Résumé

  • Merck a révélé que la cyberattaque réseau du 27 juin 2017 a perturbé ses opérations mondiales, y compris la fabrication, la recherche et les ventes. Son formulaire 10-K de 2017 a indiqué que l'attaque a eu un effet défavorable sur les ventes de 2017 d'environ 260 millions de dollars et a généré 285 millions de dollars de dépenses de fabrication et de remédiation, nettes d'environ 45 millions de dollars de recouvrements d'assurance.
  • Le formulaire 10-K de Merck de 2018 a précisé plus tard que les ventes de 2018 ont été affectées défavorablement à hauteur d'environ 150 millions de dollars en raison du carnet de commandes résiduel, et que des litiges subsistaient avec certains assureurs concernant une partie de la couverture d'assurance pour les réclamations liées à la cyberattaque de 2017.
  • L'avis de la cour d'appel du New Jersey a décrit le programme d'assurance comme vingt-six polices tous risques de biens avec des limites totales de 1,75 milliard de dollars au-dessus d'une franchise de 150 millions de dollars, et a indiqué que la couverture contestée en appel s'élevait à 699 475 000 dollars, soit un peu moins de quarante pour cent de la couverture totale de Merck pour la période de police.
  • Le même avis a confirmé que l'exclusion des actes de guerre ou hostiles ne faisait pas obstacle à la couverture dans les circonstances présentées. Il s'agissait d'une décision sur la couverture, pas d'un décompte public final de tous les paiements, de tous les assureurs ou de toutes les catégories de pertes.
  • L'appel devant la Cour suprême du New Jersey s'est terminé par un règlement et un rejet avant une décision sur le fond. Les rapports publics ont décrit le règlement comme confidentiel ou non divulgué, de sorte que le règlement ne doit pas être traité comme une allocation finale publique de qui a payé quoi.
  • La leçon durable en matière de responsabilité est plus étroite que la légende: NotPetya a fait de la résilience des entreprises, de la continuité de l'approvisionnement pharmaceutique, de la comptabilité des pertes, de l'attribution et de la rédaction des polices d'assurance un seul et même dossier de preuves.

NotPetya a transformé la dépendance ordinaire des entreprises en risque pour l'approvisionnement en médicaments

L'expérience NotPetya de Merck est importante car elle lie une perturbation mondiale des domaines Windows à des opérations pharmaceutiques puis à une couverture d'assurance. L'incident n'était pas simplement un problème de service informatique. Merck a informé les investisseurs que la cyberattaque réseau du 27 juin 2017 a perturbé les opérations mondiales, y compris la fabrication, la recherche et les ventes. Une entreprise qui fabrique des vaccins, des médicaments sur ordonnance et des produits de santé animale ne peut pas traiter ce type de perturbation comme un simple nettoyage de poste de travail.

Le dossier principal de l'entreprise commence dans leformulaire 10-K de Merck de 2017. Merck a déclaré que la cyberattaque a entraîné une perturbation des opérations mondiales, y compris la fabrication, la recherche et les ventes. L'entreprise a indiqué que tous les sites de fabrication étaient opérationnels au moment du dépôt et fabriquaient des principes actifs pharmaceutiques, formulaient, emballaient et expédiaient des produits. Elle a également déclaré que la fabrication externe n'avait pas été impactée et que Merck continuait d'exécuter les commandes et d'expédier les produits. Ces déclarations sont importantes car elles empêchent toute exagération. Le dépôt public ne dit pas que Merck a arrêté indéfiniment tout approvisionnement en médicaments dans le monde. Il dit que l'entreprise a connu une perturbation grave tout en continuant à expédier des produits et en rétablissant par la suite tous les sites de fabrication.

Ce même dépôt a quantifié l'impact sur les activités. Merck a déclaré qu'elle n'avait pas pu exécuter les commandes de certains produits sur certains marchés, ce qui a eu un effet défavorable sur les ventes de 2017 d'environ 260 millions de dollars. L'entreprise a également enregistré des dépenses liées à la fabrication, principalement des écarts de fabrication défavorables, ainsi que des dépenses de remédiation dans les catégories administrative et recherche et développement, pour un total de 285 millions de dollars en 2017, nets d'environ 45 millions de dollars de recouvrements d'assurance.

Merck anticipait également que le carnet de commandes résiduel affecterait défavorablement les ventes de 2018 sur certains marchés à hauteur d'environ 200 millions de dollars.

Le canal de dépôt public de Merck est important car il ne s'agissait pas d'estimations désinvoltes lors d'une interview de presse. Lapage des dépôts SEC pour les investisseursde Merck renvoie les investisseurs au dossier officiel, et les rapports annuels ont placé la cyberattaque dans les discussions sur les risques, les résultats opérationnels et l'assurance. Cela donne à l'incident une couche de responsabilité publique que de nombreux cas de ransomware n'ont pas. Les dépôts ne montrent pas le dossier de réclamation interne, mais ils montrent le point de vue public de la direction sur l'effet sur les ventes, la comptabilisation des dépenses, la restauration de la fabrication, les recouvrements d'assurance et les litiges de couverture restants. Pour les conseils d'administration, cette combinaison est la forme minimale utile de divulgation des pertes cybernétiques: catégorie opérationnelle, mesure financière, période, statut de récupération et incertitude.

