À partir de mars 2023, le Lloyd’s of London exigera de tous ses groupes d’assureurs qu’ils excluent toute responsabilité pour les pertes résultant de cyberattaques soutenues par des États. Reste que la question de l’attribution sera certainement source de litige.
Le marché de l’assurance britannique Lloyd’s of London s’apprête à introduire, à partir de 2023, des exclusions dans la cyberassurance pour la couverture des attaques « catastrophiques » soutenues par des États. Dans un bulletin du marché publié le 16 août 2022, le Lloyd’s a déclaré que, même s’il « continue à soutenir fermement la souscription d’une couverture contre les cyberattaques », il reconnaît que « le risque du commerce lié à la cybernétique est toujours en évolution ». Par conséquent, l’organisation demandera à tous ses groupes d’assureurs d’appliquer une clause excluant la responsabilité pour les pertes découlant de toute cyberattaque épaulée par un État, conformément à plusieurs critères. Cette décision reflète l’état d’un marché de la cyberassurance presque mature et en évolution rapide.
Les attaques étatiques, un risque systémique pour les assureurs
Dans son bulletin, le Lloyd’s of London écrit qu’il insiste constamment sur le fait que les assureurs doivent être clairs dans leurs formulations quant à la couverture qu’ils offrent, en particulier, en ce qui concerne les cyberattaques impliquant des acteurs étatiques. « Quand ils souscrivent des risques de cyberattaques, les souscripteurs doivent tenir compte de la possibilité que des attaques soutenues par des États puissent se produire en dehors d’une guerre impliquant la force physique. Les dommages que ces campagnes peuvent causer et leur capacité à se propager créent un risque systémique similaire pour les assureurs », a déclaré l’organisme. « Le Lloyd’s vise à s’assurer que tous les syndicats d’assureurs proposant ce type de contrats, le font à un niveau approprié, et qu’ils sont très clairement formulés », a-t-il ajouté.
« Nous considérons que les complexités qui peuvent découler des expositions aux cyberattaques dans le contexte de la guerre ou de la non-guerre, des attaques soutenues par un État signifient que les souscripteurs doivent vérifier la bonne formulation juridique de leurs contrats et s’assurer qu’ils sont suffisamment explicites », a encore déclaré le Lloyd’s. « À l’avenir, toutes les polices autonomes contre les cyberattaques relevant des indices de risque « CY » et « CZ » doivent inclure une clause appropriée excluant la responsabilité pour les pertes découlant de toute cyberattaque soutenue par un État conformément aux exigences énoncées ci-dessous », a encore déclaré le Lloyd’s.
Les modifications contractuelles
Au minimum, l’exclusion de la cyberattaque d’origine étatique doit :
– Exclure les pertes résultant d’une guerre (déclarée ou non), lorsque la police d’assurance ne comporte pas d’exclusion distincte pour la guerre. (Sous réserve du point 3), exclure les pertes résultant de cyberattaques soutenues par un État qui (a) compromettent de manière significative la capacité d’un État à fonctionner ou (b) compromettent de manière significative les capacités de sécurité d’un État.
– Préciser si la couverture exclut les systèmes informatiques situés en dehors de tout État qui est affecté, de la manière décrite aux points 2(a) et 2(b) ci-dessus, par la cyberattaque soutenue par l’État.
– Définir une base solide par laquelle les parties conviennent de la manière dont toute cyberattaque soutenue par un État sera attribuée à un ou plusieurs États.
– Veillez à ce que tous les termes clés soient clairement définis. « Cette clause doit s’ajouter à toute exclusion de guerre (qui peut faire partie de la même clause ou en être séparée) », écrit encore le Lloyd’s. « De plus, étant donné les complexités qui peuvent survenir dans la rédaction de clauses d’exclusion appropriées, les agents administrateurs doivent pouvoir montrer que ces exclusions ont été légalement examinées en tenant compte des intérêts des souscripteurs ».
Les exigences prendront effet à partir du 31 mars 2023, à l’entrée en vigueur ou au renouvellement de chaque police, sans qu’il soit nécessaire d’avaliser les polices existantes et en vigueur, sauf lorsque la date d’expiration se situe à plus de 12 mois du 31 mars 2023, selon le Lloyd’s. « Les agents administrateurs commenceront sans doute à définir leur approche en amont pour adopter des clauses d’exclusion appropriées (y compris l’obtention de toute révision juridique nécessaire) », a-t-il ajouté.
