Article

Un nouveau libellé d’exclusion relative aux « cyberguerres » soulève des inquiétudes

La présente note vise à offrir une analyse, un aperçu et des idées permettant aux parties prenantes de faire avancer les choses de façon productive en ce qui concerne le nouveau libellé d’exclusion des polices de cyberassurance relative aux guerres, aux cyberguerres et aux cyberactivités, ainsi qu’aux préoccupations liées aux risques catastrophiques.

Hands typing on laptop computer

La présente note vise à offrir une analyse, un aperçu et des idées permettant aux parties prenantes de faire avancer les choses de façon productive en ce qui concerne le nouveau libellé d’exclusion des polices de cyberassurance relative aux guerres, aux cyberguerres et aux cyberactivités, ainsi qu’aux préoccupations liées aux risques catastrophiques.

Les risques et les conséquences de ce qui peut constituer une « cyberguerre », parallèlement au problème de cyberterrorisme perpétré par des États-nations, des mandataires ou d’autres entités, représentent un défi mondial pour les forces de l’ordre, les gouvernements, les dirigeants d’entreprise et, de plus en plus, le marché des assurances. Ces défis sont aggravés par une activité bien financée et organisée de syndicats internationaux de piratage qui fonctionnent dans un écosystème de cybercriminalité rentable.

Dans le contexte du marché des assurances, les cyberrisques présentent des défis et des questions uniques : quels types et éléments de ce risque demeureront assurables? Comment peut-on déterminer et distinguer les risques et les effets non assurables en vue de fournir la certitude contractuelle nécessaire? En fin de compte, les réponses à ces questions profiteront à la fois aux assureurs et aux assurés, et elles sont essentielles pour favoriser le bon fonctionnement du marché.

Récemment, la Lloyd’s Market Association (LMA) a tenté de répondre à certaines de ces préoccupations au nom des syndicats du Lloyd’s et des participants du marché en proposant un ensemble de quatre nouveaux modèles d’exclusion relative aux guerres, aux cyberguerres et aux cyberactivités.

La rédaction de ce nouveau libellé s’est étendue sur plus de deux ans. Et pourtant, ces nouvelles exclusions risquent d’accroître l’incertitude quant à la portée et à l’exécution des polices qui les invoquent, compromettant du même coup l’assurance que les clients peuvent tirer de toute garantie dans le cadre de leurs programmes de cyberassurance.

Enjeux posés par les exclusions relatives aux guerres, aux cyberguerres et aux cyberactivités de la LMA

Les quatre nouvelles exclusions de la LMA – LMA5564, LMA5565, LMA5566 et LMA5567 – reposent sur des concepts et des structures similaires, allant de la suppression de la garantie en raison d’une guerre ou d’une activité d’un État-nation aux exceptions prévues pour l’activité d’un État-nation en dessous d’un certain seuil.

Bien que ces exclusions aient été expressément conçues pour les polices de cyberassurance autonomes, la LMA n’a pas encore confirmé leur utilisation dans le cadre d’autres polices émises par le Lloyd’s. Heureusement, le déploiement ou l’adoption à grande échelle de ces exclusions n’a pas eu lieu à ce jour, car elles ont été finalisées et publiées en décembre 2021 seulement.

Il est important de noter que, même si toutes les polices doivent exclure les pertes causées par les guerres, sauf dans des circonstances limitées, les syndicats du Lloyd’s et les participants du marché ne sont pas tenus d’utiliser ces nouvelles exclusions. Bon nombre d’entre eux envisagent de modifier le libellé ou adoptent une approche attentiste avant de prendre d’autres mesures. Cela dit, le LMA n’a pas encore confirmé si, avec le temps, ces exclusions peuvent être utilisées comme libellés types non qualifiés pour les polices d’autres secteurs d’activité émises par le Lloyd’s.

En examinant les nouvelles clauses d’exclusion, nous avons identifié plusieurs sujets de préoccupation :

Nouveaux termes + plus de mots = nouvelle incertitude

Dans leur ensemble, les nouvelles exclusions introduisent et dépendent d’un certain nombre de termes ambigus, tels que « répercussions préjudiciables majeures » (traduction libre de « major detrimental impact ») et « services essentiels » (traduction libre de « essential services »), qui ont actuellement soit un seuil ambigu, soit un sens peu clair, soit aucune interprétation ordinaire. Le fait que les exclusions introduisent le terme « cyberguerres » (traduction libre de « cyber war »), sans le définir, peut également s’avérer potentiellement problématique.

