Le Lloyd’s of London a demandé à ses membres assureurs d’exclure à partir de mars 2023 la couverture des cyberattaques étatiques.
C’est dans un bulletin publié à la mi-août que l’organisation a indiqué vouloir que « toutes les polices autonomes contre les cyberattaques comprennent, sauf accord du Lloyd’s, une clause appropriée excluant la responsabilité pour les pertes résultant d’une cyberattaque soutenue par un État ».
Le marché de l’assurance britannique tient toujours à ce que soit fournie une couverture contre les attaques cyber, mais il souhaite que le périmètre soit revu et clarifié. Cette exclusion des risques liés aux cyberattaques étatiques devra « exclure les pertes découlant d’une guerre (déclarée ou non), lorsque la police ne comporte pas d’exclusion distincte pour la guerre », spécifie le bulletin. Par ailleurs, il souhaite la mise en œuvre d’un cadre robuste permettant « aux parties de convenir de la manière dont toute cyberattaque soutenue par un État sera attribuée à un ou plusieurs États ».
Des risques « systémiques »
Les risques apparaissent trop « systémiques » pour rester dans la situation actuelle, alors qu’une cyberattaque étatique, de par son ampleur, pourrait paralyser les infrastructures critiques du pays ciblé. « Les pertes peuvent dépasser largement ce que le marché de l’assurance est capable d’absorber. » Le conflit entre l’Ukraine et la Russie a remis ce risque sur le devant de la scène.
Il est prévu que ces exigences prennent effet le 31 mars 2023, à l’entrée en vigueur ou au renouvellement de chaque police.
Les assureurs autres que ceux du Lloyds et plus généralement les assureurs français et européens suivront-ils la même route ? Quelle que soit la réponse, une seule solution : les entreprises devront s’appuyer sur une cybersécurité plus forte.
