Axxima Logo

Exclusions des risques catastrophiques dans les polices de cyberassurance

Les cybermenaces posent des risques considérables pour les entreprises de toutes tailles, des fuites de données et violations de sécurité aux attaques par rançongiciel. Des mesures de cybersécurité robustes peuvent aider à contrer ces menaces, mais ultimement, aucune organisation n'est à l’abris des cyberincidents, même avec la mise en place de solides défenses.

C'est là que la cyberassurance joue un rôle crucial, offrant une protection financière contre les pertes potentielles résultant des cyberattaques. L'assurance peut fournir un filet de sécurité contre les cyberrisques, et il est crucial de comprendre les exclusions dans votre police d’assurance qui peuvent limiter la couverture.

Un type d'exclusion qui devient standard avec la cyberassurance est l'exclusion des risques catastrophiques en raison des cyberincidents généralisés notables contre les gouvernements et les entreprises ces dernières années, comme l'attaque NotPetya de 2017.

Cette cyberattaque sans précédent a affecté de nombreuses organisations dans le monde entier, entraînant des pertes financières substantielles. Nous expliquerons ci-dessous en détail le concept d'exclusions des risques catastrophiques.

Qu'est-ce que l’exclusion des risques catastrophiques dans une police d'assurance ?

L’exclusion des risques catastrophiques généralement incluse dans les polices d'assurance ont pour effet de limiter l'exposition de l'assureur à un événement unique pouvant entraîner des pertes extrêmement élevées et généralisées à travers un large groupe ou une zone. Les pertes résultant de la défaillance ou de l'indisponibilité des infrastructures nationales critiques telles que l'électricité, le gaz, l'eau, les satellites ou les télécommunications sont souvent exclues des polices d'assurance.

Ces événements sont généralement considérés comme étant d'une telle ampleur ou magnitude qu'ils pourraient avoir un impact significatif sur une large zone géographique ou causer des pertes financières importantes. Souvent, cela dépasse ce qu'un assureur privé est capable d'assurer seul et nécessite l'intervention du gouvernement pour gérer ces risques. Des exemples de risques catastrophiques souvent exclus de la couverture d'assurance sont les suivants:

Guerre et terrorisme

Les dommages ou les pertes résultant d'actes de guerre, de terrorisme ou de troubles civils peuvent être exclus de la couverture, surtout dans les zones sujettes à de tels événements.

Incidents nucléaires

Les polices d'assurance excluent souvent la couverture des dommages causés par des accidents nucléaires, des radiations ou des événements connexes.

Catastrophes naturelles

Certaines catastrophes naturelles telles que les tremblements de terre, les tsunamis, les ouragans et les inondations peuvent être exclues de la couverture, en particulier dans les zones à haut risque.

Pandémies

Les événements tels que des pandémies ou des crises sanitaires généralisées peuvent être exclus de la couverture, en particulier dans certains types de polices d'assurance comme l'assurance contre les interruptions d'activité.

Comment l’exclusion des risques catastrophiques s'applique en cyberassurance?

Les exclusions catastrophiques traditionnelles reliées à la guerre et au terrorisme étaient principalement conçues pour traiter des actes physiques tels que les bombardements ou les conflits armés.

Cependant, les cybermenaces opèrent dans un milieu très différent, où les attaques peuvent être menées à distance et de manière anonyme. Ces nouvelles menaces soulèvent des questions sur l'applicabilité des clauses d'exclusion traditionnelles aux cyberincidents.

De plus, contrairement aux événements catastrophiques traditionnels, l'attribution des cyberattaques à des acteurs ou des entités spécifiques peut être très complexe. Les attaquants peuvent utiliser des techniques sophistiquées pour masquer leur identité, ce qui rend difficile d'établir la culpabilité et d'évaluer si les clauses d'exclusion liées aux actions parrainées par certains états sont applicables.

Cyberrisques catastrophiques : une définition ambiguë

Il n'existe pas de définition formelle d'un "cyberrisque catastrophique".

Les définitions des cyberrisques catastrophiques peuvent refléter celles du monde physique, où elles impliquent souvent des événements uniques causant des pertes importantes ou affectant plusieurs assureurs. L'impact économique, les effets de réseau et la sévérité sont des mesures clés considérées dans la définition des cyberrisques catastrophiques.

  • L'impact économique inclut les pertes liées à l'indisponibilité du réseau ou des données, aux coûts de renforcement de la main-d'œuvre, à l’atteinte à la réputation et aux perturbations de l'offre et de la demande.
  • Les effets de réseau découlent des systèmes interconnectés et peuvent entraîner des impacts économiques non linéaires.
  • La sévérité fait référence à la gravité d'un incident et à son impact sur les entités.

