24 février 2026
L’article interroge les fondements mêmes de l’assurabilité lorsque le risque cyber est imputable à des États
La montée en puissance des cyberattaques imputables à des États met en tension les fondements juridiques du contrat d’assurance, tels que consacrés par le Code des assurances et la pratique assurantielle.
Par Angelli SANTOS TAVAREZ,
Étudiante Master 2 Master 2 Droit bancaire et fintech, Université Côte d’Azur
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"
À la différence de la cybercriminalité de droit commun, les cyberattaques étatiques se distinguent par :
– des capacités matérielles et financières sans commune mesure,
– des finalités extra-économiques (déstabilisation institutionnelle, atteinte à la souveraineté, sabotage d’infrastructures critiques),
– une rupture avec la logique probabiliste indispensable à l’assurabilité du risque.
Or, l’assurance suppose un risque aléatoire, assurable et mutualisable, impliquant une fréquence et une intensité des sinistres statistiquement prévisibles.
Le cyber étatique ne se heurte donc pas uniquement à la clause d’exclusion des « actes de guerre ». Il constitue avant tout un risque systémique non diversifiable, incompatible avec le principe de mutualisation :
– un même fait générateur peut causer des dommages simultanés et massifs à une pluralité d’assurés,
– plusieurs secteurs régulés (finance, énergie, télécommunications) peuvent être affectés de manière cumulative, l’ampleur du dommage peut excéder la capacité financière des assureurs et des réassureurs, compromettant l’équilibre technique du contrat.
À cela s’ajoute une difficulté juridique majeure : l’attribution de l’attaque. L’imputation d’un cyber incident à un État relève moins d’un faisceau de preuves juridiquement opposables que d’une qualification politique opérée par les autorités publiques.
Dès lors, l’application d’une exclusion de garantie peut dépendre, non d’une décision juridictionnelle mais d’une prise de position diplomatique, pourtant extérieure au contrat d’assurance.
La position adoptée par Lloyd’s of London, imposant l’exclusion des cyberattaques sponsorisées par des États, marque un infléchissement doctrinal fort : elle acte l’incapacité du marché assurantiel privé à prendre en charge un risque assimilable à un fait générateur quasi-souverain.
– les polices cyber laissent subsister un risque résiduel majeur,
– la charge du sinistre est reportée sur les fonds propres ou
– les mécanismes de continuité de activité,
– la cybersécurité devient une obligation stratégique de gestion des risques, au-delà des exigences de conformité
La situation rappelle le vide juridique ayant précédé la création de régimes publics de garantie, notamment en matière de terrorisme.
L’analogie est claire : dans les deux cas, le risque excède les capacités du marché privé et relève d’une atteinte à l’ordre public économique.
Sans intervention étatique structurée, le cyber étatique demeurera : partiellement inassurable, contractuellement instable, économiquement déséquilibrant
Faut-il instituer un mécanisme public-privé de garantie cyber, inspiré des régimes existants (terrorisme, catastrophes naturelles), afin de restaurer l’assurabilité juridique de ces risques extrêmes ?
– DOUVILLE, Thibault, « L’assurance des risques de cyberattaques », LEDA, n° 04, 1er avril 2023, DAS2019
– C. Béguin-Faynel, « Des risques catastrophiques aux risques planétaires ou systémiques : le particularisme des très grands risques », RGDA, sept. 2023, RGA201n3.
– Lloyd’s 3 Cyber war & state-backed attack exclusions
– Brookings Institution 3 Cyber risk & insurance backstop
Angelli Santos Tavarez