Ce nombre anticipé a changé à mesure que le dossier mûrissait. Dans sonformulaire 10-K de 2018, Merck a de nouveau décrit la cyberattaque réseau de 2017 et a déclaré que les ventes de 2018 ont été affectées défavorablement sur certains marchés à hauteur d'environ 150 millions de dollars en raison de la cyberattaque. Le dépôt a répété l'effet sur les ventes de 2017 d'environ 260 millions de dollars et le montant des dépenses de 285 millions de dollars net d'environ 45 millions de dollars de recouvrements d'assurance. Il a également indiqué que Merck disposait d'une couverture d'assurance contre les coûts résultant de cyberattaques, avait reçu des indemnités et avait des litiges avec certains assureurs concernant la disponibilité de certaines couvertures d'assurance pour les réclamations liées à la cyberattaque de 2017. Unformulaire 10-Q du troisième trimestre 2018a montré la transition: les effets sur les ventes au cours des neuf premiers mois de 2018 étaient d'environ 150 millions de dollars, y compris un impact non significatif au troisième trimestre, tandis que les coûts de fabrication et de remédiation au cours des neuf premiers mois de 2018 étaient non significatifs.

Ces dépôts sont plus utiles que des estimations de pertes larges car ils divisent le problème en catégories opérationnelles. Les pertes de ventes étaient liées à des commandes non exécutées sur certains marchés. Les coûts de fabrication étaient liés à des écarts défavorables et à la récupération. Les coûts de remédiation étaient liés à des travaux administratifs et de recherche. Les indemnités d'assurance ont été reçues, mais toutes les couvertures n'étaient pas incontestées.

Une défaillance de la continuité pharmaceutique est donc devenue un problème de preuve: qu'est-ce qui a été perdu, où, pourquoi, pendant combien de temps, selon quelles clauses de police, avec quelle franchise et avec quelles exclusions?

Le dossier judiciaire a donné au litige d'assurance une colonne vertébrale technique

Le dossier contentieux public le plus détaillé est l'avis de 2023 de la Division d'appel du New Jersey, disponible via lePDF officiel des tribunaux du New Jerseyet lacopie de Justia de l'affaire Merck & Co., Inc. c. ACE American Insurance Co.. L'avis n'est pas un rapport technique d'incident, et il ne doit pas être lu comme le dossier médico-légal complet de Merck. Il est cependant inhabituellement clair sur les parties du dossier qui importaient au litige d'assurance.

Le tribunal a décrit Merck comme demandant un jugement déclaratoire en vertu de vingt-six polices tous risques de biens pour les pertes causées par l'attaque de malware de juin 2017 connue sous le nom de NotPetya. Le programme de police courait du 1er juin 2017 au 1er juin 2018 et avait des limites totales de 1,75 milliard de dollars au-dessus d'une franchise de 150 millions de dollars. Le tribunal a indiqué que les parties contestaient 699 475 000 dollars de couverture, soit un peu moins de quarante pour cent de la couverture totale de Merck pour la période de police.

Ces chiffres ne sont pas le coût économique total de Merck; ils représentent le montant de la couverture contestée dans ce dossier d'appel. La distinction est importante car une perte peut être plus grande ou plus petite que le montant en jeu dans un appel juridique particulier.

L'avis a également résumé comment le malware est entré et s'est propagé selon le dossier soumis au tribunal. Il a décrit M.E.Doc, une application logicielle de comptabilité ukrainienne utilisée par Merck et d'autres entreprises opérant en Ukraine, et un mécanisme de mise à jour compromis. L'avis a indiqué que Merck a reçu des mises à jour malveillantes via un serveur situé en Ukraine qui vérifiait automatiquement les nouvelles versions de M.E.Doc. Il a décrit NotPetya comme se présentant comme un ransomware, chiffrant certaines données, rendant les systèmes inaccessibles et laissant les systèmes infectés inopérants.

En quatre-vingt-dix secondes, selon l'avis, environ 10 000 machines du réseau mondial de Merck étaient infectées; en cinq minutes, environ 20 000 machines étaient infectées; finalement, plus de 40 000 machines ont été infectées.

Cette ampleur explique pourquoi il ne s'agissait pas simplement d'un problème de bureau local en Ukraine. Le malware a atteint un réseau d'entreprise mondial suffisamment rapidement pour que la résilience centrale, l'identité, les correctifs, les sauvegardes et la segmentation du réseau fassent partie du même dossier de responsabilité. Le tribunal a cité la position de Merck selon laquelle NotPetya a mis hors ligne les installations de production et les applications critiques et a massivement perturbé les opérations, y compris la fabrication, la recherche et le développement, et les ventes.

Il s'agit d'un langage de dossier contentieux, pas d'un substitut à un détail opérationnel usine par usine. Mais cela correspond aux dépôts de Merck auprès de la SEC, qui décrivaient une perturbation de la fabrication, de la recherche et des ventes.

