l'exposition aux interruptions, les objectifs de rétablissement et les dépendances cybernétiques. Les tribunaux contrôlent l'interprétation du libellé de la police après un litige. Si une police vendue avant le sinistre n'exclut pas clairement les cyberopérations liées à un État, un assureur peut courir le risque que le libellé ordinaire des polices tous risques couvrant les biens couvre plus que ce qu'il avait prévu par la suite. Si un assuré compte sur l'assurance des biens comme transfert de cyber-perte, il peut faire face à des années de litige avant que l'argent ne soit certain.
L'affaire Merck n'a donc pas simplement demandé si NotPetya était mauvais. Tout le monde s'accordait à dire qu'il était destructeur. Elle a demandé qui avait converti ce cyber-risque en un risque de biens réparti contractuellement et si le libellé de l'exclusion était suffisamment clair pour renvoyer la perte à Merck. La réponse du tribunal a favorisé Merck sur cette exclusion. Le règlement ultérieur a mis fin au combat restant sans carte publique finale des paiements.
Le règlement a mis fin à l'appel, pas au manque de preuves publiques
Après la décision de la Division d'appel, les assureurs ont demandé un examen par la Cour suprême du New Jersey. Des rapports publics de janvier 2024 ont indiqué que Merck et les assureurs avaient réglé avant l'audience prévue.Reuters a rapportéque Merck avait réglé avec les assureurs au sujet de la réclamation pour cyberattaque NotPetya, etInsurance Journal a rapportéque les termes du règlement n'avaient pas été divulgués.Cybersecurity Dive a également rapportéque les parties avaient résolu le combat d'assurance très médiatisé avant que la Cour suprême du New Jersey ne puisse se prononcer. La couverture juridique publique et le dossier du tribunal ont décrit un abandon suite à un règlement plutôt qu'une décision sur le fond de la plus haute cour de l'État.
Cet état final est important. L'arrêt de la Division d'appel reste une importante décision publiée sur la couverture, mais la Cour suprême n'a pas rendu de décision finale sur le fond. Le règlement n'a pas révélé publiquement combien chaque assureur a payé, si chaque catégorie de couverture contestée a été payée, comment les frais de défense et les intérêts ont été traités, ou si l'une ou l'autre partie a conservé des positions non publiques. Pour la responsabilité publique, le règlement est la preuve que les parties ont résolu le litige, et non la preuve d'une allocation publique complète des pertes.
C'est pourquoi il est risqué de citer un seul chiffre phare comme étant « le coût NotPetya de Merck ». Le dossier judiciaire a décrit 699 475 000 dollars de couverture contestée en appel. Les articles de presse ont décrit une revendication plus large que les rapports publics ont souvent arrondie à environ 1,4 milliard de dollars. Les documents de Merck donnaient séparément des effets sur les ventes et les dépenses pour 2017 et 2018 et décrivaient les recouvrements d'assurance. Ceux-ci sont liés, mais ce ne sont pas la même mesure. Une réclamation d'assurance peut inclure des dommages aux biens, une interruption d'activité, des dépenses supplémentaires et d'autres catégories assurées. Un effet sur les ventes est une mesure de revenu. La variance de fabrication est une catégorie de dépense comptable. Un règlement est une résolution négociée. Les traiter comme interchangeables rendrait le dossier plus certain qu'il ne l'est.
L'absence de preuves est particulièrement importante pour les marchés du cyber-risque. Les assureurs, les courtiers, les gestionnaires de risques d'entreprise, les conseils d'administration et les entités du secteur public ont observé Merck parce que la décision affectait les attentes concernant les cyberpertes couvertes par les polices de biens. Mais le règlement public ne donne pas de règle judiciaire finale de la Cour suprême du New Jersey ni de comptabilité actuarielle publique. Les assureurs pourraient toujours réagir en modifiant le libellé. Les assurés pourraient toujours réagir en souscrivant une couverture cyber dédiée, en exigeant un libellé de guerre plus clair ou en cartographiant les chevauchements entre les polices de biens et les cyber-policies plus soigneusement. La leçon du marché n'est pas que le scénario factuel de Merck produira toujours une couverture. C'est qu'un libellé ambigu ou ancien peut laisser une énorme allocation de cyber-perte non résolue pendant des années.
