Royaume-Uni: L’assurance cyber confrontée aux limites des cadres traditionnels

Ces dernières années, plusieurs affaires ont mis en évidence une tension croissante entre assureurs et entreprises assurées. En cause : l’utilisation de clauses d’exclusion liées aux “actes de guerre”, que certains assureurs invoquent pour refuser l’indemnisation de cyberattaques lorsqu’elles sont suspectées d’être liées à des États ou à des groupes soutenus par des États.

Ce type de clause, historiquement conçu pour des conflits armés classiques, se retrouve aujourd’hui appliqué à des situations beaucoup plus difficiles à interpréter. Contrairement à un événement physique, l’attribution d’une cyberattaque repose sur des analyses techniques et des probabilités, rarement sur des certitudes. Cela ouvre la voie à des contestations, comme l’ont montré plusieurs litiges impliquant de grandes entreprises internationales.

Pour les assureurs, l’enjeu est de limiter leur exposition à des risques potentiellement systémiques, notamment dans un contexte où certaines attaques peuvent affecter simultanément un grand nombre d’organisations. Pour les entreprises, la question est plus directe : savoir dans quelles conditions elles sont réellement couvertes.

Dans ce contexte, le marché tend à se durcir. Les polices deviennent plus encadrées, les exclusions plus explicites et les conditions de souscription plus exigeantes. Mais cette évolution a un effet secondaire : une perte de lisibilité pour les assurés, qui doivent désormais analyser plus finement des contrats devenus techniques et parfois ambigus.

Au fond, ce que révèle la situation actuelle, c’est un décalage entre la nature des cyber risques diffus, évolutifs, difficiles à attribuer — et des cadres contractuels encore largement hérités d’une logique plus classique de l’assurance.