Des sources techniques publiques soutiennent le contexte général de NotPetya. L'alerte de la CISA sur le ransomware Petyaa mis en garde en juin 2017 sur la campagne et les mesures d'atténuation. L'analyse de Microsoft de juin 2017a décrit le malware comme combinant des techniques de ransomware avec une propagation de type ver et un abus de justificatifs d'identité. LeCentre national de cybersécurité du Royaume-Unia ensuite attribué NotPetya au renseignement militaire russe dans le cadre d'un dossier d'attribution public plus large, et ladéclaration de la Maison Blanchea décrit NotPetya comme faisant partie d'une cyberattaque téméraire et indiscriminée. Ces déclarations gouvernementales publiques sont importantes pour le contexte géopolitique. Elles n'ont pas automatiquement tranché la question du contrat d'assurance dans le New Jersey.

Les contrôles opérationnels sous-entendus par ce contexte technique sont familiers mais difficiles à grande échelle. LeNIST SP 800-61 Rev. 2décrit le traitement des incidents comme la préparation, la détection et l'analyse, le confinement, l'éradication, la récupération et l'activité post-incident. Dans un événement de l'ampleur de NotPetya, ces phases ne s'alignent pas proprement. Une entreprise peut encore détecter des hôtes affectés tout en confinant des segments de réseau, en restaurant des systèmes métier urgents, en préservant des preuves et en informant la direction. L'important pour Merck n'est pas que des sources publiques prouvent comment elle a exécuté chaque phase. L'important est que l'ampleur de l'événement a fait du traitement des incidents une fonction de gouvernance d'entreprise plutôt qu'une file d'attente de service d'assistance.

Les conseils de continuité renforcent la même leçon. LeNIST SP 800-34 Rev. 1encadre la planification d'urgence autour de l'analyse d'impact sur l'activité, des priorités de récupération, du traitement alternatif et des tests de plan. LeGuide contre les ransomwares de la CISAmet l'accent sur la préparation, les sauvegardes, le confinement et la récupération pour les incidents de ransomware, tandis que le caractère destructeur de NotPetya signifie qu'il ne doit pas être traité comme un simple ransomware récupérable. Ces sources ne blâment pas Merck. Elles aident à expliquer pourquoi les opérations pharmaceutiques ont besoin de chemins de récupération testés pour l'identité, le support de fabrication, la documentation de libération, les systèmes de vente et les enregistrements d'expédition avant que le malware n'atteigne des dizaines de milliers de machines.

La décision sur l'exclusion de guerre portait sur le libellé de la police, pas sur une attribution morale

La bataille juridique est souvent simplifiée à l'extrême en « NotPetya était-il un acte de guerre? » L'avis d'appel a été plus prudent. Les assureurs ont invoqué une exclusion des actes de guerre ou hostiles. Ils ont fait valoir que la couverture était exclue parce que NotPetya aurait été orchestré par des acteurs travaillant pour ou au nom de la Fédération de Russie. Merck a contesté l'application de l'exclusion. Le tribunal de première instance a accordé un jugement sommaire partiel à Merck, estimant que l'exclusion ne s'appliquait pas pour exclure la couverture. La Division d'appel a confirmé.

Le raisonnement de l'avis est important car il sépare l'attribution de l'interprétation du contrat. Le tribunal a noté que les parties contestaient l'attribution et que le tribunal de première instance n'avait pas eu besoin de trancher la question de l'attribution pour accorder le jugement sommaire partiel. La Division d'appel a déclaré que le libellé simple de l'exclusion ne soutenait pas l'interprétation des assureurs. Elle a expliqué que l'exclusion des dommages causés par une action hostile ou guerrière d'un gouvernement ou d'un pouvoir souverain, en temps de guerre ou de paix, exigeait l'implication d'une action militaire.

L'exclusion ne disait pas que les dommages résultant de toute action gouvernementale motivée par une mauvaise volonté étaient exclus.

Le tribunal s'est également concentré sur le libellé raisonnable de la police. Il a souscrit au tribunal de première instance que les assureurs savaient que les cyberattaques de diverses formes, parfois d'États-nations, étaient devenues plus courantes, mais n'ont pas modifié le libellé de la police pour informer raisonnablement l'assuré que les cyberattaques seraient exclues.

La cour d'appel a déclaré que le libellé simple de l'exclusion ne comprenait pas une cyberattaque contre une entreprise non militaire qui fournissait un logiciel de comptabilité à des fins commerciales à des consommateurs non militaires, que l'attaque ait été lancée par un acteur privé ou un gouvernement ou un pouvoir souverain. Elle a estimé que les assureurs n'avaient pas satisfait à leur fardeau de démontrer que l'exclusion pouvait être équitablement appliquée à NotPetya.

Ce jugement doit être décrit précisément. Il ne dit pas que les cyberattaques ne peuvent jamais être exclues. Il ne dit pas que l'attribution gouvernementale n'est pas pertinente dans toutes les polices. Il ne dit pas que les exclusions de guerre n'auront aucune application future aux opérations cybernétiques. Il ne rend pas Merck irréprochable pour toute décision de résilience. Il dit que, selon les polices et les circonstances dont le tribunal était saisi, les assureurs n'ont pas démontré que l'exclusion des actes de guerre ou hostiles interdisait la couverture.