La continuité pharmaceutique avait un profil d'intérêt public différent
Le dossier NotPetya est différent de nombreuses histoires de malwares d'entreprise parce que l'activité affectée de Merck comprenait des vaccins et des médicaments. Les documents publics identifient les produits pharmaceutiques et les produits de santé animale sur les marchés mondiaux. Un fabricant pharmaceutique ne perd pas seulement de la productivité de bureau lorsqu'une cyberattaque frappe les systèmes de fabrication et d'expédition. Il peut être confronté à des décisions d'allocation de produits, à des retards de libération de lots, à des pénuries de marché, à une incertitude d'inventaire, à des défis logistiques à température contrôlée, à des problèmes de documentation réglementaire et à des conséquences pour les patients ou les prestataires. Le dossier public ne permet pas de cartographier complètement les dommages produit par produit, mais les documents de Merck eux-mêmes montrent que certaines commandes sur certains marchés n'ont pas pu être honorées.
Le formulaire 10-K de 2017 indiquait également que l'arrêt temporaire de la production a contribué à l'incapacité de Merck à répondre à une demande plus élevée que prévu pour le Gardasil 9. Cette déclaration doit être traitée avec prudence. Cela ne signifie pas que NotPetya a causé à lui seul tout le déséquilibre demande-offre pour ce vaccin. Cela signifie que Merck a identifié l'arrêt comme un facteur contributif. L'article ne doit pas gonfler cela en une constatation publique de préjudice pour les patients, de violation réglementaire ou de large pénurie de vaccins causée uniquement par le malware. Le point est plus précis: la récupération après un malware peut entrer en collision avec la capacité de production et la demande d'une manière qui importe en dehors de la comptabilité de l'entreprise.
La continuité du secteur public fait partie de cette histoire même si Merck est une entreprise privée. Les gouvernements, les programmes de santé publique, les hôpitaux, les cliniques, les pharmacies, les écoles et les patients peuvent compter sur un approvisionnement pharmaceutique régulier. Lorsqu'un fabricant ne peut pas honorer certaines commandes sur certains marchés, les conséquences peuvent passer dans les systèmes d'approvisionnement et la planification des services de santé. Leprogramme sur les pénuries de médicaments de la FDAmontre comment la disponibilité des médicaments est traitée comme une préoccupation publique, même si la page de la FDA n'est pas une constatation concernant l'événement NotPetya de Merck. L'optique de l'intérêt public est justifiée par la nature des produits, et non par une constatation publique que NotPetya a causé une pénurie réglementaire spécifique.
Les petites et moyennes entités apparaissent également en aval. Les cliniques indépendantes, les pharmacies, les distributeurs, les cabinets vétérinaires et les prestataires de santé locaux peuvent ne pas avoir un accès direct aux preuves de rétablissement opérationnel de Merck. Ils voient la disponibilité, les substitutions, les retards de commande et la communication. Si un fabricant dit que les commandes sur certains marchés ne peuvent pas être honorées, les contreparties plus petites ont besoin de signaux transparents sur l'état et d'une allocation équitable. Ils ne peuvent pas inspecter un projet de rétablissement d'entreprise mondiale. Cette asymétrie explique pourquoi le dossier de continuité importe pour plus que les actionnaires et les assureurs.
Le langage de la continuité des activités est utile ici car il maintient l'analyse liée à la livraison plutôt qu'au sensationnel. La normeISO 22301décrit la gestion de la continuité autour de la capacité d'une organisation à continuer à fournir des produits et services dans des délais et des capacités acceptables. Pour une entreprise pharmaceutique, ce concept est concret: la production de principes actifs, la formulation, l'emballage, la libération de la qualité, l'expédition, l'allocation des marchés, le service client et la documentation réglementaire doivent tous se rejoindre après un événement cybernétique perturbateur. Le dossier public ne prouve pas que chacune de ces fonctions a échoué chez Merck, mais les documents de Merck eux-mêmes confirment que la fabrication, la recherche, les ventes, les commandes et le carnet de commandes ont été suffisamment affectés pour exiger une divulgation publique.
