Nouvelles menaces du terrorisme : au-delà du marché des Risques spéciaux

Le principal risque des assureurs Risques spéciaux est celui de l’annulation d’événement. En effet, un seul sinistre peut dégrader considérablement les résultats techniques d’une compagnie d’assurance car les coûts investis dans un événement peuvent s’élever à des millions d’euros. Le simple report du rallye Paris-Dakar initialement prévu au Pérou et déplacé en Argentine a coûté lui seul 18 millions d’euros à ses assureurs et réassureurs. Mais un événement annulé peut également engendrer d’autres annulations de manifestations. Ainsi, suite aux attentats de Nice le 14 juillet 2016, le championnat d’Europe de cyclisme ainsi que la grande braderie de Lille n’ont pas eu lieu. Le marché de l’assurance annulation en 2016, en raison de la multitude d’attaques terroristes, présentait un rapport sinistre sur primes de 170 %.

Cumuls de sinistre par événement

Les cumuls de sinistre par événement compliquent l’activité des assureurs des Risques spéciaux. Suite aux récentes attaques terroristes, les organisateurs demandent désormais une couverture en cas d’attentat sur le site de leur événement, en cas d’interdiction/retrait d’autorisation suite à un acte de terrorisme ainsi qu’une couverture au cas où l’organisateur serait menacé par des terroristes et ce, avec une étendue géographique autour de l’événement. Délivrer cette extension de garantie avec une étendue géographique peut provoquer des cumuls de sinistre par événement. Par exemple, dès lors qu’un attentat survient dans une zone géographique où se déroulent plusieurs événements, tous les organisateurs de ces manifestations seraient susceptibles d’être indemnisés des frais qu’ils ont engagés pour leur manifestation en cas d’annulation. Ainsi, les attentats de Paris ont entraîné près de 250 dossiers sinistres ouverts en annulation.

Cartographie et contrats temporaires

Pour maîtriser ses risques, établir une cartographie des risques et privilégier les contrats temporaires. Les assureurs ont majoré les primes des garanties attentat pour faire face aux éventuels cumuls de sinistre. Toutefois, augmenter les tarifs n’est pas la seule action possible à leur disposition. Afin de maîtriser les cumuls de sinistres, les assureurs peuvent dresser des cartographies de leurs risques annulation d’événement en tenant compte d’une part, de la date des manifestations et d’autre part, des étendues géographiques accordées. De plus, couvrir les événements en annulation via des contrats temporaires permet d’avoir une meilleure vision de ses risques en portefeuille à un moment précis dans l’année.

La position délicate des organisateurs d’événement face aux décisions des autorités

L’assurance « responsabilité civile des organisateurs » est également touchée par les attaques terroristes car lors d’événement (festival, concert…), la responsabilité à l’égard du public incombe à l’organisateur qui est exploitant et organisateur pour la manifestation.

Si un attentat survient lors d’un événement alors que celui-ci a seulement été « déconseillé » par les autorités en raison des attentats, peut-on rechercher la responsabilité des organisateurs dès lors qu’ils ont maintenu leur événement ? Ces derniers sont dans une posture difficile. En effet, lorsque le maintien de l’événement est seulement déconseillé, son annulation ne permet pas à l’organisateur de se faire indemniser par son contrat annulation. De plus, à ce jour, il n’existe aucune jurisprudence qui considérerait la menace terroriste comme un cas de force majeure en l’absence de décision des Pouvoirs Publics.

Toutefois, les tribunaux peuvent considérer que le terrorisme est un acte de force majeure, même si l’organisateur est débiteur d’une obligation de sécurité car ils peuvent retenir que certaines mesures de sécurité ne peuvent pas résister « à la ferme détermination » [1] des auteurs d’actes terroristes.