Cette distinction est l'endroit où la responsabilité en matière d'assurance devient opérationnelle. Les assureurs contrôlent la rédaction, les exclusions, les sous-limites, les avenants, les questions de souscription et la tarification des primes. Les assurés contrôlent comment ils décrivent les actifs, l'exposition à l'interruption, les objectifs de récupération et les dépendances cybernétiques. Les tribunaux contrôlent l'interprétation du libellé de la police après un litige.

Si une police vendue avant la perte n'exclut pas clairement les opérations cybernétiques liées à un État, un assureur peut faire face au risque que le libellé ordinaire de la police tous risques de biens couvre plus qu'il ne l'avait prévu par la suite. Si un assuré compte sur l'assurance de biens comme transfert de perte cybernétique, il peut faire face à des années de litige avant que l'argent ne soit certain.

L'affaire Merck n'a donc pas simplement demandé si NotPetya était mauvais. Tout le monde était d'accord qu'il était destructeur. Elle a demandé qui avait converti ce risque cybernétique en un risque de biens contractuellement alloué et si le libellé de l'exclusion était suffisamment clair pour faire retomber la perte sur Merck. La réponse du tribunal a favorisé Merck sur cette exclusion. Le règlement ultérieur a clos le combat restant sans une carte de paiement publique finale.

Le règlement a mis fin à l'appel, pas à l'absence de preuves publiques

Après la décision de la Division d'appel, les assureurs ont demandé un réexamen devant la Cour suprême du New Jersey. Les rapports publics de janvier 2024 ont indiqué que Merck et les assureurs s'étaient mis d'accord avant l'audience prévue.Reuters a rapportéque Merck avait réglé avec les assureurs la réclamation liée à la cyberattaque NotPetya, etInsurance Journal a rapportéque les termes du règlement n'avaient pas été divulgués.Cybersecurity Dive a également rapportéque les parties avaient résolu le litige d'assurance très médiatisé avant que la Cour suprême du New Jersey ne puisse se prononcer. La couverture juridique publique et le dossier du greffe du tribunal ont décrit un rejet suite au règlement plutôt qu'un avis sur le fond de la plus haute cour de l'État.

Ce résultat final est important. L'avis de la Division d'appel reste une décision importante et publiée sur la couverture, mais la Cour suprême n'a pas rendu de décision finale sur le fond. Le règlement n'a pas révélé publiquement combien chaque assureur a payé, si toutes les catégories de couverture contestées ont été payées, comment les frais de défense et les intérêts ont été traités, ou si une partie a conservé des positions non publiques. Pour la responsabilité publique, le règlement est la preuve que les parties ont résolu le différend, pas la preuve d'une allocation complète et publique des pertes.

C'est pourquoi il est risqué de citer un seul chiffre accrocheur comme « le coût NotPetya de Merck ». Le dossier judiciaire décrivait 699 475 000 dollars de couverture contestée en appel. Les comptes-rendus de presse décrivaient une réclamation plus large que les rapports publics arrondissaient souvent à environ 1,4 milliard de dollars. Les dépôts de Merck donnaient séparément des effets sur les ventes et les dépenses pour 2017 et 2018 et décrivaient les recouvrements d'assurance. Ceux-ci sont liés, mais ce ne sont pas la même mesure.

Une réclamation de police peut inclure des dommages aux biens, des pertes d'exploitation, des dépenses supplémentaires et d'autres catégories assurées. Un effet sur les ventes est une mesure de revenu. L'écart de fabrication est une catégorie de dépense comptable. Un règlement est une résolution négociée. Les traiter comme interchangeables rendrait le dossier plus certain qu'il ne l'est.

L'absence de preuves est particulièrement importante pour les marchés du risque cybernétique. Les assureurs, les courtiers, les gestionnaires de risques d'entreprise, les conseils d'administration et les entités du secteur public surveillaient Merck parce que la décision affectait les attentes concernant les pertes cybernétiques sous les polices de biens. Mais le règlement public n'offre aucune règle judiciaire finale de la Cour suprême du New Jersey et aucune comptabilité actuarielle publique. Les assureurs pourraient toujours répondre en modifiant le libellé.

Les assurés pourraient toujours répondre en achetant une couverture cybernétique dédiée, en exigeant un libellé de guerre plus clair, ou en cartographiant plus soigneusement les chevauchements entre les biens et le cyber. La leçon du marché n'est pas que le scénario factuel de Merck produira toujours une couverture. C'est que des libellés ambigus ou anciens peuvent laisser une énorme allocation de perte cybernétique non résolue pendant des années.

La continuité pharmaceutique avait un profil d'intérêt public différent

Le dossier NotPetya est différent de nombreuses histoires de malwares d'entreprise parce que l'activité affectée de Merck comprenait des vaccins et des médicaments. Les dépôts publics identifient des produits pharmaceutiques et des produits de santé animale sur les marchés mondiaux. Un fabricant pharmaceutique ne perd pas seulement la productivité de bureau lorsqu'une cyberattaque frappe les systèmes de fabrication et d'expédition.