La dimension de santé publique complique également la répartition des coûts. Si une entreprise engage des dépenses supplémentaires pour maintenir un produit disponible, cela peut apparaître comme un coût financier dans un dossier et un succès de continuité dans un autre. Si elle ne peut pas honorer les commandes sur certains marchés, cela peut apparaître comme des ventes perdues tandis que les contreparties le vivent comme un stress d'approvisionnement. Si la fabrication externe n'est pas touchée, comme Merck l'a divulgué, cela peut aider à préserver l'approvisionnement mais n'élimine pas les coûts de rétablissement interne. L'assurance et la responsabilité publique posent donc des questions différentes: l'assureur demande si la dépense correspond à la police; le public demande si les produits essentiels ont continué à circuler avec des informations justes et précises.
Cette différence devrait façonner les exercices d'incident. Un exercice cybernétique pharmaceutique qui se termine lorsque les systèmes sont rétablis manque la question de l'approvisionnement. L'exercice devrait demander quels produits sont contraints, quels marchés sont exposés, quels documents de libération réglementaire sont retardés, quels clients ont besoin d'une orientation d'allocation et quelles agences publiques peuvent avoir besoin d'un avertissement précoce. Il devrait également demander quelles preuves sont conservées pour les assureurs et quelles preuves sont conservées pour l'assurance de l'approvisionnement. Ce sont des dossiers liés mais non identiques. Un assureur peut avoir besoin de factures, de coûts de reconstruction du système, de calculs d'interruption d'activité et de support de causalité. Une partie prenante de la santé publique ou de l'approvisionnement peut avoir besoin d'un état des lieux, d'une justification de l'allocation, d'un calendrier de remplacement et de la confiance que les registres de qualité des produits restent intacts.
Maintenir ces dossiers séparés évite deux erreurs. La première erreur est de laisser le langage de l'assurance définir l'histoire publique. La couverture peut dépendre du libellé de la police, des franchises, des exclusions et des catégories de preuve qui ne correspondent pas clairement aux conséquences pour les patients ou les prestataires. La deuxième erreur est de laisser la réassurance publique détruire les preuves de réclamation. Une entreprise sous pression pour dire « l'approvisionnement va bien » peut simplifier à l'excès le dossier dont elle aura besoin plus tard pour expliquer les commandes non honorées, les écarts de fabrication ou les dépenses supplémentaires. Un programme de rétablissement mature devrait pouvoir dire, en même temps, ce qui est connu sur la disponibilité des produits et ce qui est encore en cours de documentation pour le recouvrement financier.
La résilience de l'entreprise a contrôlé la première perte; les preuves ont contrôlé la seconde
La première question de responsabilité de Merck est opérationnelle: pourquoi NotPetya s'est-il propagé si rapidement et a-t-il tant perturbé? Le dossier public décrit une application tierce de confiance, des mises à jour automatiques, une capacité de commande et contrôle cachée sous forme de vérifications de mises à jour normales, et une propagation rapide à l'intérieur du réseau mondial de Merck. Il décrit également plus de 40 000 machines infectées. Cela renvoie à des problèmes courants de résilience des entreprises: dépendance à l'égard des canaux de mise à jour de confiance, segmentation, exposition des justificatifs d'identité, portée du domaine Windows, accès privilégié, isolation des sauvegardes, cartographie des dépendances applicatives et capacité à rétablir les opérations de base tout en contenant l'attaque.
Les sources publiques ne fournissent pas assez de détails pour évaluer avec précision les contrôles pré-incident de Merck. Elles ne publient pas l'architecture du domaine, le modèle de comptes privilégiés, l'état des correctifs, la topologie des sauvegardes, le calendrier de détection des terminaux, les tests de reprise après sinistre ou la conception de la segmentation du système de fabrication. Le dossier judiciaire et les documents montrent que la conséquence a touché la fabrication, la recherche et les ventes. C'est suffisant pour identifier les catégories de contrôles responsables sans prétendre connaître les faits internes. Une entreprise de la taille de Merck doit savoir quels chemins d'entreprise peuvent mettre hors ligne les installations de production et les applications critiques, et à quelle vitesse ces chemins peuvent être coupés.
