Le Lloyd’s durcit le ton face aux tensions dans le cyberespace. La vieille dame de la City a demandé à ses membres d’exclure toute responsabilité dans la réparation des pertes résultant de cyberattaques perpétrées par les États. Cette mesure inédite, qui devrait être applicable dès le 31 mars 2023, marque un tournant dans le secteur de la cyberassurance,
Dans un bulletin publié le 16 août 2022, le Lloyd’s s’est déclaré “très favorable” aux couvertures contre les cyber-attaques. Il les a même qualifiées de “produit apprécié des clients”. Toutefois, l’institution londonienne note que “les affaires liées à la cybernétique continuent d’être un risque en évolution”. Aujourd’hui, la menace est clairement identifiée. Et les conséquences potentiellement énormes, avec un risque dont la nature systémique s’impose à tous.
Le Lloyd’s a notamment montré du doigt les dommages récents liés à des piratages informatiques pilotés par des États souverains. Dans une situation de guerre larvée, certains États n’hésitent en effet pas à s’affronter sur le terrain du cyberespace. Que ce soit dans un contexte de guerre ou de non-guerre, le grand marché de l’assurance tient à s’assurer que les clauses d’exclusion de ce type de pertes dans les contrats de cyber assurance soient suffisamment explicites. Les polices concernées par cette décision présentent des indices de risques “CY” et “CZ”.
Si cette initiative du Lloyd’s peut faire jurisprudence auprès des autres assureurs, on peut toutefois s’inquiéter quant à la charge de la preuve. Les difficultés à démontrer l’implication effective d’un État dans une cyberattaque peut se révéler problématique. Déterminer si la clause d’exclusion est ou non applicable n’a rien d’évident. Dans de tels cas, c’est donc la conviction intime de l’assureur qui l’emporte, s’il est objectivement raisonnable de relier le sinistre à une origine étatique.
Voici donc un premier pas important de la part du secteur dans la restriction des couvertures. Il est clair que ce risque cyber devient de plus en plus difficile à adresser pour les assureurs. Et demain, ce sont potentiellement d’autres exclusions qui viendront s’ajouter. Dans ce contexte brûlant, les insurtechs semblent clairement avoir un rôle à jouer. En France, nous scruterons avec attention les évolutions de Stoïk et Dattak sur le sujet, notamment.
