Assurance Cyberattaque : Cadre légal, et Choix
Emma Proust est diplômée d'un Master II en droit de la propriété intellectuelle et management.
Face à l'augmentation des cyberattaques, l'assurance cyber est devenue un outil de gestion des risques à part entière pour les entreprises. Ce guide présente les garanties couvertes, les obligations légales applicables en France, les critères d'assurabilité et les points de vigilance contractuels. Les références juridiques citées sont conformes aux textes en vigueur au moment de la rédaction.
Pourquoi souscrire une assurance cyberattaque aujourd'hui ?
Au-delà de l'informatique : le transfert du risque financier
L'assurance cyberattaque ne se limite pas à une assistance technique post-incident. Son rôle premier est de transférer vers l'assureur le risque financier que l'entreprise ne peut absorber seule.
Une cyberattaque génère des coûts multiples :
Pertes d'exploitation ;
Frais de remise en état des systèmes ;
Notification aux autorités et aux personnes concernées ;
Voire paiement de rançons.
Pour une PME, ces montants peuvent rapidement atteindre plusieurs dizaines à plusieurs centaines de milliers d'euros, menaçant directement la trésorerie et la continuité d'activité.
En échange d'une prime annuelle, l'assurance cyber garantit la prise en charge de ces coûts, y compris face à des attaques survenant malgré des mesures de sécurité robustes.
La différence entre RC Professionnelle et Assurance Cyber
La Responsabilité Civile Professionnelle (RC Pro) couvre les dommages causés à des tiers dans le cadre de l'activité. Elle n'indemnise pas les préjudices subis par l'entreprise elle-même.
Ainsi, en cas de ransomware bloquant les systèmes pendant plusieurs jours, la RC Pro n'intervient pas : aucun tiers n'est directement lésé. Seule l'assurance cyber prend en charge les pertes d'exploitation, les frais d'expertise et de restauration, et les coûts de notification.
| Prise en charge | RC Professionnelle | Assurance Cyber |
|---|---|---|
| Dommages causés à des tiers | ✅ Oui | ✅ Oui (dans contexte cyber) |
| Pertes d'exploitation propres | ❌ Non | ✅ Oui |
| Frais de restauration des systèmes | ❌ Non | ✅ Oui |
| Frais de notification CNIL | ❌ Non | ✅ Oui |
| Assistance technique 24h/24 | ❌ Non | ✅ Oui |
| Prise en charge des rançons | ❌ Non | ✅ Sous conditions |
Bon à savoir
La RC Professionnelle peut tout de même intervenir dans certains cas liés au numérique… mais uniquement lorsqu’un tiers subit un dommage (lié à une faute professionnelle). Par exemple, si une erreur de configuration de votre système entraîne une fuite de données clients, ou si votre site transmet un virus à un partenaire, votre responsabilité peut être engagée : la RC Pro couvre alors les préjudices causés à ces tiers (clients, fournisseurs, utilisateurs).
En revanche, si votre entreprise est victime d’une cyberattaque sans impacter directement un tiers (ex : blocage interne, perte de données, arrêt d’activité), la RC Pro ne s’applique pas. Dans ce cas, c’est l’assurance cyber qui prend le relais.
Les obligations liées au RGPD et à la CNIL
Le Règlement Général sur la Protection des Données impose aux entreprises traitant des données personnelles de notifier toute violation à la CNIL dans un délai de 72 heures après en avoir pris connaissance (art. 92 du Règlement UE 2018/1725). Lorsque le risque pour les personnes concernées est élevé, une notification directe à ces dernières est également requise (art. 93).
Le non-respect de ces obligations expose l'entreprise à des sanctions pouvant atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (article 83 du RGPD). La CNIL sanctionne effectivement les manquements : le Conseil d'État a confirmé le 26 avril 2022 une sanction pour défaut de sécurité.
L'assurance cyber prend généralement en charge:
Les frais de notification à la CNIL et aux personnes concernées ;
L'assistance juridique réglementaire ;
La documentation de l'incident ;
Et, sous conditions, les éventuelles amendes administratives.
Que couvre réellement un contrat d'assurance cyber ?
L'assistance d'urgence : la gestion de crise 24h/24
Dès la détection d'un incident, l'assuré contacte un numéro d'urgence dédié.
L'assureur mobilise une cellule de crise composée :
D'experts forensic (analyse de l'attaque, identification du point d'entrée, restauration des systèmes) ;
De juristes spécialisés RGPD (gestion des obligations de notification) ;
D'experts en communication de crise ;
Et, le cas échéant, de négociateurs en cas de demande de rançon.