Il peut être confronté à des décisions d'allocation de produits, des retards de libération de lots, des pénuries de marché, une incertitude des stocks, des défis logistiques de contrôle de la température, des problèmes de documentation réglementaire et des conséquences pour les patients ou les prestataires. Le dossier public ne permet pas une carte complète des dommages produit par produit, mais les propres dépôts de Merck montrent que certaines commandes sur certains marchés n'ont pas pu être exécutées.

Le formulaire 10-K de 2017 indiquait également que l'arrêt temporaire de la production avait contribué à l'incapacité de Merck à répondre à une demande plus élevée que prévu pour Gardasil 9. Cette déclaration doit être traitée avec soin. Elle ne signifie pas que NotPetya seul a causé tout le déséquilibre entre l'offre et la demande pour ce vaccin. Elle signifie que Merck a identifié l'arrêt comme un facteur contributif. L'article ne doit pas gonfler cela en une constatation publique de préjudice pour les patients, de violation réglementaire ou de pénurie généralisée de vaccins causée uniquement par le malware.

Le point est plus précis: la récupération d'un malware peut entrer en collision avec la capacité de production et la demande de manière qui importe au-delà de la propre comptabilité de l'entreprise.

La continuité du secteur public fait partie de cette histoire même si Merck est une entreprise privée. Les gouvernements, les programmes de santé publique, les hôpitaux, les cliniques, les pharmacies, les écoles et les patients peuvent dépendre d'un approvisionnement pharmaceutique régulier. Lorsqu'un fabricant ne peut pas exécuter certaines commandes sur certains marchés, les conséquences peuvent passer dans les systèmes d'approvisionnement et la planification des services de santé. Leprogramme de pénuries de médicaments de la FDAmontre comment la disponibilité des médicaments est traitée comme une préoccupation publique, même si la page de la FDA n'est pas une constatation sur l'événement NotPetya de Merck. Le prisme de l'intérêt public est justifié par la nature des produits, pas par une constatation publique que NotPetya a causé une pénurie légale spécifique.

Les petites et moyennes entités apparaissent également en aval. Les cliniques indépendantes, les pharmacies, les distributeurs, les cabinets vétérinaires et les prestataires de santé locaux peuvent ne pas avoir un accès direct aux preuves de récupération opérationnelle de Merck. Ils voient la disponibilité, les substitutions, les commandes en attente et la communication. Si un fabricant dit que les commandes sur certains marchés ne peuvent pas être exécutées, les petites contreparties ont besoin d'un statut transparent et de signaux d'allocation équitables. Ils ne peuvent pas inspecter un projet de récupération d'entreprise mondiale.

Cette asymétrie explique pourquoi le dossier de continuité importe à plus que les actionnaires et les assureurs.

Le langage de la continuité des activités est utile ici car il maintient l'analyse liée à la livraison plutôt qu'au drame.ISO 22301décrit la gestion de la continuité autour de la capacité d'une organisation à continuer à livrer des produits et services dans des délais et des capacités acceptables. Pour une entreprise pharmaceutique, ce concept est concret: la production de principes actifs, la formulation, l'emballage, la libération de qualité, l'expédition, l'allocation de marché, le service client et la documentation réglementaire doivent tous se rejoindre après un événement cybernétique perturbateur. Le dossier public ne prouve pas que chacune de ces fonctions a échoué chez Merck, mais les propres dépôts de Merck confirment que la fabrication, la recherche, les ventes, les commandes et le carnet de commandes ont été suffisamment affectés pour nécessiter une divulgation publique.

La dimension de santé publique complique également l'allocation des coûts. Si une entreprise engage des dépenses supplémentaires pour maintenir un produit disponible, cela peut ressembler à un coût financier dans un dossier et à un succès de continuité dans un autre. Si elle ne peut pas exécuter des commandes sur certains marchés, cela peut apparaître comme des ventes perdues alors que les contreparties le vivent comme un stress d'approvisionnement. Si la fabrication externe n'est pas impactée, comme Merck l'a divulgué, cela peut aider à préserver l'offre mais n'élimine pas les coûts de récupération internes.

L'assurance et la responsabilité publique posent donc des questions différentes: l'assureur demande si la dépense correspond à la police; le public demande si les produits essentiels ont continué à circuler avec des informations justes et précises.

Cette différence devrait façonner les exercices d'incident. Un exercice cybernétique pharmaceutique qui se termine lorsque les systèmes sont restaurés manque la question de l'approvisionnement. L'exercice devrait demander quels produits sont contraints, quels marchés sont exposés, quels documents de libération réglementaire sont retardés, quels clients ont besoin de conseils d'allocation et quelles agences publiques peuvent avoir besoin d'un avertissement précoce. Il devrait également demander quelles preuves sont préservées pour les assureurs et quelles preuves sont préservées pour l'assurance de l'approvisionnement.

Ce sont des dossiers liés mais non identiques. Un assureur peut avoir besoin de factures, de coûts de reconstruction de système, de calculs d'interruption d'activité et de preuves de causalité. Un acteur de la santé publique ou des achats peut avoir besoin d'un état des lieux, d'une justification d'allocation, d'un calendrier de remplacement et de la confiance que les dossiers de qualité des produits restent intacts.