Sécurité irréprochable

La recherche d’une sécurité irréprochable doit être au centre des préoccupations des organisateurs d’événement. Ainsi, en cas de dommages subis par le public suite à un attentat, s’il a respecté ce qu’impose la réglementation, engagé le personnel de sécurité adéquat et ne fait pas de « surbooking », l’organisateur est réputé avoir mis en place les moyens nécessaires et suffisants. Il sera alors difficile d’aller rechercher sa faute. Les assureurs ont donc intérêt à sélectionner les risques pour lesquels les moyens de prévention mis en place par les organisateurs sont optimaux ou, au moins, solides. Mais les acteurs de l’assurance doivent aussi anticiper les catastrophes de demain, il est donc judicieux d’aller au-delà d’une réflexion qui porterait uniquement sur les difficultés actuelles des assureurs d’événements

Les catastrophes de demain

Face aux dernières attaques terroristes dites « conventionnelles », le FGTI [2] et GAREAT [3] , ont démontré leur efficacité. Si les attaques devenaient « non conventionnelles » (cyberterrorisme [4] , voire NBCR, pour nucléaire, biochimique, chimique, radiologique), l’indemnisation des victimes serait mise à mal.

Le cyberterrorisme entre États existe déjà depuis plusieurs années. En effet, la première attaque terroriste dans le cyberespace remonte à 2007 et était menée par la Russie contre l’Estonie. Les objectifs des quelques attaques cyberterroristes recensées sont politiques mais au vu des multiples attaques terroristes islamiques des dernières années, il est légitime de se demander si les terroristes pourraient effectuer une attaque dans le cyberespace afin de produire un chaos de grande ampleur. Le 19 février 2014, « l’armée syrienne électronique » a piraté le compte Twitter du club de foot FC Barcelone. De la même façon, au printemps 2015, une intrusion a paralysé pendant des semaines les ordinateurs et éteint les écrans de la chaîne de télé francophone TV5 Monde. Cette opération a été revendiquée par l’État islamique. Si les terroristes arrivent à infiltrer ce type de réseaux, ils pourraient à l’avenir s’immiscer dans les réseaux informatiques de structures plus sensibles, tel qu’un Opérateur d’importance vitale (OIV) [5] . Cette infiltration pourrait être menée dans le simple but de semer la terreur dans le pays visé ou pire, détourner un gouvernement et sa population de leurs réelles motivations.

Risque non assurable

Le cyberterrorisme est en principe, un risque non assurable du fait de sa tarification et des grands principes qui définissent l’assurabilité d’un risque. C’est notamment à cause de l’interconnexion des systèmes informatiques que l’assurabilité de ce risque est complexe. En effet, cette interconnexion entre les entreprises rend les assurés liés entre eux, ce qui rend les sinistres dépendants les uns des autres. Les assureurs feront face dans certains cas à des cumuls de sinistres difficilement décelables et particulièrement coûteux.

Certains assureurs se sont néanmoins lancés sur ce marché : la combinaison de plusieurs facteurs rend en effet le cyberterrorisme en partie assurable. Indépendamment du rôle que peuvent jouer les assureurs et du soutien de l’État, la prévention mise en place par les entreprises est déterminante de l’assurabilité du risque cyber.

La qualité de la prévention de l’entreprise face au risque cyber est déterminante pour assurer le risque. Les entreprises doivent prendre des mesures concernant la sécurité de leurs systèmes informatiques telles que l’installation d’antivirus et la mise en place de dispositifs de suivi et de contrôle des intrusions informatiques. Les assureurs ont, pour leur part, développé un produit spécifique pour les attaques cyber car les contrats de base (dits « contrats risques informatiques ») des entreprises indemnisent très partiellement, voire excluent les dommages résultant d’une attaque dans leurs systèmes d’information. En effet, les assurances traditionnelles ne couvrent pas les Dommages dits Immatériels Non Consécutifs (DINC), à savoir les conséquences de l’introduction de virus dans les systèmes informatiques, la reconstitution des données ni les pertes d’exploitation qui résultent de l’attaque cyber. De plus, aucun service de gestion de crise n’est prévu dans les assurances classiques.