Pour les PME dépourvues d'équipe de sécurité interne, cette assistance représente souvent la valeur principale du contrat : elle mobilise des compétences rares en situation d'urgence, limitant l'impact de l'attaque et accélérant la reprise d'activité.
L'indemnisation des pertes d'exploitation
L'interruption d'activité consécutive à une cyberattaque constitue généralement le poste de dommage le plus élevé. L'assurance cyber indemnise le manque à gagner pendant la période d'arrêt, en tenant compte du chiffre d'affaires perdu et des charges fixes maintenues.
Contrairement à l'assurance pertes d'exploitation classique - qui requiert un dommage matériel préalable (incendie, inondation) - la garantie cyber couvre les pertes liées à un dommage purement immatériel. Cette distinction a été confirmée par la jurisprudence récente (Cour de cassation, 10 juillet 2025).
Par exemple, en cas d’incendie dans les locaux de l’entreprise, entraînant la destruction de serveurs et une interruption d’activité, il s’agit d’un dommage matériel, car des biens physiques sont endommagés : l’assurance pertes d’exploitation classique peut alors intervenir. À l’inverse, lors d’une cyberattaque de type ransomware, les systèmes informatiques sont bloqués sans qu’aucun équipement ne soit physiquement détérioré ; l’entreprise ne peut plus accéder à ses données ni facturer ses clients. Il s’agit alors d’un dommage immatériel, puisque seule l’activité est affectée. Dans ce cas, seule l’assurance cyber permet une indemnisation des pertes subies.
Point de vigilance
Une franchise temporelle s'applique fréquemment (les premières 24 à 48 heures restent à la charge de l'assuré). De même, la durée d'indemnisation est souvent limitée contractuellement (30 jours à 12 mois selon les contrats).
La prise en charge des frais de notification et de restauration
Au-delà des pertes d'exploitation, l'assurance cyber couvre les frais directs générés par l'incident :
Expertise forensic et restauration des systèmes ;
Reconstitution des données détruites ou corrompues ;
Notification à la CNIL et aux personnes concernées (y compris les coûts d'envoi et de mise en place d'une hotline) ;
Accompagnement juridique pour la gestion réglementaire et la défense en cas de recours ;
Et communication de crise.
Même pour une attaque de faible ampleur, ces postes se chiffrent rapidement en dizaines de milliers d'euros.
Le cadre légal en France : Focus sur le paiement des rançons
Loi LOPMI : L'obligation de dépôt de plainte sous 72h
La loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI) du 24 janvier 2023 a introduit l'article L12-10-1 du Code des assurances, qui subordonne tout versement d'indemnisation cyber au dépôt d'une plainte auprès des autorités compétentes dans un délai de 72 heures suivant la découverte de l'atteinte.
Cette obligation s'applique aux personnes morales et aux professionnels indépendants. L'objectif est double : améliorer la connaissance statistique de la cybermenace et faciliter l'intervention des services spécialisés (police judiciaire, ANSSI).
Bon à savoir
Le non-respect de ce délai peut entraîner le refus d'indemnisation par l'assureur, y compris pour les pertes d'exploitation et les frais de restauration. Le dépôt de plainte constitue donc la première démarche prioritaire dès la découverte d'une cyberattaque.
L'assureur peut-il rembourser une rançon ?
Aucune disposition légale n'interdit en droit français le remboursement d'une rançon versée par un assuré. Certains contrats prévoient explicitement cette garantie, plafonnée contractuellement (généralement entre 50 000 € et 500 000 €).
Toutefois, plusieurs conditions s'appliquent :
Le dépôt de plainte dans les 72 heures (art. L12-10-1) ;
L'accord préalable de l'assureur avant tout paiement ;
L'intervention de négociateurs mandatés par l'assureur ;
Et la vérification que le paiement ne bénéficie pas à une entité sous sanctions internationales.
Ce mécanisme fait l'objet de débats : ses détracteurs estiment qu'il encourage le cybercrime et alimente l'inflation des rançons ; ses défenseurs soulignent qu'il peut constituer, pour une PME, la seule solution de reprise rapide lorsque les sauvegardes sont insuffisantes.
Bon à savoir
Plusieurs États débattent d'une interdiction du remboursement des rançons par les assureurs. En France, aucune interdiction n'existe à ce jour, mais une évolution législative reste possible. Il est essentiel de vérifier les conditions exactes du contrat sur ce point.
Combien coûte une assurance cyberattaque pour une PME ?
Les critères qui font varier le montant de la prime
Le montant de la prime est déterminé par cinq facteurs principaux :
Le chiffre d'affaires (plus il est élevé, plus les pertes potentielles sont importantes) ;
Le secteur d'activité (santé, e-commerce, services financiers et industrie connectée sont considérés comme plus exposés) ;
Le volume et la sensibilité des données traitées ;
Le niveau de maturité en cybersécurité de l'entreprise (critère le plus discriminant) ;
Et l'étendue des garanties souscrites.
