Le Lloyd’s souhaite désormais exclure des contrats d'assurance cyber de ses membres les pertes liées à des attaques soutenues par des États. Le marché londonien a donné à ses syndicats et managing agents jusqu’à mars 2023 pour ajuster leurs textes.

Dans son dernier bulletin d’informations, le marché des Lloyd’s a indiqué qu’il souhaitait dorénavant que soient exclues des contrats « les pertes résultant de toute cyberattaque soutenue par un État » et qui pourraient « entraver de manière significative la capacité d'un État à fonctionner ou entraver de manière significative les capacités de sécurité d'un État ».

Cette annonce doit permettre, selon le marché londonien, de clarifier les expositions des assureurs sur ce risque. « Les souscripteurs doivent tenir compte de la possibilité que des attaques soutenues par des États peuvent se produire en dehors d'une guerre impliquant la force physique. Les dégâts que ces attaques peuvent causer et leur capacité à se propager créent un risque systémique pour les assureurs », écrit notamment le Lloyd’s.

Sollicité par News Assurances Pro, un porte-parole du marché londonien précise que « l’avis donné cette semaine, après consultation de notre marché, vise à garantir que nous couvrions les bons types de risques en tant que marché, tout en abordant ce domaine complexe avec l'expertise et la diligence qu'il requiert. Nous continuerons à adopter une approche pragmatique et innovante pour soutenir la croissance de l’assurance cyber au Lloyd's ». 

Rien d’imposé

Alors même que le marché de l’assurance cyber continue de croître avec plus de 9Mds de dollars de primes cyber souscrites depuis début 2022 dans le monde (selon Munich Re), cette annonce a fait souffler « un petit vent de panique estival dans nos équipes », nous confie sous couvert d'anonymat le responsable français d'un syndicat. « Tout le monde revoit déjà ses appétits de souscription, ses polices et ses tarifs. Cette annonce vient encore complexifier la situation », ajoute ce dernier

En effet, si certains assureurs excluent déjà les cyberattaques non liées à la guerre et impliquant des acteurs étatiques, le Lloyd’s souhaite s’assurer que l’exclusion de ce type d’attaques soit rédigée « selon une norme appropriée, avec des formulations robustes ». Le marché a ainsi donné jusqu’au 31 mars 2023 (pour la souscription ou le renouvellement des polices) à ses membres pour ajuster leurs contrats. « Lors de la mise en œuvre des exigences énoncées ci-dessus, les managing agents (ndlr : qui gèrent les 75 syndicats du marché londonien) doivent également tenir compte aux termes de leurs programmes de réassurance, afin de s'assurer qu'ils fournissent des quatrièmes de couverture », poursuit la note.

En 2019 déjà, le Lloyd’s avait demandé à ses syndicats de préciser l’exclusion de la cybercriminalité dans les garanties dommages qu’ils proposaient. De son côté, la place forte britannique de l’assurance se défend de forcer la main à ses membres. « Le rôle du Lloyd's est de soutenir un marché de la cyberassurance compétitif et résilient et, dans ce communiqué, n'a pas imposé de clauses aux managing agents. Plutôt que d'appliquer une approche ''taille unique'' au type de risque en question, ces avis encouragent les managing agents à reconnaître et à appliquer une prudence particulière aux complexités spécifiques qui entourent les cyberattaques parrainées par des États », nous précise le Lloyd's.

Fin 2021, le marché de l’assurance cyber au Lloyd’s a atteint près de 1,4Md de dollars de primes souscrites, en hausse de 40% sur un an, selon le cabinet ITL Partners.