Cyber-assurance

01 — DéfinitionQu'est-ce que la cyber-assurance ?

La cyber-assurance est un contrat d'assurance dédié aux risques informatiques qui couvre les conséquences financières d'un incident cyber pour une organisation. Elle complète — sans remplacer — le dispositif technique et organisationnel de cybersécurité.

Le principe est celui de tout contrat d'assurance : transfert d'un risque résiduel à un assureur moyennant une prime. La cyber-assurance ne se substitue pas aux mesures de prévention et de détection ; elle couvre les impacts financiers qui subsistent malgré ces mesures, ou en cas de défaillance des défenses.

Le marché français a connu trois phases successives :

• 2010-2017 : émergence, produits rares, souscription limitée aux grands comptes. Faible sinistralité, primes modérées.
• 2018-2022 : explosion de la demande avec la vague ransomware. Sinistralité massive, plusieurs grands assureurs ferment ou restreignent leur offre. Primes multipliées par 2 à 5, conditions de souscription beaucoup plus strictes.
• 2023-2026 : maturation. Les assureurs exigent désormais un niveau de sécurité minimal pour souscrire (MFA, sauvegardes, EDR, simulations de phishing). Les primes se sont stabilisées, le marché s'est structuré.

La cyber-assurance n'est pas un substitut à la cybersécurité. Les assureurs ne couvrent que les organisations qui font déjà l'essentiel — la police devient un complément, pas une béquille.

02 — GarantiesCe qui est couvert

Frais de gestion de crise

Une des garanties les plus utiles dans la pratique. Couvre :

• Intervention d'experts forensiques et de prestataires de réponse à incident.
• Honoraires d'avocats spécialisés.
• Coûts de communication de crise (cabinet spécialisé, relation presse).
• Accompagnement juridique et réglementaire (notifications CNIL, ARCEP, etc.).
• Support psychologique aux équipes impactées dans certaines polices.

Cette garantie est souvent dite « au premier euro », c'est-à-dire activable sans déclenchement complet de la police. Elle apporte souvent plus de valeur immédiate qu'un remboursement financier différé.

Pertes d'exploitation

Indemnisation des pertes de chiffre d'affaires pendant la période d'indisponibilité causée par l'incident. Couvre aussi typiquement les frais supplémentaires engagés pour maintenir l'activité (location de matériel, prestataires d'urgence, heures supplémentaires). Une franchise horaire est souvent appliquée (pas de couverture pour les premières 8 à 24 heures).

Restauration des systèmes et des données

Frais de reconstruction technique : remplacement de matériel endommagé ou devenu suspect, coûts de réinstallation, restauration des données à partir de sauvegardes, nettoyage des environnements. Souvent cumulable avec les interventions de prestataires spécialisés.

Responsabilité civile cyber

Couvre les dommages causés à des tiers par un incident cyber : clients, partenaires, personnes dont les données ont été exposées. Inclut les frais de défense en cas d'action en justice et les éventuelles indemnités à verser. Particulièrement pertinent pour les prestataires IT (éditeurs, hébergeurs) qui peuvent être mis en cause par leurs propres clients.

Rançon (sous conditions)

Voir la section sur le cadre légal français. Le remboursement de la rançon est encadré mais possible sous conditions strictes. Contrairement à une idée reçue, peu d'organisations utilisent cette garantie en pratique — la reconstruction par sauvegarde est privilégiée quand elle est possible.

Notifications aux personnes concernées

Coûts liés à l'obligation d'information des personnes en cas de fuite de données (article 34 du RGPD) : envoi de courriers ou emails, mise en place de centres d'appels, fourniture d'un monitoring de crédit pour les personnes les plus exposées. Peut représenter des montants très importants pour les grandes fuites.

Sanctions réglementaires

Couverture partielle et conditionnelle des amendes infligées par les autorités (CNIL, ACPR, AMF). Très encadrée juridiquement — les sanctions pénales ne sont jamais couvertes, certaines sanctions administratives le sont selon les contrats et les juridictions nationales.

Fraude informatique (option)

Couverture des pertes financières liées à des fraudes par manipulation informatique : fraude au président, BEC, détournement de virement. Historiquement couvert par les assurances multirisques mais souvent avec des plafonds faibles ; les polices cyber modernes offrent des garanties plus substantielles.

