C'est un dossier tombé en octobre dans l'escarcelle d'un tribunal de l'Illinois et révélé par le Financial Times : en juin 2017, le géant de l'agroalimentaire Mondelēz a été touché par NotPetya, le logiciel malveillant qui a frappé l'Ukraine puis des entreprises dans plusieurs pays. En vertu d'un contrat couvrant «la perte ou les dommages matériels» causés par «l'introduction malveillante de code machine ou d'instructions», la multinationale réclame 100 millions de dollars. Ce que la filiale américaine de l'assureur suisse Zurich refuse, en invoquant une clause d'exclusion en cas d'«acte hostile ou guerrier» par un «gouvernement ou pouvoir souverain».

Si le risque de guerre est un cas classique d'exclusion dans ce domaine, l'argument de l'assureur est une première dans le domaine «cyber». Le dossier fait phosphorer le secteur. En février 2018, Les Etats-Unis, le Royaume-Uni et l'Australie ont accusé Moscou d'être à l'origine de NotPetya. Avec des conséquences pas seulement diplomatiques : désormais, «une compagnie d'assurance refuse d'indemniser un dommage sur la foi d'une attribution prononcée par un Etat», relevait mercredi Gérald Vernez, du département fédéral suisse de la Défense.

Reste aussi à savoir ce que recouvre la notion d'«acte de guerre» dans le cyberespace. La charte de l'ONU reconnaît un «droit naturel de légitime défense» aux Etats objets «d'une agression armée». En France, dès 2013, le «Livre blanc sur la défense» jugeait qu'une «attaque de grande envergure susceptible […] de déclencher des catastrophes technologiques ou écologiques, et de faire de nombreuses victimes», pourrait être considérée comme «acte de guerre». En mars 2018, la Revue stratégique de cyberdéfense a préconisé de définir une classification, mais souligne qu'un schéma de classement «ne permettra cependant jamais, à lui seul, de régler les questions d'évaluation et de caractérisation d'une attaque cyber».