Encore difficiles à chiffrer, les conséquences de la panne mondiale de Microsoft vont pleinement mobiliser les (ré)assureurs du marché. Même s’ils seront peu impactés, ces derniers s’attendent à des milliers de réclamations pour interruption d’activité.

Victime d’une panne généralisée en fin de semaine dernière, l’arrêt des systèmes de Microsoft a semé une pagaille monstre dans des milliers d’entreprises et d’administrations à travers le monde. L’incident a cloué au sol des milliers d’avions et forcé des centaines de chaînes de télévision à annuler leurs programmes. De même, de nombreuses administrations, hôpitaux, ou services d’urgence ont été affectés, la panne privant également des milliers de clients de services bancaires.

Microsoft estime que 8,5 millions d'appareils Windows ont été touchés par cette panne dont l’origine est une mise à jour du logiciel de cybersécurité CrowdStrike.

1Md$ de pertes assurées

Pour l’heure, même si des correctifs ont été apportés, de nombreuses entreprises restent dans l’impossibilité de retrouver un fonctionnement normal. De fait, l’estimation précise des conséquences financières de cette panne reste complexe. « Les estimations préliminaires du marché concernant les pertes assurées mondiales se situent dans la fourchette moyenne à élevée du milliard de dollars et ne se traduiraient pas par un impact matériel pour les (ré)assureurs, mais elles sont sujettes à des réclamations et à des litiges en cours », estime l’agence de notation Fitch Ratings.

Seule certitude, celle des compagnies qui s’attendent à devoir traiter des milliers de réclamations pour interruption d'activité résultant de cette panne. Ainsi, les polices les plus susceptibles d’être activées sont la perte d’exploitation et l’assurance cyber. En parallèle, les assurances voyage, annulation d’événements et erreurs technologiques pourraient également être enclenchées.

Pas de cyberattaque

Plusieurs facteurs vont désormais déterminer les potentiels sinistres. La panne n’étant ni un incident de sécurité ni une cyberattaque, elle sera sans doute considérée comme « erreur de système », dont la couverture peut varier selon les contrats. « Certaines polices d'assurance cyber excluent les événements non malveillants et il existe des délais d'attente et des franchises que les entreprises devront prendre en compte avant de déposer une demande d'indemnisation auprès de leurs assureurs », a déclaré Nir Perry, patron de la plateforme spécialisée de CyberWrite.

De même, en fonction de la durée des pannes ou des cumuls de sinistres d’autres questions se posent. « Le logiciel CrowdStrike relève-t-il du périmètre du réseau de l’assuré ou du réseau d'une entreprise dépendante ou d'un prestataire externalisé ? », s’interroge WTW dans une récente publication dédiée. Quid de la durée de l’événement assuré pour que la couverture contre les pertes d'exploitation soit accordée ? « Comment la perte liée à l’interruption d’activité sera-t-elle calculée ? », se demande ensuite le courtier.

Si les experts du secteur s’accordent à dire que la force majeure ne s'appliquerait pas à l'événement, notamment pour les professionnels du secteur du voyage, l’interconnexion de cet évènement, son ampleur mondiale et sa durée, pourraient être considérés comme « une catastrophe d’assurance ». Côté réparation des machines en panne, restauration des systèmes et corrections des vulnérabilités dans le monde (incluant la main-d'œuvre, les mises à jour logicielles et les remplacements potentiels de matériel), le coût est quant à lui estimé entre 1 à 2Mds de dollars.