Les cyberattaques étatiques exclues par les Lloyd’s
A partir de mars 2023, le Lloyd’s of London exigera de tous ses groupes d’assureurs qu’ils excluent toute responsabilité pour les pertes résultant de cyberattaques étatiques.
Tout assurer ? Impossible. Les cyberattaques étatiques seront exclues dès mars prochain. Dans son bulletin de marché n° Y5381, publié le 16 août, le Lloyd’s déclare que, même s’il « continue à soutenir fermement la souscription d’une couverture contre les cyberattaques », il reconnaît que « le risque du commerce lié à la cybernétique est toujours en évolution ».
Par conséquent, l’organisation demandera à tous ses groupes d’assureurs d’appliquer une clause excluant la responsabilité pour les pertes découlant de toutes cyberattaques étatiques, conformément à plusieurs critères. Cette décision reflète l’état d’un marché de la cyberassurance presque mature et en évolution rapide.
Risques sysmiques
De la pandémie à la cyberguerre, une formulation claire des polices est essentielle pour les assureurs. « Lloyd’s reste fortement favorable à la rédaction d’une couverture contre les cyberattaques, mais reconnaît également que les activités liées à la cybersécurité continuent d’être un risque en évolution, indique le bulletin. S’il n’est pas géré correctement, il a le potentiel d’exposer le marché à des risques systémiques que l’on pourrait avoir du mal à gérer… » Le bulletin explique encore que « les pertes ont le potentiel de dépasser largement ce que le marché de l’assurance est capable d’absorber. »
Dans une approche progressive à partir de 2020, Lloyd’s a commencé à exiger que toutes les polices précisent si la cyber-couverture est fournie en incluant une couverture affirmative (via une cyber-police autonome) ou en l’excluant. « Lorsqu’ils écrivent les risques de cyberattaques, les souscripteurs doivent tenir compte de la possibilité que des attaques soutenues par l’État puissent se produire en dehors d’une guerre impliquant la force physique. Les dommages que ces attaques peuvent causer et leur capacité à se propager créent un risque systémique similaire pour les assureurs »,
Quatre modifications contractuelles majeures
Au minimum, l’exclusion des cyberattaques étatiques doivent :
– Exclure les pertes résultant d’une guerre (déclarée ou non), lorsque la police d’assurance ne comporte pas d’exclusion distincte pour la guerre. (Sous réserve du point 3), exclure les pertes résultant de cyberattaques soutenues par un État qui (a) compromettent de manière significative la capacité d’un État à fonctionner ou (b) compromettent de manière significative les capacités de sécurité d’un État.
– Préciser si la couverture exclut les systèmes informatiques situés en dehors de tout État qui est affecté, de la manière décrite aux points 2(a) et 2(b) ci-dessus, par les cyberattaques étatiques.
– Définir une base solide par laquelle les parties conviennent de la manière dont toutes cyberattaques étatiques seront attribuées à un ou plusieurs États.
– Veiller à ce que tous les termes clés soient clairement définis. « Cette clause doit s’ajouter à toute exclusion de guerre (qui peut faire partie de la même clause ou en être séparée), écrit encore le Lloyd’s. De plus, étant donné les complexités qui peuvent survenir dans la rédaction de clauses d’exclusion appropriées, les agents administrateurs doivent pouvoir montrer que ces exclusions ont été légalement examinées en tenant compte des intérêts des souscripteurs ».
