L’Université de Californie poursuit les syndicats de Lloyd’s pour une cyberassurance

La cyberattaque contre le système de santé de l’Université de Californie à Los Angeles, révélée en mai 2015 et détecté fin 2014, a exposé des données sensibles sur environ 4,5 millions de patients actuels et anciens. Les victimes ont poursuivi UCLA Health en 2015 dans le cadre de plusieurs poursuites, qui ont été regroupées en une seule action plus tard cette année-là, alléguant que le système n’avait pas correctement protégé leurs informations privées.

UCLA Health a réglé ce procès en 2019 pour 7,5 millions de dollars et a engagé des coûts supplémentaires liés à la réponse aux incidents et à la protection de l’identité des victimes. L’université a déposé des réclamations d’assurance pour récupérer ces dépenses. Les assureurs, que les régents ont déclaré ne pas pouvoir nommer dans la plainte, ont refusé toutes les réclamations, affirmant que UCLA Health n’avait pas satisfait aux exigences de cybersécurité prévues par les termes du contrat. L’université nie qu’elle n’a pas respecté les exigences de cybersécurité dans les politiques.

L’Université de Californie a refusé de commenter. Lloyd’s n’a pas répondu à une demande de commentaire.

Les régents ont déclaré qu’ils avaient été contraints d’intenter une action en justice après que les syndicats aient refusé de participer à une procédure alternative de règlement des différends, comme le stipule la politique. Les assureurs ont déclaré que le délai de prescription pour les réclamations sur la police avait expiré le 7 juin 2021, selon la plainte.

Sherilyn Pastor, responsable du groupe de couverture d’assurance du cabinet d’avocats McCarter & English, a déclaré que les délais de prescription sont un problème assez fréquent dans les litiges d’assurance. Elle a déclaré que les entreprises devraient lire attentivement leurs contrats et vérifier si les délais de dépôt des réclamations sont plus courts que ceux de la législation de l’État.

Les disputes entre les assurés et les assureurs peuvent durer des années et se heurter à des limites car l’évaluation des dommages causés par un incident n’est pas facile, a-t-elle déclaré.

« Il se peut que vous ne sachiez pas si vous avez subi une perte en raison de la violation jusqu’à un moment ultérieur, et vous devez donc connaître la loi, car il se peut qu’il se soit produit quelque chose qui prolonge vos règles, ou que la période ne court même pas encore », a déclaré Pastor.

Les assureurs ont fait face à un certain nombre de poursuites judiciaires résultant de cyberattaques, certaines affaires mettant des années à se frayer un chemin devant les tribunaux après l’incident initial. Certains ont trait à des différends sur la traitement des renouvellements et d’autres domaines, et beaucoup se concentrent sur ce qui est couvert ou non par une politique.

En mai, un Le tribunal du New Jersey a statué que les assureurs doivent couvrir les frais engagés par le géant pharmaceutique Merck, après l’entreprise en 2017 a été victime du virus NotPetya, qui, selon les États-Unis, a été publié par la Russie. Moscou nie les allégations, mais les assureurs ont fait valoir que l’incident relevait d’une exclusion pour actes de guerre. Lloyd’s a depuis a ordonné à ses syndicats d’exclure attaques catastrophiques lancées par les États-nations à partir de cyberpolitiques.

Le producteur alimentaire Mondelez a réglé en novembre avec ses assureurs des dommages à NotPetya totalisant plus de 100 millions de dollars, sans divulguer les conditions.

“Le défi avec l’assurance, du moins de mon point de vue, est que ce que vous achetez vraiment est la promesse de payer à une date ultérieure”, a déclaré McCarter & English’s Pastor. “Donc, plus vous pouvez voir à l’avance et comprendre ce que cette promesse va réellement signifier et ressembler, mieux c’est.”

Écrivez à James Rundle à [email protected]