Les polices cyber ont elles aussi des limites face au cyberterrorisme

Cependant, les polices cyber ont aussi leurs limites quant à la couverture du cyberterrorisme. Elles délivrent rarement certaines garanties [6] , dont celle du cyberterrorisme. Ainsi, théoriquement, dès lors que l’attaque est définie comme une attaque terroriste, il n’y aurait pas d’indemnisation de la part des assureurs. Or, si l’attaque était menée contre une OIV, l’attaque serait certainement considérée comme un acte terroriste car le but ne serait pas ici financier mais bien de paralyser la société et de causer des dommages considérables. Dans ce cas précis, si le contrat cyberassurance de l’OIV attaquée prévoit l’exclusion du cyberterrorisme, celle-ci ne bénéficierait d’aucune indemnisation. Le Gouvernement qualifie souvent un acte de « terroriste » lorsqu’il y a revendication. Mais les attaques terroristes recensées aujourd’hui dans le cyberespace qu’elles soient menées dans un objectif politique ou religieux n’ont jamais fait l’objet de revendication. Dès lors, il est difficile pour les assureurs de refuser l’indemnisation puisque les attaques menées ne font pas l’objet de revendications et ne sont pas considérées comme « terroristes » : ce sont des actes de malveillance (sabotage) indemnisables.

Cela étant, les objets relatifs au BYOD [7] sont souvent exclus des assurances cyber. Or, le cyberterrorisme étant encore à ses débuts, les terroristes s’attaqueraient plus volontiers aux tablettes, ordinateurs ou smartphones pour pénétrer les réseaux informatiques des entreprises. Si les terroristes utilisaient ces outils, aucune indemnisation des assureurs ne serait due à l’entreprise victime.

Le cyberterrorisme mérite sans doute une meilleure couverture. Actuellement, GAREAT est compétent uniquement pour les dommages matériels causés par des actes de terrorisme. Le système français ne couvre donc pas les attaques dans le cyberespace provoquées par les terroristes car les dommages qui en résultent sont des dommages immatériels mais non consécutifs. GAREAT, en raison de l’évolution des actes terroristes, devra sans doute s’étendre au cyberterrorisme.

La France n’est pas à l’abri de l’hyper-terrorisme

La France n’est pas non plus à l’abri d’une attaque NBCR. En effet, l’APREF [8] dans sa dernière édition du livre blanc de la réassurance prévient les pays de l’Occident qu’ils doivent s’attendre à de nouvelles attaques plus graves : « des réseaux internationaux religieux ou politiques cherchent à accroître la pression sur les pays occidentaux, en aggravant la sévérité des attaques qu’ils planifient et l’utilisation d’armes non conventionnelles leur paraît être un des moyens les plus efficaces d’y parvenir. Certaines organisations développent des discours de fin du monde prônant ouvertement l’anéantissement de leurs adversaires, dépassant largement l’action terroriste traditionnelle, des services de renseignement confirment leurs efforts pour obtenir des matériaux nucléaires, radiologiques ou biologiques et considèrent que leur utilisation est probable, même s’il est impossible de prévoir où et comment » [9] .

La France est une cible privilégiée pour les terroristes d’autant plus que son exposition au risque nucléaire est importante. En effet, proportionnellement à sa population la France est le pays le plus nucléarisé au monde. Le risque nucléaire est d’autant plus grand que les centrales françaises produisent près de 80 % de l’électricité consommée par le pays et que ces centrales nucléaires fournissent 30 % de l’électricité en Europe, la France assurant une partie de la sécurité d’approvisionnement des 28 états membres. Une attaque sur un réacteur aurait donc des impacts sur la France mais aussi sûrement en Europe.