Garder ces dossiers séparés évite deux erreurs. La première erreur est de laisser le langage de l'assurance définir l'histoire publique. La couverture peut dépendre du libellé de la police, des franchises, des exclusions et de catégories de preuve qui ne correspondent pas nettement aux conséquences pour les patients ou les prestataires. La deuxième erreur est de laisser la réassurance publique détruire les preuves de réclamation.

Une entreprise sous pression pour dire « l'offre est bonne » peut simplifier à l'excès le dossier dont elle a besoin plus tard pour expliquer les commandes non exécutées, les écarts de fabrication ou les dépenses supplémentaires. Un programme de récupération mature devrait pouvoir dire, en même temps, ce qui est connu sur la disponibilité des produits et ce qui est encore en cours de documentation pour la récupération financière.

La résilience de l'entreprise a contrôlé la première perte; les preuves ont contrôlé la seconde

La première question de responsabilité pour Merck est opérationnelle: pourquoi NotPetya s'est-il propagé si rapidement et a-t-il perturbé autant de choses? Le dossier public décrit une application tierce de confiance, des mises à jour automatiques, une capacité de commandement et de contrôle dissimulée comme des vérifications de mise à jour normales, et une propagation rapide à l'intérieur du réseau mondial de Merck. Il décrit également plus de 40 000 machines infectées.

Cela pointe vers des problèmes courants de résilience d'entreprise: dépendance à des canaux de mise à jour de confiance, segmentation, exposition des justificatifs d'identité, portée du domaine Windows, accès privilégié, isolation des sauvegardes, cartographie des dépendances applicatives et capacité à restaurer les opérations principales tout en contenant l'attaque.

Les sources publiques ne fournissent pas suffisamment de détails pour évaluer les contrôles pré-incident de Merck avec précision. Elles ne publient pas l'architecture du domaine, le modèle de compte privilégié, l'état des correctifs, la topologie des sauvegardes, le calendrier de détection des postes de travail, les tests de reprise après sinistre ou la conception de la segmentation du système de fabrication. Le dossier judiciaire et les dépôts montrent que la conséquence a traversé la fabrication, la recherche et les ventes. Cela suffit à identifier les catégories de contrôle responsables sans prétendre connaître les faits internes.

Une entreprise de la taille de Merck a besoin de savoir quels chemins d'entreprise peuvent mettre hors ligne les installations de production et les applications critiques, et à quelle vitesse ces chemins peuvent être coupés.

La deuxième question de responsabilité porte sur les preuves: une fois la perte survenue, qui pouvait prouver ce qu'elle était? Merck devait documenter les systèmes endommagés, les opérations interrompues, les dépenses supplémentaires, les effets sur les ventes, les écarts de fabrication, les travaux de restauration, les recouvrements d'assurance et la couverture de la police. Les assureurs devaient évaluer la causalité, la couverture, les exclusions, les franchises, les limites et l'attribution. Le litige sur l'exclusion de guerre/acte hostile montre comment les preuves techniques et le libellé de la police deviennent entrelacés.

Que NotPetya soit venu par M.E.Doc, qu'il ait été lié à un acteur étatique, qu'il ait endommagé des données et des logiciels, que la perte ait été directe et que le libellé de la police l'ait exclu ou non, tout cela a compté.

Ce fardeau probatoire peut façonner le comportement de récupération. Pendant un incident, une entreprise doit restaurer les opérations rapidement. Pendant une réclamation d'assurance, elle doit préserver les enregistrements. Ces objectifs peuvent entrer en conflit. Les systèmes peuvent devoir être reconstruits avant que chaque artefact ne soit préservé. Les solutions de contournement manuelles peuvent ne pas générer automatiquement des enregistrements commerciaux ordinaires. Les effets sur les ventes peuvent être mélangés avec des changements de demande, des contraintes d'inventaire et le comportement du marché.

Les écarts de fabrication peuvent inclure de multiples causes. La récupération d'assurance dépend donc d'une discipline de comptabilité des pertes qui est prête avant une cyberattaque, pas inventée après coup.

Les dépôts de Merck montrent une piste de comptabilité publique mature par rapport à de nombreux incidents. Ils ont donné des effets spécifiques sur les ventes et les dépenses, identifié les recouvrements d'assurance, révisé l'effet attendu sur les ventes de 2018 au fur et à mesure que l'année avançait, et divulgué les litiges avec les assureurs. Pourtant, le dossier public n'exposait pas le dossier de réclamation sous-jacent. Il n'a pas dit quelles polices ont payé quels montants, comment chaque catégorie a été ajustée, ou comment le produit du règlement a été réparti.

La responsabilité publique peut respecter la confidentialité tout en demandant si les conseils d'administration et les gestionnaires de risques ont suffisamment de preuves non publiques pour tirer des leçons de l'événement.

Ces preuves non publiques devraient être plus riches que les chiffres publics. Elles devraient relier une panne de système à un écart de fabrication, un carnet de commandes à un marché, une dépense supplémentaire à une décision de récupération, et une réclamation d'assurance au libellé de la police. Elles devraient distinguer les ventes perdues dues à une panne des changements de demande, des contraintes d'inventaire, de la maintenance planifiée et de la volatilité commerciale ordinaire.