Cyber-extorsion hors rançon

Couvre les menaces de publication de données sans chiffrement (double extorsion), les menaces DDoS, les chantages au dévoilement de vulnérabilités. Le traitement reste contraint par le cadre légal sur le paiement.

03 — ExclusionsCe qui n'est pas couvert

Les exclusions sont souvent plus déterminantes que les garanties. Voici les catégories classiques auxquelles prêter une attention particulière.

Actes de guerre et cyber-guerre

Historiquement exclus, cette catégorie est devenue un enjeu majeur depuis le cas NotPetya (2017). Les assureurs ont tenté de refuser la couverture en invoquant une « guerre cybernétique » russe. L'affaire Merck vs Zurich s'est soldée par une victoire de l'assuré en 2022, forçant les assureurs à clarifier leurs exclusions. Depuis 2023, les nouvelles polices contiennent des exclusions explicites plus détaillées (cyber-opérations étatiques, conflits armés). Attention à bien lire ces clauses — leur formulation peut exclure des attaques de groupes criminels simplement liés à des États.

Négligence grave

Exclusion quasi systématique. Les assureurs refusent la couverture en cas de défaillance manifeste des contrôles de base : absence totale de sauvegardes, absence de MFA sur les comptes administrateurs, refus de patcher une vulnérabilité critique documentée depuis plusieurs mois, partage de comptes entre utilisateurs. La définition de la négligence grave peut varier selon les contrats et fait l'objet de contentieux.

Vulnérabilités connues et non corrigées

Si une vulnérabilité critique a fait l'objet d'un avis public (CVE, bulletin ANSSI, notification éditeur) depuis plusieurs mois et n'a pas été corrigée, l'incident qui l'exploite peut être refusé. D'où l'importance d'une gestion des patches documentée.

Actes intentionnels de dirigeants ou salariés

Les actes frauduleux commis par les dirigeants ou salariés sont exclus, à moins que la police ne comporte une garantie spécifique « fraude interne ». Même dans ce cas, les dirigeants sont souvent exclus par défaut — une extension spécifique est nécessaire.

Pertes consécutives à un défaut de conformité préalable

Un incident qui découle directement d'une non-conformité connue (par exemple, des données RGPD stockées de manière illicite et qui fuient) peut être refusé. Les assureurs vérifient de plus en plus la conformité RGPD et NIS2 lors de la souscription.

Sanctions internationales (OFAC)

Le paiement d'une rançon à un groupe figurant sur la liste de sanctions américaine OFAC (Office of Foreign Assets Control) est interdit et donc automatiquement exclu. Plusieurs groupes ransomware (Evil Corp, certains groupes liés à la Russie et à la Corée du Nord) sont concernés. L'identification de l'attaquant avant tout paiement est essentielle.

Dommages matériels

La cyber-assurance ne couvre généralement pas les dommages physiques aux équipements (sauf à prouver un lien direct avec un acte cyber). Les incendies ou inondations relèvent de l'assurance multirisque classique. Dans les environnements industriels (OT/ICS), les conséquences matérielles d'attaques cyber (arrêt de production, casse d'équipements) sont souvent exclues ou nécessitent des polices spécifiques.

04 — Cadre légalLa loi LOPMI du 24 janvier 2023

La France a adopté le 24 janvier 2023 la loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI) qui encadre pour la première fois spécifiquement la cyber-assurance et le paiement de rançons. L'article L.12-10-1 du Code des assurances est créé pour cela.

Principe général

Le remboursement par l'assureur d'une rançon versée est conditionné au dépôt d'une plainte par la victime, dans un délai de 72 heures après connaissance de l'infraction.

Objectifs

• Judiciarisation systématique : faire remonter les cas à la justice, alimenter les enquêtes et la connaissance de la menace.
• Dissuasion indirecte : rendre le paiement moins attractif en obligeant à la transparence.
• Préservation de la possibilité : ne pas interdire totalement le paiement dans des cas où il resterait nécessaire.

Conséquences pratiques

Toute organisation victime qui envisage un paiement doit :

• Déposer plainte dans les 72 heures — délai très court qui impose une coordination préalable avec l'équipe juridique.
• Conserver les preuves de l'attaque et de la communication avec l'attaquant.
• Fournir ces éléments à l'enquête.