La deuxième question de responsabilité est probante: une fois la perte survenue, qui pouvait prouver ce qu'elle était? Merck devait documenter les systèmes endommagés, les opérations interrompues, les dépenses supplémentaires, les effets sur les ventes, les écarts de fabrication, les travaux de rétablissement, les recouvrements d'assurance et la couverture de la police. Les assureurs devaient évaluer la causalité, la couverture, les exclusions, les franchises, les limites et l'attribution. Le litige concernant l'exclusion pour actes hostiles ou de guerre montre comment les preuves techniques et le libellé de la police sont étroitement liés. Que NotPetya soit passé par M.E.Doc, qu'il soit lié ou non à un acteur étatique, qu'il ait endommagé des données et des logiciels, que la perte ait été directe et que le libellé de la police l'exclue ou non, tout cela importait.
Cette charge de la preuve peut façonner le comportement de rétablissement. Pendant un incident, une entreprise doit rétablir ses opérations rapidement. Pendant une réclamation d'assurance, elle doit conserver des documents. Ces objectifs peuvent entrer en conflit. Les systèmes peuvent avoir besoin d'être reconstruits avant que chaque artefact ne soit préservé. Les solutions de contournement manuelles peuvent ne pas générer automatiquement les registres commerciaux ordinaires. Les effets sur les ventes peuvent être mélangés avec des changements de demande, des contraintes d'inventaire et le comportement du marché. Les écarts de fabrication peuvent inclure des causes multiples. L'indemnisation par l'assurance dépend donc d'une discipline de comptabilité des pertes qui est prête avant une cyberattaque, et non inventée après coup.
Les documents de Merck montrent une piste de comptabilité publique mature par rapport à de nombreux incidents. Ils ont donné des effets spécifiques sur les ventes et les dépenses, identifié les recouvrements d'assurance, révisé l'effet attendu sur les ventes de 2018 au fur et à mesure que l'année progressait, et divulgué les litiges avec les assureurs. Pourtant, le dossier public n'a pas exposé le dossier de sinistre sous-jacent. Il n'a pas dit quelles polices ont payé quels montants, comment chaque catégorie a été ajustée, ni comment les produits du règlement ont été répartis. La responsabilité publique peut respecter la confidentialité tout en demandant si les conseils d'administration et les gestionnaires de risques disposent de suffisamment de preuves non publiques pour tirer des leçons de l'événement.
Ces preuves non publiques devraient être plus riches que les chiffres publics. Elles devraient relier une panne de système à un écart de fabrication, un carnet de commandes à un marché, une dépense supplémentaire à une décision de rétablissement et une réclamation d'assurance au libellé de la police. Elles devraient distinguer les ventes perdues dues à la panne des changements de demande, des contraintes d'inventaire, de la maintenance planifiée et de la volatilité commerciale ordinaire. Elles devraient préserver pourquoi une solution de contournement manuelle a été utilisée, qui l'a approuvée et si elle a réduit le risque pour la santé publique ou seulement la perte financière. Sans ce tissu conjonctif, l'organisation peut savoir qu'elle a dépensé de l'argent mais pas si les dépenses ont amélioré la résilience.
Les mêmes preuves peuvent soutenir une meilleure prévention. Si les pertes les plus coûteuses provenaient de la reconstruction des postes de travail, la segmentation et la capacité de rétablissement des postes de travail remontent dans la liste des investissements. Si le problème de preuve le plus difficile provenait du carnet de commandes, les registres de commandes et d'allocations ont besoin d'une capture plus résiliente. Si le plus grand litige provenait du libellé de la police, le transfert de risque a besoin d'un examen de placement plus clair. Si la préoccupation publique la plus profonde provenait de la disponibilité des médicaments, les exercices de rétablissement devraient inclure l'approvisionnement et la communication avec les clients, et pas seulement la restauration des serveurs. Un dossier de perte qui ne soutient que le contentieux est moins précieux qu'un dossier de perte qui modifie également les contrôles de l'année suivante.
