Marc-Henri Boydron (Cyber Cover) "La décision du Lloyd's de ne plus couvrir les cyber-attaques soutenues par un Etat est une simple re-précision"

Le 18 août, l'assureur Lloyd's de Londres a informé ses clients qu'il ne couvrirait plus les cyberattaques soutenues par un Etat à partir de mars 2023. Entretien avec Marc-Henri Boydron, fondateur de Cyber Cover, courtier spécialiste du cyber risque.

 JDN. La décision du Lloyd's de ne plus couvrir les cyberattaques menées par des hackers soutenus par un Etat va-t-elle changer la donne de la cyber-assurance ?

Marc-Henri Boydron, fondateur de Cyber Cover. © Didier Larger - Cyber Cover

Marc-Henri Boydron. Les polices de cyber-assurance ne sont pas normalisées, chaque compagnie apporte son propre texte. Il faudra voir la réaction des réassureurs, mais à mon sens la décision du Lloyd's ne changera pas les fondements de la cyber-assurance. Tout ce qui était assimilé à un acte de guerre était déjà exclu des contrats. C'est une simple re-précision. Avec le contexte géopolitique tendu, le Lloyd's veut se protéger d'un risque systémique. Si une cyber guerre ouverte se déclenchait, il ne pourrait couvrir tous ses clients. On est sur un jeune marché de la cyber assurance, la volumétrie actuelle ne permettrait pas de couvrir un risque systémique.

Par ailleurs, le terme "soutenu" doit être précisé : il ne correspond pas à une possible bienveillance, l'Etat accusé doit avoir un rôle dans l'attaque. Il doit être l'instigateur de l'attaque.

Qui devrait apporter la preuve du soutien d'un Etat ? La victime ou l'assureur ?

L'assureur devrait apporter la preuve qu'un Etat est bien impliqué. A noter que les cyberattaques soutenues par un Etat ont pour but de déstabiliser un autre Etat. Par conséquence on ne parle pas d'une volonté d'extorquer de l'argent. Cela concerne donc un type de cyberattaques très spécifiques.

Et pour le cas de la Corée du Nord ? Ils ne font que du vol d'argent mais il est difficile de croire que leurs groupes de cybercriminels sont autonomes ?

Les groupes  nord-coréens, dans les textes, ne profitent que de la bienveillance de l'état.

"L'assureur devrait apporter la preuve qu'un Etat est bien impliqué"

Et l'attaque de l'entreprise de défense américaine Lockheed Martin qui a eu lieu le 1er août ?

Dans cet exemple, l'Etat ne soutient pas directement l'attaque et ne l'a pas organisée. Mais on peut se poser la question suivante : dans le cadre du contrat, est-ce que le groupe attaquant était exclu des textes de la cyber-assurance de Lockheed ? Car encore une fois, chaque compagnie de cyber-assurance a ses propres textes.

Les assureurs font-ils évoluer leurs offres avec le développement des cyber-menaces ?

Les impacts financiers des cyberattaques sont de plus en plus lourds. Les compagnies d'assurance revoient donc leurs conditions d'indemnisation. Le pricing de la cyber-assurance est aujourd'hui plus en adéquation avec la réalité. Les entreprises doivent mieux sécuriser leur système et plus s'investir dans la cybersécurité, les cyber assureurs s'informant sur la bonne gouvernance de la cybersécurité chez leurs futurs clients.