Le LG Tübingen a rejeté le procès d’une compagnie d’assurance cyber, qui est censée payer les dommages causés aux serveurs insuffisamment sécurisés d’une entreprise.

L’avocat Jens Ferner rend compte d’une affaire qui a récemment été négociée entre une compagnie d’assurance cyber et une entreprise au tribunal de district de Tübingen. Selon le verdict, l’entreprise concernée a droit à des performances même si tous les serveurs n’étaient pas équipés des dernières mises à jour de sécurité. Dans ce cas, de nombreux serveurs ont été pris en charge en exploitant une vulnérabilité connue de Windows appelée « pass-the-hash ».

La cyberassurance doit payer malgré la négligence de l’entreprise

Le tribunal a souligné que l’expert commis d’office avait expliqué de manière compréhensible et convaincante qu’un grand nombre des serveurs utilisés ne disposaient pas de mises à jour de sécurité à jour et que celles-ci étaient donc obsolètes. Toutefois, cela n’a eu aucune influence sur la survenance de l’événement assuré ni sur l’étendue des dommages en résultant. D’après les conclusions de l’expert, 21 serveurs en disposaient seul dix sur les mises à jour de sécurité requises. Avec 11 serveurs, les mises à jour logicielles avaient donc été délaissées. L’entreprise a donc agi avec négligence, plaide la compagnie d’assurance cyber. L’entreprise est au moins en partie responsable des dégâts considérables.

Cependant, la cyberattaque a réussi sur un total de 16 des 21 serveurs et systèmes concernés avec toutes les versions de système d’exploitation, y compris la version actuelle Windows Server 2019. Selon l’expert en informatique judiciaire, des inconnus ont exploité une soi-disant « vulnérabilité de conception ». ” dans Windows, qui existe également dans les versions actuelles est disponible.

Pas de système de surveillance, pas d’authentification 2FA

Les avocats de la compagnie d’assurance cybernétique ont tenté de contester l’absence d’authentification à deux facteurs et le système de surveillance manquant de l’entreprise. Si un bon système de surveillance avait été en place, cela aurait probablement déclenché une alarme pour avertir les responsables. Mais cela aussi n’était pas pertinent dans ce contexte. La compagnie d’assurance doit maintenant payer les deux tiers des dommages causés par le piratage.

La cyberassurance voulait couper le paiement

Une réduction de paiement due au manque de mesures de sécurité de l’entreprise a également échoué devant les tribunaux. La compagnie d’assurance n’a pas clarifié les problèmes de risque tels que 2FA ou la surveillance lors de la conclusion du contrat. C’était le seul moyen de transférer tout ou partie des risques en cas de sinistre sur l’assuré.

Le jugement n’est pas une carte blanche pour les entreprises

Nous avons brièvement interrogé l’avocat spécialisé en droit informatique et pénal d’Aix-la-Chapelle, Jens Ferner, à propos de l’affaire. Pour nous, le jugement a semblé être une sorte de carte blanche pour les gestionnaires qui veulent économiser de l’argent pour plus de sécurité informatique. De ce fait, il est tout à fait possible d’oublier d’installer les mises à jour car vous pouvez compter sur la cyber assurance pour payer les éventuels dommages qui pourraient survenir. Mais ce n’est pas si simple. L’avocat note par ailleurs que, comme c’est si souvent le cas dans les litiges juridiques, le diable se cache dans les détails.

« C’est un laissez-passer gratuit (le jugement) certainement pas. Au contraire, cela indique plus clairement où se trouvent les problèmes juridiques en détail. Dans ce cas, la causalité entre les mises à jour de sécurité et l’attaque n’existait tout simplement pas ; à part cela, c’est une question de droit des assurances que cette condition était déjà présente au début de la couverture d’assurance et n’a pas été frauduleusement trompée à ce sujet – d’où le résultat de la couverture d’assurance.

Le piratage aurait pu être évité avec peu d’effort

Mais je souligne consciemment qu’il ne faut pas se concentrer là-dessus : En même temps, la direction est inscrite dans le journal de bord que l’incident aurait pu être évité avec de simples mesures de sécurité (2FA). Comme ceux-ci n’existaient pas au départ, cela n’a aucune importance au regard du droit des assurances. Cependant, en termes de droit de la responsabilité dans les relations internes entre l’entreprise et la direction, cela peut entraîner des réclamations.

(…) Il est important de comprendre qu’au final, tout est une question de détails – et le fait qu’il vous reste 1/3 à la fin montre que vous ne devriez pas le prendre comme un laissez-passer, mais plutôt comme un avertissement. »

Pour la cyber-assurance, il serait judicieux de modifier la procédure de conclusion des contrats en temps opportun afin que vous n’ayez plus à payer financièrement de tels dommages dans des conditions comparables. Il faut espérer que toutes les parties au différend en tireront des leçons.

Si vous souhaitez lire l’arrêt (AZ 4 O 193/21) de la 4e chambre civile du tribunal d’instance de Tübingen, il est disponible en ligne ici.