Sans respect de ces conditions, l'assureur peut refuser le remboursement même si la police le prévoit.

Autres obligations légales

• Notification CNIL sous 72h en cas de fuite de données personnelles (RGPD).
• Notification ACPR/ANSSI selon le secteur (NIS2, DORA).
• Notification à l'autorité de contrôle spécifique du secteur (ARCEP pour les télécoms, ARS pour la santé).
• Information des personnes concernées en cas de risque élevé (RGPD).
• Déclaration éventuelle d'ACTE (Attaque contre un Traitement de données à caractère personnel) selon les cas.

Débat éthique et politique

Le paiement de rançons reste fortement déconseillé par l'ANSSI et par les autorités. Les arguments :

• Aucune garantie de récupération des données ou de non-publication.
• Financement direct de l'écosystème criminel.
• Probabilité accrue de récidive (les groupes échangent des listes de « bons payeurs »).
• Pression indirecte sur les autres victimes potentielles.

Plusieurs pays (Australie, quelques États américains) ont adopté ou envisagent d'interdire totalement le paiement pour certains secteurs.

05 — SouscriptionCe que les assureurs exigent désormais

Le marché a profondément changé : souscrire une cyber-assurance n'est plus automatique. Les assureurs ont déployé des questionnaires techniques détaillés et refusent la couverture quand les fondamentaux ne sont pas en place.

Exigences devenues standard

Audit de sécurité préalable

Pour les polices importantes, les assureurs exigent désormais un audit de sécurité préalable : scan externe, revue des pratiques, parfois test d'intrusion ciblé. Les écarts identifiés doivent être corrigés avant souscription ou bien font l'objet d'exclusions spécifiques.

Obligation de mise à jour

Les polices incluent une obligation de maintien du niveau de sécurité pendant la durée du contrat. Un relâchement (suppression de la MFA, désactivation de l'EDR, changement de politique de sauvegarde sans notification) peut entraîner la nullité de la couverture en cas de sinistre.

Questionnaire de renouvellement

Les renouvellements s'accompagnent de questionnaires qui comparent l'évolution. Toute dégradation doit être expliquée et peut entraîner une hausse de prime ou un refus de renouvellement.

06 — MarchéPrincipaux acteurs en France

Grands assureurs historiques

• AXA XL : acteur majeur du marché cyber entreprise.
• AIG : historique du cyber, forte présence grands comptes.
• Allianz : offre complète multi-segment.
• Chubb : historique mid-market et grands comptes.
• Zurich : présent au niveau corporate international.
• Hiscox : positionnement PME/ETI, offres accessibles.
• Generali, MAIF, Groupama : offres PME.

Spécialistes et insurtechs

• Coalition : insurtech américaine avec offre intégrant prévention et couverture, présente en Europe.
• Stoïk : insurtech française, approche orientée PME avec scan de sécurité automatique.
• At-bay : américaine, modèle similaire à Coalition.
• Cowbell : plus petite structure, approche data-driven.

Courtiers spécialisés

Le marché cyber passe très majoritairement par des courtiers spécialisés qui négocient les conditions et accompagnent en cas de sinistre : Marsh, Aon, Willis Towers Watson, Gras Savoye, Diot-Siaci, Verlingue. Passer par un courtier est fortement recommandé pour une police cyber, tant les subtilités contractuelles sont importantes.

Tendances 2025-2026

• Stabilisation des primes après les hausses 2020-2022.
• Consolidation du marché : certains assureurs quittent le segment, d'autres se renforcent.
• Exigences techniques croissantes à la souscription.
• Intégration de services de prévention dans les polices (scan continu, monitoring, formation).
• Développement rapide des offres PME avec processus simplifiés.
• Premières offres intégrées « MDR + cyber-assurance » combinées.

07 — IncidentActiver la cyber-assurance en cas de crise

L'utilité réelle de la cyber-assurance se joue dans les premières heures d'un incident. Voici l'ordre des actions à mener.

