Cyberattaques étatiques :

Cyberattaques étatiques : un risque structurellement inassurable ?

La montée en puissance des cyberattaques imputables à des États met en tension les fondements juridiques du contrat d’assurance, tels que consacrés par le Code des assurances et la pratique assurantielle.

Par Angelli SANTOS TAVAREZ,
Étudiante Master 2 Master 2 Droit bancaire et fintech, Université Côte d’Azur
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"

Un risque systémique incompatible avec la mutualisation

Caractéristiques distinctives

À la différence de la cybercriminalité de droit commun, les cyberattaques étatiques se distinguent par :
 des capacités matérielles et financières sans commune mesure,
 des finalités extra-économiques (déstabilisation institutionnelle, atteinte à la souveraineté, sabotage d’infrastructures critiques),
 une rupture avec la logique probabiliste indispensable à l’assurabilité du risque.
Or, l’assurance suppose un risque aléatoire, assurable et mutualisable, impliquant une fréquence et une intensité des sinistres statistiquement prévisibles.

Incompatibilité structurelle

Le cyber étatique ne se heurte donc pas uniquement à la clause d’exclusion des « actes de guerre ». Il constitue avant tout un risque systémique non diversifiable, incompatible avec le principe de mutualisation :
 un même fait générateur peut causer des dommages simultanés et massifs à une pluralité d’assurés,
 plusieurs secteurs régulés (finance, énergie, télécommunications) peuvent être affectés de manière cumulative, l’ampleur du dommage peut excéder la capacité financière des assureurs et des réassureurs, compromettant l’équilibre technique du contrat.

Le défi de l’attribution : une fragilité juridique majeure

À cela s’ajoute une difficulté juridique majeure : l’attribution de l’attaque. L’imputation d’un cyber incident à un État relève moins d’un faisceau de preuves juridiquement opposables que d’une qualification politique opérée par les autorités publiques.
Dès lors, l’application d’une exclusion de garantie peut dépendre, non d’une décision juridictionnelle mais d’une prise de position diplomatique, pourtant extérieure au contrat d’assurance.

Cette situation fragilise le principe de sécurité juridique de l’assuré et interroge la loyauté contractuelle dans l’exécution de la garantie.

L’infléchissement doctrinal de Lloyd’s of London

La position adoptée par Lloyd’s of London, imposant l’exclusion des cyberattaques sponsorisées par des États, marque un infléchissement doctrinal fort : elle acte l’incapacité du marché assurantiel privé à prendre en charge un risque assimilable à un fait générateur quasi-souverain.

Conséquences pour les entreprises

 les polices cyber laissent subsister un risque résiduel majeur,
 la charge du sinistre est reportée sur les fonds propres ou
 les mécanismes de continuité de activité,
 la cybersécurité devient une obligation stratégique de gestion des risques, au-delà des exigences de conformité

Analogie avec le terrorisme

La situation rappelle le vide juridique ayant précédé la création de régimes publics de garantie, notamment en matière de terrorisme.
L’analogie est claire : dans les deux cas, le risque excède les capacités du marché privé et relève d’une atteinte à l’ordre public économique.

Vers un mécanisme public-privé ?

Sans intervention étatique structurée, le cyber étatique demeurera : partiellement inassurable, contractuellement instable, économiquement déséquilibrant
Faut-il instituer un mécanisme public-privé de garantie cyber, inspiré des régimes existants (terrorisme, catastrophes naturelles), afin de restaurer l’assurabilité juridique de ces risques extrêmes ?

Lire aussi : Adoption massive de l’IA : l’heure de la réévaluation pour l’assurance cyber

Bibliographie et Sitographie

 DOUVILLE, Thibault, « L’assurance des risques de cyberattaques », LEDA, n° 04, 1er avril 2023, DAS2019
 C. Béguin-Faynel, « Des risques catastrophiques aux risques planétaires ou systémiques : le particularisme des très grands risques », RGDA, sept. 2023, RGA201n3.
 Lloyd’s 3 Cyber war & state-backed attack exclusions
 Brookings Institution 3 Cyber risk & insurance backstop

Visuel de Une : illustration ©DR

Autres Infos nationales Voir tout

Tourisme 2025 : la France bat un nouveau record avec 102 millions de visiteurs et 77,5 milliards d'euros de recettes
É

Tourisme 2025 : la France bat un nouveau record avec 102 (…)

19 février 2026
Accès frauduleux au fichier FICOBA : les précisions de Bercy
F

Accès frauduleux au fichier FICOBA : les précisions de Bercy

19 février 2026
La FIPS recrute Vincent Chevrier comme directeur de la stratégie
É

La FIPS recrute Vincent Chevrier comme directeur de la (…)

19 février 2026

Société nouvelle des Petites Affiches ©2026 Tous droits réservés