Les clauses d'exclusion

Les clauses d’exclusion de cyber-guerres : un nouveau défi pour la couverture assurantielle ?

À l’ère des cyber-conflits, les clauses d’exclusion de cyber-guerre illustrent l’incapacité du marché de l’assurance à gérer le changement de paradigme de la notion de risque.

Par Chiara Doumen,
Étudiante Master 2 Master 2 Droit bancaire et fintech, Université Côte d’Azur
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"

Faute de définition légale de la « cyber-guerre », les assureurs bénéficient au détriment de l’assuré, d’une marge d’appréciation discrétionnaire pour mettre en œuvre des clauses d’exclusion. Les polices d’assurances cyber apparaissent davantage comme un compromis incertain plutôt qu’une protection concrète pour garantir la sécurité des entreprises, entraînant un décalage certain entre le risque et la couverture.
L’amendement adopté en septembre 2025 à l’article L.121-8 du Code des assurances maintient à la charge de l’assuré la preuve que le sinistre cyber ne relève pas d’un « fait de guerre étrangère », alors que cette notion demeure juridiquement indéterminée. Cette incertitude normative rend l’indemnisation des cyberconflits aléatoire et affirme à nouveau l’inadaptation du cadre assurantiel.
Ces clauses stipulent qu’une attaque attribuée à un État ou à une opération militaire peut exclure la couverture du risque-cyber. Mais celui-ci est systémique, global et a-territorial. Il est le corollaire d’une mutabilité constante au travers de nouvelles formes de guerre dans le cyber-espace, devenant un enjeu stratégique étatique majeur. Il est structurellement non-mutualisable, posant ainsi la question de la capacité du marché de l’assurance à y faire face.
Le récent conflit entre la Russie et l’Ukraine a ouvert un véritable débat sur la couverture des cyberattaques. Bien que dans l’affaire Merck en 2017 la Cour supérieure du New Jersey a ouvert la voie à l’assimilation d’une cyberattaque comme un «  acte de guerre », elle a démontré que cette qualification ne garantissait pas une protection effective de l’assuré. Elle renforce au contraire la vulnérabilité des entreprises soumises de manière croissante aux clauses d’exclusions de cyber-guerre.
En 2022, le Lloyd’s Market Association a pris position en exigeant l’exclusion de toute responsabilité pour les pertes résultant de cyberattaques étatiques, contribuant à durcir le marché mondial de la cyber-assurance.

Dès lors, la question n’est plus seulement de savoir comment assurer le cyber-risque, mais de déterminer si sa prise en charge peut encore relever du marché privé ou si elle doit évoluer vers un modele hybride, impliquant la puissance publique, à l’image des mécanismes existants pour les catastrophes majeures ou le terrorisme.

Lire aussi : Données de santé et cyber-risque : les centres de santé au cœur d’un défi assurantiel majeur
Références

Article l . 121-8 du code des assurances
Affaire Merck : pour une assurance cyber, une cyberattaque est-elle un acte de guerre ?
New ’cyber war’ exclusion language raises concerns
Cyber-War-Exclusions)
RAPPORT SUR L’ASSURABILITÉ DES RISQUES CYBER du Haut Comité Juridique de la Place Financière de Paris

Visuel de Une illustration ©DR

Voir tout

Société nouvelle des Petites Affiches ©2026 Tous droits réservés