1. Contacter immédiatement l'assureur ou le courtier : numéro d'urgence 24/7 prévu dans la police. Cet appel déclenche l'activation des services d'assistance (forensic, juridique, communication) même avant le règlement financier.
2. Ne pas s'engager seul vis-à-vis de l'attaquant : toute communication ou négociation doit passer par des professionnels accrédités par l'assureur. Un engagement mal cadré peut faire tomber la couverture.
3. Préserver les preuves : snapshots, logs, communications. Essentiel pour l'enquête et pour justifier la demande d'indemnisation.
4. Déposer plainte dans les 72 heures — condition légale pour toute indemnisation de rançon en France (LOPMI). À faire même si le paiement n'est pas envisagé, car la plainte conditionne aussi d'autres garanties.
5. Notifier la CNIL sous 72 heures si des données personnelles sont impactées. Cette notification est indépendante de l'assurance mais l'assureur en tient compte.
6. Coordonner avec les experts dépêchés par l'assureur : forensic, avocats, communication de crise. Ne pas contourner ces experts pour éviter les difficultés d'indemnisation ultérieures.
7. Documenter tous les coûts : factures, heures internes, locations d'urgence, communications. Tous les frais engagés doivent être traçables pour l'indemnisation.
8. Préparer le dossier de sinistre avec le courtier pour formaliser la demande et sa justification.

Panels d'experts

Les polices intègrent typiquement un panel d'experts agréés : cabinets forensic (Mandiant, Kroll, PWC, Deloitte), avocats spécialisés, communicants de crise. L'assuré est souvent tenu d'utiliser ces experts pour bénéficier de la couverture. Le panel peut aussi être connu à l'avance pour intégrer les numéros d'urgence dans les procédures internes avant même tout incident.

Pièges classiques

• Activer l'assurance trop tard — souvent la mobilisation d'experts est plus utile les premières heures que l'argent a posteriori.
• Négocier avec l'attaquant avant d'informer l'assureur — peut invalider des garanties.
• Payer sans notification préalable — peut annuler totalement le remboursement.
• Ne pas conserver les preuves — compromet toute indemnisation.
• Communiquer publiquement avant coordination avec l'assureur et les avocats.

08 — FAQQuestions fréquentes

La cyber-assurance est-elle obligatoire ?

Non en France. Aucune réglementation n'impose de souscrire une cyber-assurance. Elle est toutefois de facto attendue dans certains contextes : contrats de sous-traitance des grands comptes, marchés publics avec exigences de garanties financières, accords de partenariat avec des acteurs réglementés. Pour les secteurs DORA et NIS2, elle complète utilement le dispositif de résilience exigé.

Peut-on se passer de cyber-assurance avec un dispositif cyber mature ?

Techniquement oui, mais l'arbitrage se fait surtout sur l'ampleur du risque résiduel. Même les plus grandes entreprises avec SOC interne, PRA testé et dispositif complet peuvent subir des incidents majeurs. La cyber-assurance sert à couvrir les pertes d'exploitation, les frais juridiques et les responsabilités civiles qui peuvent atteindre plusieurs millions même dans des entreprises bien protégées. L'auto-assurance (via un fonds dédié) est possible pour les très grands groupes mais rare.

Quelle couverture viser ?

Règle empirique : viser un plafond couvrant au moins 20-30 jours d'arrêt complet ou 30-50% du chiffre d'affaires annuel pour les pertes d'exploitation. Pour la RC, viser un plafond couvrant les données personnelles détenues (coût moyen d'une fuite en France : environ 4 millions d'euros selon IBM/Ponemon 2024). Un audit avec un courtier spécialisé aide à calibrer le dimensionnement.

Les indépendants et TPE peuvent-ils s'assurer ?

Oui, de plus en plus. Les insurtechs (Stoïk, Coalition) et certains assureurs historiques (Hiscox, MAIF, Groupama) ont développé des offres accessibles avec processus de souscription simplifié. Les primes pour une TPE commencent autour de 500 €/an avec des plafonds de 100 à 500 k€. Les exigences techniques restent allégées par rapport aux grandes entreprises.

Les garanties couvrent-elles l'IA générative ?

Émergent en 2025-2026. Les dommages causés par des hallucinations d'IA, des deepfakes, des manipulations par prompt injection ne sont pas explicitement couverts par les polices classiques. Les assureurs commencent à proposer des extensions « IA » dédiées. Pour les organisations déployant massivement de l'IA générative en production, il faut spécifiquement vérifier ce périmètre avec le courtier.