La leçon pour le conseil d'administration est que la conception des preuves doit être maîtrisée avant la perte. Les équipes juridiques, financières, de l'assurance, de la fabrication, de l'approvisionnement, de la cyber-sécurité, de la qualité et de la communication ont besoin d'un vocabulaire partagé pour ce qui compte comme début de panne, rétablissement de fonction, allocation de produit, dépense supplémentaire, vente perdue, solution de contournement manuelle et rétablissement final. Si chaque équipe invente ses définitions pendant une crise, l'entreprise peut rétablir ses opérations tout en perdant le fil nécessaire pour améliorer les contrôles et soutenir les réclamations. NotPetya a montré que les preuves de rétablissement ne sont pas de la paperasserie après coup; elles font partie intégrante de la résilience elle-même. Ces preuves devraient survivre au roulement de la direction, à la pression du contentieux et à la mémoire du marché.
Le libellé de l'assurance a changé parce que le marché a appris
L'une des raisons pour lesquelles le litige Merck a attiré l'attention est qu'il a révélé un décalage entre le cyber-risque et le libellé traditionnel des polices de biens. Avant que les polices cyber dédiées n'arrivent à maturité, de nombreuses entreprises comptaient en partie sur les programmes de biens pour les dommages physiques, l'interruption d'activité, les dépenses supplémentaires et les pertes de données ou de logiciels. NotPetya a montré qu'un malware pouvait produire une perte de type « biens » à une échelle historiquement associée aux catastrophes, tout en étant délivré par logiciel et dans un contexte de conflit géopolitique.
Les marchés de l'assurance ont réagi au fil du temps avec des libellés cyber et guerre plus explicites. Lloyd's a ensuite publié des orientations du marché sur les exclusions de cyberattaques, y compris un libellé pour les cyberattaques soutenues par des États, via des bulletins de marché publics tels que lebulletin de marché Y5381 de Lloyd's. Le bulletin de Lloyd's ne fait pas partie de la décision du tribunal Merck et ne décide pas rétroactivement des polices de Merck. Il est pertinent car il montre le marché essayant de rédiger des règles d'allocation plus explicites après une expérience de cyber-perte de grande gravité.
Un libellé plus clair peut aider les deux parties. Les assureurs ont besoin de savoir quels cyber-risques systémiques ils tarifient. Les assurés ont besoin de savoir si les polices de biens, cyber, criminalité et spécialisées répondent aux malwares qui endommagent les systèmes et interrompent les opérations. Les gouvernements et les clients d'infrastructures critiques ont besoin de savoir si les fournisseurs ont une capacité crédible de transfert de risque ou d'auto-assurance après une catastrophe cyber. L'ambiguïté peut préserver la flexibilité de la transaction lors du placement, mais elle peut devenir une incertitude coûteuse après la perte.
Le point de responsabilité n'est pas que les assureurs avaient tort de s'inquiéter de l'accumulation de cyber-risques liés aux États. Ils avaient un réel problème d'agrégation: un seul événement de malware pouvait toucher de nombreux assurés à travers les frontières et les secteurs. Le point est que la préoccupation d'accumulation d'un assureur doit être traduite en un libellé de police spécifique, clair, net et visible. Le tribunal du New Jersey a estimé que l'exclusion pour actes hostiles ou de guerre dont il était saisi ne faisait pas ce travail pour NotPetya.
Pour les assurés, la leçon est tout aussi exigeante. Souscrire une assurance ne remplace pas la résilience. Merck a quand même dû rétablir ses opérations, gérer les commandes, enregistrer les pertes, conserver les preuves et continuer à fournir des produits. Le litige d'assurance a duré des années. Si la planification de la continuité suppose qu'un paiement d'assurance arrivera assez rapidement pour résoudre la perturbation opérationnelle, ce n'est pas de la planification de la continuité. L'assurance est un outil de rétablissement financier, pas un outil de redémarrage d'usine.
Le processus de placement nécessite également une participation technique. Un conseil d'administration peut approuver une tour de biens, une police cyber et une structure captive, mais les personnes qui comprennent les dépendances de fabrication connaissent souvent les vrais scénarios de perte. Un malware peut-il corrompre des données de recette, de lot, de libération ou d'expédition d'une manière que le libellé de la police de biens reconnaît? La couverture d'interruption d'activité suit-elle les dommages aux logiciels et aux données, ou seulement à l'équipement physique? Les dépenses supplémentaires pour la production alternative, le travail de qualité manuel, les consultants externes, la reconstruction des postes de travail et la communication avec les clients sont-elles clairement couvertes? Les exclusions de cyber-risques liés aux États sont-elles rédigées d'une manière que le comité des risques peut modéliser? Le litige de Merck a montré que ces questions devraient être posées avant le renouvellement, pas après un événement de malware destructeur.