Elles devraient préserver pourquoi une solution de contournement manuelle a été utilisée, qui l'a approuvée, et si elle a réduit le risque de santé publique ou seulement réduit la perte financière. Sans ce tissu conjonctif, l'organisation peut savoir qu'elle a dépensé de l'argent mais pas si la dépense a amélioré la résilience.

Les mêmes preuves peuvent soutenir une meilleure prévention. Si les pertes les plus coûteuses sont venues de la reconstruction des postes de travail, la segmentation et la capacité de récupération des postes de travail remontent la liste des investissements. Si le problème de preuve le plus difficile est venu du carnet de commandes, les enregistrements de commandes et d'allocation ont besoin d'une capture plus résiliente. Si le plus grand litige est venu du libellé de la police, le transfert de risque a besoin d'un examen de placement plus clair.

Si la préoccupation publique la plus profonde est venue de la disponibilité des médicaments, les exercices de récupération devraient inclure l'approvisionnement et la communication avec les clients, pas seulement la restauration des serveurs. Un dossier de perte qui ne soutient que le contentieux a moins de valeur qu'un dossier de perte qui change également les contrôles de l'année suivante.

La leçon au niveau du conseil d'administration est que la conception des preuves doit être possédée avant la perte. Les équipes juridiques, financières, d'assurance, de fabrication, d'approvisionnement, cybernétiques, de qualité et de communication ont besoin d'un vocabulaire partagé pour ce qui compte comme début de panne, restauration de fonction, allocation de produit, dépense supplémentaire, vente perdue, solution de contournement manuelle et récupération finale.

Si chaque équipe invente ses définitions pendant une crise, l'entreprise peut restaurer les opérations tout en perdant le fil nécessaire pour améliorer les contrôles et soutenir les réclamations. NotPetya a montré que les preuves de récupération ne sont pas de la paperasse après coup; elles font partie de la résilience elle-même. Ces preuves devraient survivre au roulement de la direction, à la pression du contentieux et à la mémoire du marché.

Le libellé de l'assurance a changé parce que le marché a appris

Une raison pour laquelle le litige Merck a attiré l'attention est qu'il a révélé un décalage entre le risque cybernétique et le libellé traditionnel des biens. Avant que les polices cybernétiques dédiées ne mûrissent, de nombreuses entreprises comptaient en partie sur des programmes de biens pour les dommages physiques, l'interruption d'activité, les dépenses supplémentaires et la perte de données ou de logiciels. NotPetya a montré que le malware pouvait produire une perte de type bien à une échelle historiquement associée aux catastrophes, tout en étant livré par logiciel et conflit géopolitique.

Les marchés de l'assurance ont réagi au fil du temps avec des libellés cybernétiques et de guerre plus explicites. Lloyd's a plus tard émis des directives de marché sur les exclusions de cyberattaques, y compris le langage d'exclusion des cyberattaques soutenues par l'État, par le biais de bulletins de marché publics tels quele Bulletin de marché Y5381 de Lloyd's. Le bulletin de Lloyd's ne fait pas partie de la décision du tribunal Merck et ne décide pas rétroactivement des polices de Merck. Il est pertinent car il montre le marché essayant de rédiger des règles d'allocation plus explicites après une expérience de perte cybernétique de haute gravité.

Des libellés plus clairs peuvent aider les deux côtés. Les assureurs doivent savoir quels risques cybernétiques systémiques ils tarifient. Les assurés doivent savoir si les polices de biens, cyber, crime et spécialisées répondent au malware qui endommage les systèmes et interrompt les opérations. Les gouvernements et les clients d'infrastructure critique doivent savoir si les fournisseurs ont une capacité crédible de transfert de risque ou d'auto-assurance après une catastrophe cybernétique. L'ambiguïté peut préserver la flexibilité de la transaction au placement, mais elle peut devenir une incertitude coûteuse après une perte.

Le point de responsabilité n'est pas que les assureurs avaient tort de s'inquiéter de l'accumulation cybernétique liée à l'État. Ils avaient un vrai problème d'agrégation: un seul événement de malware pouvait frapper de nombreux assurés à travers les frontières et les secteurs. Le point est que la préoccupation d'accumulation d'un assureur doit être traduite en libellé de police spécifique, clair, simple et bien en évidence. Le tribunal du New Jersey a jugé que l'exclusion des actes de guerre ou hostiles dont il était saisi n'avait pas fait ce travail pour NotPetya.

Pour les assurés, la leçon est tout aussi exigeante. Acheter une assurance ne remplace pas la résilience. Merck devait encore restaurer les opérations, gérer les commandes, enregistrer les pertes, préserver les preuves et continuer à fournir des produits. Le litige d'assurance a duré des années. Si la planification de la continuité suppose qu'un paiement de réclamation arrivera assez rapidement pour résoudre la perturbation opérationnelle, ce n'est pas de la planification de la continuité. L'assurance est un outil de récupération financière, pas un outil de redémarrage d'usine.

