25 février 2026
Cette analyse revient sur l’affaire Merck et l’attaque NotPetya de 2017,
Dans le cadre du cours de Droit des assurances approfondi, cette étude met en lumière la transformation des aéronefs en véritables plateformes numériques, exposées à des risques cyber spécifiques et particulièrement sensibles. Elle souligne les limites des modèles assurantiels traditionnels face à un risque systémique et hautement corrélé, ainsi que la difficulté de couvrir des scénarios relevant du cyber-terrorisme, situés à la frontière entre risque assurable et risque souverain, invitant ainsi à repenser l’adaptation des garanties existantes.
Par Sarah BENKHIRA,
Étudiante Master 2 Master 2 Droit bancaire et fintech, Université Côte d’Azur
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"
L’événement déclencheur fut l’attaque mondiale du wiper NotPetya en 2017. Attribuée à la Russie et visant initialement l’Ukraine, elle a causé des dégâts collatéraux massifs, dont des pertes estimées à 1,4 milliard de dollars pour le géant pharmaceutique Merck. Les assureurs ont refusé d’indemniser Merck, invoquant l’exclusion pour "Acte de Guerre" (Act of War), considérant l’attaque comme un acte d’hostilité étatique.
Le jugement de première instance a été favorable à Merck, statuant que la clause d’exclusion n’était pas assez précise pour être appliquée à NotPetya.
Bien que l’affaire ait abouti à un accord confidentiel, le marché a dû réagir :
- Prise de conscience du Risque Systémique : La menace d’attaques d’États (dites State-Sponsored) met en péril la solvabilité des assureurs.
- Révolution des clauses : Les assureurs ont massivement rédigé de nouvelles polices, plus précises. "Acte de Guerre" est remplacé par des clauses d’exclusion explicite pour les "Actes Hostiles Cybernétiques" ou les "Attaques soutenues par un État" .
Durcissement du marché : Augmentation des primes et exigences accrues en matière de cyber-sécurité pour les assurés.
L’évolution des cybermenaces vers des formes de guerre hybride rend obsolètes les cadres traditionnels de l’assurance.
Le contentieux Merck a révélé une urgence : celle d’aligner le droit des contrats sur les réalités géopolitiques du XXIe siècle. La pérennité du marché de la cyber-assurance dépendra désormais de sa capacité à produire des polices dont la précision technique élimine l’aléa de l’attribution politique.
En matière de cyber-attaque, l’attribution à un État repose souvent sur des analyses techniques. et des déclarations politiques, mais rarement sur des décisions juridictionnelles internationales.
Dès lors, peut-on fonder une exclusion contractuelle sur une attribution étatique non judiciaire ? Cette incertitude place les assureurs dans une position délicate et ouvre la voie à un contentieux accru, l’assuré pouvant contester la qualification d’attaque étatique. les cyberattaques tel que celle de l’affaire Merck ont révélés un risque systémique, comparable à une catastrophe naturelle globale. contrairement aux risques traditionnels, les cyberattaques peuvent :
– toucher simultanément des milliers d’assurés
– se propager instantanément
– générer des pertes non plafonnées
Cette réalité remet en cause le principe fondamental de mutualisation du risque, pilier du contrat d’assurance.
Sitographie
Affaire Merck : pour une assurance cyber, une cyberattaque est-elle un acte de guerre ?
NotPetya : Merck solde son contentieux avec ses cyber-assureurs
NotPetya : le procès gagné par Merck bouleverse la cyber-assurance
Sarah BENKHIRA