Une exclusion prévisible
Selon Jonathan Armstrong, avocat associé du cabinet de conformité Cordery, la décision du Lloyd’s d’appliquer des exclusions concernant les cyberattaques d’origine étatique n’est pas surprenante, mais elle illustre bien le fait que les cyberattaques ne sont souvent pas seulement une question d’argent. « Ce n’est pas une surprise – tout comme le terrorisme et les actes de guerre ont été exclus de la couverture d’assurance conventionnelle pendant des années. Nous avons vu comment les États-nations utilisent la cyberguerre pour lever des fonds pour des programmes de missiles, etc., mais aussi pour semer la panique et le désespoir, de la même manière que les actes de terreur ont été utilisés dans la vraie vie durant des centaines d’années ». il ajoute, « mon intuition me dit que les assureurs autres que ceux du Lloyd’s vont tous suivre le mouvement ». Tout en observant « que pour certaines entreprises, il est de plus en plus délicat de souscrire une cyber couverture, avec des primes plus élevées et des limitations toujours plus strictes ». « C’est aussi une manière de rappeler aux entreprises que l’assurance n’est pas la solution à tout et qu’il leur revient de renforcer leurs propres défenses ».
Le problème de l’attribution des cyberattaques
« L’attribution des cyberrattaques va devenir un réel problème pour les entreprises », a ajouté M. Armstrong. « Même si, avec l’aide d’un spécialiste, on peut souvent dire qu’il existe des indices probants de l’implication d’un État, nous savons qu’il est difficile d’en avoir la certitude. Or cette difficulté est une source probable de litiges, car les assureurs peuvent penser qu’il y a une implication d’un gouvernement, mais l’assuré peut penser que ce n’est pas le cas ». La mise en place de procédures adéquates sera essentielle, et pour pouvoir attribuer correctement l’origine de la cyberattaque, l’entreprise aura besoin d’une surveillance pertinente et efficace de ses systèmes pour faciliter l’enquête. « Il est probable qu’elle ait besoin de l’aide d’un spécialiste pour analyser ces preuves », a ajouté M. Armstrong. « Comme toujours, il vaut mieux se préparer à une attaque avant qu’elle ne se produise, et certaines entreprises voudront tester à nouveau leurs plans de préparation en vue de rassembler les preuves pour convaincre leurs assureurs que leur sinistre entre dans le champ d’application de leur contrat ».
« Cependant, même si l’on arrive à identifier précisément l’attaquant, les entreprises pourraient toujours avoir du mal à prouver l’implication d’un État » a écrit pour sa part Lisa Forte, consultante en cybersécurité. « Même si on identifie le groupe à l’origine de l’attaque, même si on le localise dans un pays (disons la Russie), et même si on peut montrer que le gouvernement russe connaissait le groupe qui a attaqué l’entreprise et n’a pris aucune mesure à son encontre, cela ne suffit pas, en vertu du droit international, à prouver que les actions de ce groupe sont affiliées à l’État », souligne-t-elle. Avant d’ajouter, « en fait, même si l’on a des preuves solides que le gouvernement russe a payé le groupe qui a attaqué l’entreprise, cela ne serait toujours pas suffisant pour satisfaire à cette exigence élevée. L’État doit exercer un certain niveau de contrôle opérationnel et managérial sur le groupe pour entrer dans le cas de figure exigé ».
« Aux États-Unis, il incomberait aux assureurs de prouver que l’exception s’applique, mais ce n’est pas le cas dans tous les pays, de sorte qu’il pourrait incomber à la victime d’avoir à démontrer l’inverse », a ajouté la consultante. « Parmi les très nombreux commentaires exprimés sur cette décision, certains ont déclaré que l’attaque n’aura pas nécessairement besoin d’une attribution officielle pour être exclue de la couverture de la police. L’assureur peut décider (…) s’il est ‘objectivement raisonnable d’attribuer les cyberattaques à des activités étatiques’. Ainsi, l’assureur pourrait prétendre que l’attaque est exclue parce qu’il est ‘raisonnable’ de l’attribuer à un État-nation. Sans doute pas le niveau de clarté que l’on pourrait espérer ! »