Un meilleur test de responsabilité pour le prochain NotPetya
Le dossier Merck suggère une liste de contrôle pratique pour les organisations ayant des rôles de production critiques. Premièrement, cartographier les chemins de mise à jour de confiance. M.E.Doc était une application de confiance dans le dossier judiciaire. Un chemin de confiance peut devenir un chemin d'attaquant s'il est compromis en amont. Les entreprises devraient savoir quels systèmes de mise à jour tiers ont une portée réseau et quels environnements ils peuvent toucher. Deuxièmement, cartographier le rayon de l'explosion. Jusqu'où les justificatifs d'identité, la confiance de domaine, l'administration à distance, le stockage partagé et les outils de gestion des terminaux peuvent-ils transporter un malware avant que la segmentation ne le ralentisse? Troisièmement, cartographier l'opération minimale viable. Quelles fonctions de fabrication, de libération, de recherche, de vente et d'expédition doivent continuer, et quels systèmes propres peuvent les soutenir?
Quatrièmement, répéter la préservation des preuves. Les journaux d'incidents, les sauvegardes restaurées, les enregistrements de reconstruction, les notes d'impact sur la production, les effets sur les stocks, le carnet de commandes des ventes et les approbations de dépenses supplémentaires devraient pouvoir être collectés sans retarder le rétablissement urgent. Cinquièmement, aligner le libellé de l'assurance sur la réalité technique. Si l'on attend des polices de biens qu'elles couvrent la corruption de données, la restauration du système, les dépenses supplémentaires et l'interruption d'activité due à un malware, cette attente doit être explicite. Si les assureurs ont l'intention d'exclure les événements cybernétiques destructeurs soutenus par des États, cette exclusion doit être suffisamment explicite pour que les conseils d'administration puissent comprendre le risque conservé avant la perte. Sixièmement, limiter les déclarations publiques. Les documents de Merck l'ont fait mieux que de nombreuses entreprises en utilisant des chiffres spécifiques et en révisant les attentes.
Le public a également besoin de meilleures distinctions. Une déclaration d'attribution gouvernementale n'est pas la même chose qu'une exclusion de police. Une décision de première instance ou d'appel n'est pas la même chose qu'une décision de la Cour suprême. Un règlement n'est pas un aveu public de responsabilité. Un effet sur les ventes n'est pas la même chose qu'une perte assurée. Un nom de famille de malware n'est pas la même chose qu'une cause racine complète. Un site de fabrication rétabli n'est pas la même chose qu'un impact en aval effacé. Traiter ces termes avec soin n'est pas du pinaillage juridique; c'est ainsi que la responsabilité reste liée aux preuves.
Le dossier NotPetya de Merck reste l'un des exemples les plus clairs de cyber-risque devenant simultanément un risque d'entreprise, d'intérêt public et d'assurance. L'entreprise a contrôlé des parties de la résilience de l'entreprise et du rétablissement opérationnel. Les assureurs ont contrôlé la rédaction des polices et les positions de couverture. Les tribunaux ont contrôlé l'interprétation du libellé contesté. Les gouvernements ont contrôlé les déclarations publiques d'attribution. Les patients, les prestataires, les distributeurs, les employés et les petites contreparties ont vécu avec des conséquences qu'ils ne pouvaient pas diagnostiquer indépendamment.
C'est pourquoi l'affaire importe encore après le règlement. Le règlement a clos le combat public, mais il n'a pas effacé la leçon opérationnelle. Un événement de malware destructeur peut passer d'une mise à jour logicielle de confiance à des dizaines de milliers de machines en quelques minutes, interrompre la fabrication et les ventes pharmaceutiques, générer des centaines de millions de dollars d'effets quantifiés, et laisser des parties sophistiquées se disputer pendant des années pour savoir si l'ancien libellé de guerre s'applique. La prochaine organisation ne devrait pas attendre cet argument pour découvrir ce que signifient réellement ses réseaux, ses plans de rétablissement et ses mots d'assurance.