Chacune des exclusions repose sur un nouveau concept de « cyberactivité » (traduction libre de « cyber operation »), dont la définition est étroitement liée à celle contenue dans le Manuel de Tallinn[1], outil largement utilisé pour façonner des polices et source d’information influente pour les conseillers juridiques. Il convient de noter que la définition d’une cyberactivité contenue dans les exclusions de la LMA omet un concept fondamental contenu dans le Manuel de Tallinn, à savoir un seuil correspondant à partir duquel une cyberactivité malveillante peut être qualifiée d’acte de guerre en violation du droit international – et ainsi, perpétue la confusion quant aux événements pouvant déclencher l’exclusion.

Il est utile de s’appuyer sur des ouvrages de référence existants comme le Manuel de Tallinn. Cependant, le manuel n’est pas une doctrine convenue; il n’y a pas de consensus quant à savoir quelles cyberactivités en dehors de la guerre traditionnelle correspondent au seuil de la guerre, et il existe actuellement un projet de cinq ans (lancé en 2021) pour réviser et mettre à jour le manuel afin de refléter la nature évolutive des cyberattaques.  

De plus, les nouvelles exclusions ont été publiées sans que la LMA les accompagne de directives ou d’explications illustratives. Cela laisse les courtiers et les assurés dans l’incertitude quant au moment où les syndicats et les autres participants du marché peuvent utiliser ces libellés, ou à la façon dont ils doivent être interprétés.

L’attribution demeure ambiguë

L’un des problèmes les plus épineux des cyberattaques est l’anonymat accru dont jouissent les auteurs d’attaques à distance sur Internet. Il est souvent pratiquement impossible d’être certain de l’origine d’une attaque ou de la raison de cette attaque.

Les nouvelles clauses de la LMA offrent aux assureurs toute une série de moyens potentiels inédits pour résoudre la question difficile de l’attribution d’une cyberattaque à un État souverain, et pourtant, plusieurs lacunes subsistent.

Premièrement, l’attribution peut être dérivée de toute déclaration faite par le gouvernement de l’État dans lequel le système informatique affecté par la cyberactivité est physiquement situé, peu importe son exactitude, son importance ou sa motivation politique.

Deuxièmement, si le gouvernement concerné n’attribue pas l’attaque de manière affirmative, l’assureur peut être amené à se fier aux inférences faites par toute autre partie qui sont « objectivement raisonnables » – sans qualifier la « partie objective » ou définir ce qui constitue un motif objectivement raisonnable.

Troisièmement, en dernier recours, l’assureur peut prouver l’attribution par toute autre preuve disponible, sans contraintes de temps claires.

Le fardeau de la preuve implicite pour prouver l’attribution est trop faible, trop ambigu et trop biaisé en faveur des assureurs. Les assureurs peuvent se fier à des déclarations qui sont politiques, plutôt que juridiques, et qui proviennent de sources au sein d’un gouvernement qui peuvent être mal informées. Le concept d’une partie objective semble raisonnable; cependant, il n’y a aucune clarté quant à qui peut servir de partie objective, ce qui signifie que n’importe quelle partie pourrait servir comme telle. En même temps, il n’y a aucune exigence ou méthode pour résoudre les désaccords entre plusieurs parties objectives.

De plus, étant donné que les méthodes d’attribution des exclusions ne doivent pas être alignées dans l’ensemble et ne sont pas mutuellement exclusives, elles peuvent encourager une recherche approfondie de toute déclaration non officielle ou occasionnelle d’un représentant du gouvernement, de toute inférence raisonnable ou de toute preuve pouvant appuyer un refus de garantie.   

Les questions relatives au lien de causalité peuvent également être amplifiées du fait que les exclusions s’appliquent à tous les événements « survenant au cours » d’une attaque. Autrement dit, le risque d’attribution ambiguë s’étend au-delà de l’auteur de la menace pour englober toute la séquence d’événements qui précipitent une cyberattaque, souvent appelée « chaîne cybercriminelle ». En utilisant « survenant au cours de » plutôt que des constructions plus communes comme « en vue de » ou « découlant de », la portée implicite de la chaîne causale est inconnue et pourrait mener à des chaînes déraisonnables et tortueuses de « cause immédiate » se soldant par une application erronée de l’exclusion.