Les attaques à grande échelle contre des éléments clés de l'infrastructure (par exemple les réseaux énergétiques) ou les principaux fournisseurs de « cloud » seront généralement considérées comme des événements catastrophiques.

Ces types d'événements sont-ils exclus de votre couverture ? Il n'y a pas de réponse claire, car cela dépendra des circonstances et de la formulation particulière de la police. Une discussion de panel d'experts menée en 2023 par la Casualty Actuarial Society et l'Institut de recherche de la Society of Actuaries a exploré ces concepts en détail.

Exclusions et cyberguerres

De nombreux cyberincidents se sont produits pendant des actes de guerre. Depuis des siècles, l'assurance a incorporé des exclusions pour les risques liés à la guerre.

En fait, l'exclusion de "toute guerre" a été une condition préalable de longue date pour les polices d'assurance couvertes sous Lloyd's de Londres. Avant la fin du XXe siècle, l'exclusion des périls de guerre était relativement simple. Un exemple principal de telles exclusions était le NMA 464, qui est resté inchangé dans sa formulation depuis avant la Seconde Guerre mondiale et a été largement adopté. L'exclusion de guerre était encadrée autour de l'acte physique d'une guerre déclarée.

En 2014, la cyberguerre a attiré l'attention du public lorsque la Russie aurait sponsorisé une série de cyberattaques contre des organisations ukrainiennes, y compris l'attaque NotPetya en 2017. NotPetya, un logiciel malveillant de type « wiper » (qui détruit les données), exploitant les vulnérabilités du système d'exploitation Microsoft, s'est rapidement propagée, causant des dommages considérables dans divers secteurs, y compris chez Merck, un géant pharmaceutique.

La demande d'indemnisation de Merck sous une police "tous risques" a été initialement refusée en raison d'une clause d'exclusion de guerre. Cependant, un tribunal du New Jersey aux États-Unis a statué en début 2022 que les assureurs doivent exclure explicitement les cyberopérations parrainées par l'État pour refuser la couverture, incitant les assureurs à élaborer des exclusions de guerre spécifiques à la cyberassurance pour des pertes catastrophiques.

Clauses d'exclusion de cyberguerre à partir d'août 2022

En août 2022, le « Lloyd’s Market Association » (LMA) a publié le Bulletin du marché Y5381, exigeant que toutes les polices cyber autonomes à partir du 31 mars 2023 rédigées par Lloyd’s intègrent une clause appropriée excluant la responsabilité des pertes découlant des cyberattaques parrainées par l'État.

Le bulletin se lit comme suit (traduction libre):

Au minimum, l'exclusion des cyberattaques soutenues par l'État doit:

  1. exclure les pertes découlant d'une guerre (déclarée ou non), lorsque la police d’assurance n'a pas d'exclusion de guerre distincte.
  2. (sous réserve du point 3) exclure les pertes découlant des cyberattaques soutenues par l'État qui (a) entravent significativement la capacité d'un État à fonctionner ou (b) qui entravent significativement les capacités de sécurité d'un État.
  3. être claire quant à savoir si la couverture exclut les systèmes informatiques situés en dehors de tout État qui est affecté de la manière décrite au point 2(a) & (b) ci-dessus, par la cyberattaque soutenue par l'État.
  4. établir une base solide sur laquelle les parties conviennent de la manière dont toute cyberattaque soutenue par l'État sera attribuée à un ou plusieurs États.
  5. s'assurer que tous les termes clés sont clairement définis.

En plus de Lloyd's, la plupart des autres assureurs ont introduit des lignes directrices similaires pour traiter le potentiel de risque catastrophique des cyberattaques parrainées par l'État, avec ces exclusions désormais courantes dans les polices de cyberassurance.

Des questions sur une police de cyberassurance ?

Si vous possédez une entreprise avec une police de cyberassurance, vous aurez probablement des questions liées à toute clause d'exclusion des risques catastrophiques qui apparaît.

Chez Axxima, nos professionnels de l'assurance expérimentés peuvent vous aider à comprendre si ces clauses excluent un risque particulier qui vous préoccupe, et si la police dans son ensemble convient à votre entreprise.

Contactez notre équipe expérimentée de professionnels pour en savoir plus sur les exclusions des risques catastrophiques qui apparaissent dans votre police d’assurance.

fr_CAFR