À côté de ces événements, plusieurs experts considèrent que les réacteurs nucléaires ne peuvent pas faire face au terrorisme nucléaire. En effet, des documents classés secret défense révèlent que ces sites ne peuvent pas faire face à l’impact d’un avion de ligne. La physicienne allemande Oda Becker renchérit en disant qu’« un crash de plusieurs drones chargés de quelques kilos d’explosifs pourrait mettre une centrale dans une situation dangereuse » [10] . Ce constat s’explique par le fait que « l’aspect protection contre le terrorisme n’est pour l’instant pas expertisé, ni en France ni au niveau européen. En effet les anciennes générations de centrales nucléaires dans le monde ont été construites avant les événements de type World Trade Center et n’intègrent pas, à la différence des récentes générations de nouvelles normes de protection plus strictes et des scénarios d’hyper-terrorisme » [11] . De la même façon, les OIV qui peuvent être victimes d’une attaque par des terroristes ne prennent pas suffisamment en compte la menace des attentats car ces entreprises industrielles ont historiquement orienté leur politique de prévention vers les dangers liés à l’hygiène et la sécurité des personnes et de l’environnement.

Repenser le système de couverture du terrorisme

Face à une attaque NBCR, il faut repenser le système de couverture du terrorisme. D’après le libre blanc de la réassurance, « la formule standard [12] conduit à des montants considérablement inférieurs à des scénarios terrorisme NBCR et sans doute à des montants très inférieurs à ceux générés par des scénarios terroristes d’une période de retour de référence (200ans) ». La formule majoritairement utilisée par les assureurs serait ainsi inadaptée à ce type de scénario catastrophe.

De même, il est probable que le FGTI n’est pas adapté pour indemniser les victimes d’actes d’hyper-terrorisme et ce, pour plusieurs raisons :

• le FGTI ne pourra pas respecter les délais d’indemnisation. Le fonds doit verser une première indemnisation au bout d’un mois après la demande de la victime. Avec une attaque NBCR, le nombre de victimes serait très important, il paraît alors exclu que le FGTI puisse répondre à toutes les victimes dans ce laps de temps ;
• une attaque NBCR peut provoquer des dommages qui surviennent longtemps après l’attentat (cancer, problème respiratoire…). Le fonds doit alors présenter à la victime une offre d’indemnisation complémentaire 3 mois après sa demande. Là encore, le fonds risque de rencontrer des difficultés, car beaucoup de victimes risquent de subir des effets secondaires et chacune d’entre elles, doit faire l’objet d’une expertise médicale, voire de plusieurs (comme pour tout accident corporel grave).

Comment identifier les victimes d’attentats si les dommages surviennent des années après la catastrophe et en vérifier le lien de causalité avec l’attentat ?

L’APREF souligne que le fonds n’est pas calibré pour faire face à des sinistres extrêmes et ne disposerait donc pas des fonds nécessaires en cas d’attaque de type NBCR faisant de nombreuses victimes, lourdement atteintes et dont les séquelles seraient révélées sur une longue période de temps.

Afin d’unifier au maximum le système de couverture français, l’APREF va plus loin dans sa réflexion et soumet l’idée d’un seul et unique système de couverture. La proposition de l’APREF se traduit par :

• « une couverture universelle du terrorisme pour l’ensemble des biens et des personnes en France, avec un accès à des couvertures d’assurance minimales permettant de réduire le différentiel potentiel très important entre dommages assurés et dommages économiques, en favorisant l’assurabilité de tous les types de couverture ;
• un partenariat public/privé toutes branches confondues pour tout type de couverture et de terrorisme, incluant l’hyper-terrorisme de type NBCR ou cyber et permettant d’assurer la protection financière globale des personnes, des biens et des sociétés » [13] .

Créer des pools d’assurance de terrorisme pour des pays proches géographiquement est également une idée innovante et envisageable. En effet, une attaque de type nucléaire peut toucher plusieurs pays limitrophes. Une attaque nucléaire en Alsace aurait sans doute des impacts en Allemagne et en Belgique.