Les cybercrimes commandités par des États ne sont pas des actes de guerre ou de cyberguerre

De nombreuses cyberattaques actuellement assurables qui pourraient éventuellement être assujetties aux nouvelles exclusions feraient aussi habituellement l’objet d’une enquête de la part des forces de l’ordre. De telles cyberattaques font de plus en plus souvent l’objet d’enquêtes et de poursuites pénales, et ne doivent donc pas être considérées comme des actes de guerre ou être confondus avec ceux-ci. De plus, chaque acte entre nations ne s’élève pas nécessairement au niveau d’une action hostile ou belliqueuse, ou d’une cyberactivité. En effet, de nombreuses actions ordinaires entre les États – comme l’espionnage – peuvent être perturbatrices, mais ne doivent pas être exclues de la garantie.

Par ailleurs, certaines des nouvelles exclusions définissent un ensemble d’« États déterminés » pour lesquels aucune garantie n’est offerte en cas de cyberactivité entre ces États. Toutefois, la justification sous-jacente de la désignation de certains États n’est pas claire. La liste reflète-t-elle des rivaux politiques? Ou ceux associés au terrorisme d’État? Peut-être des États voyous, dont certains croient qu’ils pourraient violer le droit international, sans pour autant franchir les limites qui mèneraient à la guerre? Ou la liste reflète-t-elle simplement les territoires qui ont peu d’intérêt pour la guerre de l’information, mais qui ont néanmoins d’importants cyberactifs?

Trop de choix signifie trop de confusion

Les exclusions de la LMA vont de la suppression absolue de la garantie en cas de perte en raison d’une guerre ou d’une activité d’un État-nation à des exceptions pour l’activité d’un État-nation en dessous d’un certain seuil. Le fait d’avoir quatre exclusions offre un choix aux participants du marché, mais peut aussi refléter un manque de consensus parmi les assureurs.

De nombreuses polices d’assurance contiennent déjà des exclusions relatives aux guerres, à l’infrastructure, aux actions gouvernementales et aux risques naturels, chacune ayant des termes définis. On ignore comment les nouvelles exclusions interagiront avec les exclusions existantes ou avec d’autres que les participants du marché sont en train de rédiger.

De plus, l’adoption d’une variété d’exclusions contradictoires et qui se chevauchent augmente le risque de non-concordance de la garantie et d’incohérence dans la portée et l’application de ces exclusions. Cela pourrait entraîner de la confusion et un manque de certitude contractuelle pour les acheteurs qui souscrivent une cyberassurance auprès de plusieurs participants du marché.

Comment Marsh offre son soutien aux clients

Depuis de nombreuses années, le groupe d’expertise des cyberrisques de Marsh comprend un groupe de travail sur les questions de garantie émergentes, comme les cyberguerres et les cyberrisques silencieux. Au début du processus de la LMA visant à réexaminer ces libellés en 2019, Marsh s’est associée avec les parties prenantes concernées pour faire part de nos commentaires et de nos suggestions, y compris un certain nombre des préoccupations exprimées ci-dessus. Bien que la LMA ait tenu compte de nos commentaires, elle a finalement élaboré et publié les nouvelles exclusions sans avoir entièrement résolu nos préoccupations concernant les conséquences inattendues et les défis qui s’ensuivront probablement.

En l’absence d’un mandat actuel du Lloyd’s pour que les participants du marché adoptent le nouveau libellé de la LMA, nous prévoyons que les assureurs prendront le temps d’examiner et éventuellement de modifier ces clauses d’exclusion avant de les adopter. Cela dit, nous recommandons aux clients de bien examiner ces libellés et de les prendre en considération, s’ils sont présentés, avant de les accepter dans leurs contrats. Parallèlement, nous continuons de défendre les intérêts des assurés en discutant avec la LMA et d’autres participants du marché dans le but de réduire l’incertitude et l’ambiguïté et de maximiser la valeur des produits d’assurance contre les cyberrisques pour nos clients.

Il s’agit de questions urgentes, complexes et difficiles. Chez Marsh, notre mission est de protéger et de promouvoir les possibilités – aider les clients à protéger leurs cyberactifs est une préoccupation essentielle.

Nous espérons que la collaboration et le dialogue continus entre les parties prenantes concernées et intéressées permettront de progresser de manière productive. Il est essentiel pour toutes les parties prenantes de permettre aux clients de prendre des décisions éclairées concernant le transfert de risques relatifs à certains effets découlant d’un cyberévénement, peu importe les auteurs de la menace.

Si vous avez des questions au sujet des exclusions de la LMA ou sur tout autre enjeu en matière de cyberrisques, veuillez communiquer avec votre représentant de Marsh.

 

[1] Plus précisément, le Manuel de Tallinn 2.0 sur le droit international applicable aux cyberactivités, 2e édition, 2017 (en anglais seulement)

Articles connexes