Pour une PME présentant un bon niveau de sécurité, la prime annuelle se situe généralement entre 0,1 % et 0,5 % du chiffre d'affaires.
| Profil de l'entreprise | Prime annuelle estimée |
|---|---|
| TPE - CA < 500 K€, bon niveau de sécurité | 500 € – 1 500 € |
| PME - CA ~10 M€, bon niveau de sécurité | 3 000 € – 10 000 € |
| Secteur sensible (santé, finance, e-commerce) | Majoration de 20 à 50 % |
| Entreprise avec lacunes de sécurité | Prime majorée ou refus |
Les prérequis techniques pour être "assurable"
L'assurance cyber n'est pas accessible sans conditions. Les assureurs imposent des prérequis techniques minimaux, évalués via un questionnaire détaillé (50 à 100 questions). Leur non-respect entraîne un refus de couverture ou une prime prohibitive. En cas de sinistre, toute fausse déclaration peut justifier un refus d'indemnisation.
| Prérequis | Niveau exigé |
|---|---|
| Sauvegardes | Régulières, externalisées, testées (idéalement quotidiennes) |
| Authentification multi-facteurs (MFA) | Obligatoire sur les accès critiques |
| Mises à jour de sécurité | Systèmes et logiciels à jour, pas d'OS obsolète |
| Antivirus / pare-feu professionnels | Solutions professionnelles avec détection comportementale |
| Sensibilisation des collaborateurs | Formations régulières (phishing, mots de passe) |
| Politique de mots de passe | Mots de passe complexes, renouvellement régulier, coffre-fort |
Bon à savoir
Il est recommandé de se mettre en conformité avec ces prérequis avant de solliciter un devis : cela améliore les conditions tarifaires, réduit le risque réel d'attaque et prévient les litiges en cas de sinistre.
Comment bien choisir son contrat d'assurance ?
Les points de vigilance : exclusions et franchises
L'examen des exclusions est aussi important que la comparaison des primes.
Les exclusions les plus fréquentes concernent :
La faute intentionnelle ou la négligence grave (non-application de mises à jour critiques, absence de sauvegardes alors que le contrat l'exigeait) ;
Les cyberattaques antérieures à la souscription mais découvertes après ;
Les actes de guerre ou de terrorisme cyber ;
Et certaines activités spécifiques (cryptomonnaies, traitement de données pour compte de tiers).
Sur les franchises, trois paramètres méritent qu’on leur prête attention :
La franchise en euros (somme restant systématiquement à la charge de l'assuré par sinistre) ;
La franchise temporelle sur les pertes d'exploitation (les premières heures ou jours d'interruption non indemnisés - à négocier pour les activités fortement dépendantes de l'informatique) ;
Et les plafonds d'indemnisation par sinistre, par an et par garantie. Ces plafonds doivent être évalués au regard de l'exposition réelle : un plafond pertes d'exploitation inférieur au chiffre d'affaires mensuel est insuffisant.
Comparer les services d'assistance plutôt que le prix
La valeur d'un contrat cyber réside autant dans la qualité des services d'assistance que dans l'indemnisation financière.
Plusieurs critères doivent être évalués :
La disponibilité effective de l'assistance (24h/24 et 7j/7 ou seulement en heures ouvrées) ;
Le délai d'intervention entre l'appel et la mobilisation d'un expert ;
La langue de travail des intervenants ;
La qualité et la réputation des prestataires forensic et juridiques mandatés ;
L'existence d'un interlocuteur dédié ;
Et l'étendue des services préventifs proposés (audits de sécurité, formations pour les équipes).
Il est recommandé de demander à l'assureur les noms de ses prestataires et de vérifier leur spécialisation avant toute souscription.
Ces autres articles pourraient aussi vous intéresser
Charges Salariales : Définition, Taux & Calcul
Chômage Partiel : Fonctionnement & Calcul
Assurance Bris de Machine : Fonctionnement & Avantages
Charges Patronales : Calcul et Coût d'embauche
Comment se lancer à son compte ?
Le contrat de travail : les différentes formes de contrat
Tiers de confiance : Tout comprendre
La prime de précarité : Les Conditions à Remplir
Assurance Matériel Professionnel : Tous les Avantages
Ces articles pourraient aussi vous intéresser
Découvrez Jump
en 20 min
avec Léo.
Moi c'est Léo, je vous explique chaque jour le modèle Jump et ses avantages concrets en 20 minutes chrono. Entre 20 & 30 freelances posent leurs questions à chaque RDV. Rejoignez-nous pour tout comprendre !
