En juin 2017, le logiciel malveillant NotPetya a déclenché une cyberattaque mondiale qui aurait coûté quelques dix milliards de dollars. Introduit d’abord sur le marché ukrainien, ce malware a essaimé essentiellement en Europe. Comme souvent dans ce genre d’attaque, l’origine de NotPetya n’a jamais été formellement identifiée par la France. Mais d’autres États et nombre d’observateurs ont pu faire le lien avec le contexte conflictuel opposant la Russie à l’Ukraine à la suite de l’annexion en 2014 de la Crimée par Moscou.
« Cette cyberattaque a généré plusieurs contentieux entre les entreprises touchées et leur compagnie d’assurance sur la qualification d’un état de guerre qui fait généralement l’objet d’une clause d’exclusion de garantie dans une police d’assurance », rappelle Paul Berger de Gallardo, avocat spécialisé en Droit des Assurances chez Taylor Wessing, « or, en matière de cyberattaque, il peut être difficile d’une part de qualifier de guerre une telle opération et d’autre part d’attribuer l’attaque à un État ».
C’est dans ce contexte d’augmentation des menaces cyber suspectées d’être initiées par des États, notamment dans le cadre de conflits hybrides, que l’Association du marché du Lloyd’s a publié le 25 novembre 2021 des modèles de clauses d’exclusion, destinés à clarifier les polices d’assurance londoniennes. L’association recommande ainsi d’instaurer une clause d’exclusion dédiée à la cyberattaque menée par un État, ou en son nom, contre un autre État. Elle propose également différents modèles avec une gradation de l’exclusion selon le type de conflits, les États concernés et l’existence de plafonds de garantie. Ces clauses font en outre peser la charge de la preuve de la qualification d’une cyberguerre sur l’assureur, mais lui permettent d’en démontrer l’origine étatique soit en cas d’attribution officielle soit, à défaut, par toute autre preuve existante.
Créer une clause d’exclusion spécifique
Ces recommandations sont toutefois difficiles à transposer sur le marché français, estime Paul Berger de Gallardo : « l’article L121.8 du code des assurances dispose en effet que “l'assureur ne répond pas (…) des pertes et dommages occasionnés (…) par la guerre étrangère” et que “l'assuré doit prouver que le sinistre résulte d'un fait autre que le fait de guerre étrangère”. Pour clarifier la situation concernant les cas de cyberguerre, il faudrait donc modifier l’article de loi en intégrant expressément ce cas de figure dans le champ de l’exclusion de la “guerre étrangère”, ce que propose le Haut Comité Juridique de la Place Financière de Paris. Mais pour l’heure, cette modification demeure hypothétique ».
L’avocat évoque donc une autre voie pour les assureurs qui consiste à insérer d’eux-mêmes une clause d’exclusion spécifique en s’inspirant des recommandations du Lloyd’s. « Mais attention, il est crucial de respecter la législation française en matière d’énoncé des clauses d’exclusion qui doivent être “formelles et limitées”. Il est donc déconseillé de faire un copier-coller des modèles du Lloyd’s qui pourrait s’avérer trop imprécis au regard du régime français. La jurisprudence est en effet très stricte sur ce sujet. Cette solution est certes imparfaite, mais bien moins que de laisser planer un doute sur cette question », conclut cependant Paul Berger de Gallardo.