Le processus de placement a également besoin de participation technique. Un conseil d'administration peut approuver une tour de biens, une police cybernétique et une structure captive, mais les personnes qui comprennent les dépendances de fabrication connaissent souvent les véritables scénarios de perte. Le malware peut-il corrompre les données de recette, de lot, de libération ou d'expédition d'une manière que le libellé des biens reconnaît? La couverture d'interruption d'activité suit-elle les dommages aux logiciels et aux données, ou seulement l'équipement physique?

Les dépenses supplémentaires pour une production alternative, un travail de qualité manuel, des consultants externes, des reconstructions de postes de travail et la communication avec les clients sont-elles clairement couvertes? Les exclusions cybernétiques liées à l'État sont-elles rédigées d'une manière que le comité des risques peut modéliser? Le litige de Merck a montré que ces questions devraient être posées avant le renouvellement, pas après un événement de malware destructeur.

Un meilleur test de responsabilité pour le prochain NotPetya

Le dossier Merck suggère une liste de contrôle pratique pour les organisations ayant des rôles de production critiques. Premièrement, cartographiez les chemins de mise à jour de confiance. M.E.Doc était une application de confiance dans le dossier judiciaire. Un chemin de confiance peut devenir un chemin d'attaquant s'il est compromis en amont. Les entreprises devraient savoir quels systèmes de mise à jour tiers ont une portée réseau et quels environnements ils peuvent toucher. Deuxièmement, cartographiez le rayon de l'explosion.

Jusqu'où les justificatifs d'identité, la confiance de domaine, l'administration à distance, le stockage partagé et les outils de gestion des postes de travail peuvent-ils transporter le malware avant que la segmentation ne le ralentisse? Troisièmement, cartographiez l'opération minimale viable. Quelles fonctions de fabrication, de libération, de recherche, de ventes et d'expédition doivent continuer, et quels systèmes propres peuvent les soutenir?

Quatrièmement, répétez la préservation des preuves. Les journaux d'incident, les sauvegardes restaurées, les enregistrements de reconstruction, les notes d'impact sur la production, les effets sur l'inventaire, le carnet de commandes et les approbations de dépenses supplémentaires devraient pouvoir être collectés sans retarder la récupération urgente. Cinquièmement, alignez le libellé de l'assurance sur la réalité technique. Si l'on attend des polices de biens qu'elles couvrent la corruption de données, la restauration de système, les dépenses supplémentaires et l'interruption d'activité due au malware, cette attente devrait être explicite.

Si les assureurs ont l'intention d'exclure les événements cybernétiques destructeurs soutenus par l'État, cette exclusion devrait être suffisamment explicite pour que les conseils d'administration puissent comprendre le risque conservé avant la perte. Sixièmement, gardez les déclarations publiques bornées. Les dépôts de Merck ont fait cela mieux que de nombreuses entreprises en utilisant des chiffres spécifiques et en révisant les attentes.

Le public a également besoin de meilleures distinctions. Une déclaration d'attribution gouvernementale n'est pas la même chose qu'une exclusion de police. Une décision de première instance ou d'appel n'est pas la même chose qu'une décision de cour suprême. Un règlement n'est pas un aveu public de responsabilité. Un effet sur les ventes n'est pas la même chose qu'une perte assurée. Un nom de famille de malware n'est pas la même chose qu'une cause racine complète. Un site de fabrication restauré n'est pas la même chose qu'un impact en aval effacé.

Traiter ces termes avec soin n'est pas du pinaillage juridique; c'est ainsi que la responsabilité reste liée aux preuves.

Le dossier NotPetya de Merck reste l'un des exemples les plus clairs de risque cybernétique devenant risque d'entreprise, d'intérêt public et d'assurance en même temps. L'entreprise contrôlait des parties de la résilience de l'entreprise et de la récupération opérationnelle. Les assureurs contrôlaient la rédaction de la police et les positions de couverture. Les tribunaux contrôlaient l'interprétation des libellés contestés. Les gouvernements contrôlaient les déclarations publiques d'attribution.

Les patients, les prestataires, les distributeurs, les employés et les petites contreparties ont vécu des conséquences qu'ils ne pouvaient pas diagnostiquer indépendamment.

C'est pourquoi l'affaire compte encore après le règlement. Le règlement a clos le combat public, mais il n'a pas effacé la leçon opérationnelle. Un événement de malware destructeur peut passer d'une mise à jour logicielle de confiance à des dizaines de milliers de machines en quelques minutes, interrompre la fabrication et les ventes pharmaceutiques, générer des centaines de millions de dollars d'effets quantifiés et laisser des parties sophistiquées argumenter pendant des années sur l'application d'un ancien libellé de guerre.

La prochaine organisation ne devrait pas attendre cet argument pour découvrir ce que ses réseaux, ses plans de récupération et ses mots d'assurance signifient réellement.

Typographie

La typographie est l'art et la technique d'arranger les caractères pour rendre le langage écrit lisible, agréable à lire et visuellement attrayant. Elle implique la sélection de polices de caractères, de tailles de points, de longueurs de ligne, d'interlignage et d'espacement des lettres.

  • La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au 15ème siècle.
  • Les éléments clés incluent la sélection de la police, le crénage, le suivi et l'interlignage.
  • Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.