L’Assurance Cyber : Quels Risques Sont Réellement Couverts ?

Un contrat d’assurance cyber se structure généralement autour de deux volets principaux : la couverture des dommages propres et la couverture de la responsabilité civile envers les tiers . Cette double protection constitue le socle de la plupart des polices disponibles sur le marché.

L’un des apports majeurs d’une assurance cyber réside dans l’accompagnement immédiat en cas d’incident. Dès la détection d’une attaque, l’assuré peut soliciter une équipe d’experts disponible 24 heures sur 24 et 7 jours sur 7. Cette assistance comprend en général plusieurs volets : l’intervention d’experts en sécurité informatique pour identifier l’origine et l’étendue de l’attaque, mais aussi l’accompagnement juridique par un avocat spécialisé et l’accès à des consultants en communication de crise pour préserver la réputation de l’entreprise.

Les frais d’investigation numérique (forensique), de restauration des systèmes d’information et de récupération des données sont généralement pris en charge. Cette garantie permet de réagir rapidement et de limiter l’impact opérationnel de l’incident.

Une cyberattaque peut paralyser l’activité d’une entreprise pendant plusieurs jours, voire plusieurs semaines. L’assurance cyber couvre les pertes d’exploitation consécutives à cette interruption ou au ralentissement de l’activité. Cette garantie compense la perte de marge brute subie pendant la période d’indisponibilité des systèmes.

Les frais supplémentaires d’exploitation sont également indemnisés : il s’agit des dépenses engagées pour maintenir un niveau minimal d’activité, comme le recours à des solutions de contournement ou à des prestataires externes. Selon une étude Groupama de 2025, une attaque réussie coûte en moyenne 466 000 euros aux TPE et PME, dont 50 % correspondent à des pertes d’exploitation.

Lorsqu’une cyberattaque entraîne la fuite de données personnelles de clients, de partenaires ou de salariés, l’entreprise peut voir sa responsabilité civile engagée. L’assurance couvre alors les conséquences financières des réclamations de tiers : frais de défense juridique, dommages et intérêts, frais de notification aux personnes concernées conformément aux exigences du RGPD.

Certains contrats incluent également la prise en charge des amendes administratives prononcées par la CNIL en cas de violation de la confidentialité des données, dans la limite de leur assurabilité en droit français. Cette garantie vis-à-vis de possibles sanctions réglementaires devient particulièrement pertinente dans le contexte de renforcement des obligations liées à la directive NIS2 et au règlement DORA.

Aucun contrat d’assurance ne couvre l’intégralité des risques. Il est essentiel pour tout dirigeant de connaître les exclusions standard afin d’éviter de mauvaises surprises lors d’un sinistre. Ces exclusions répondent à des logiques de viabilité économique ou à des impossibilités juridiques.

Les cyberattaques attribuées à des États ou à des groupes affiliés à des gouvernements sont généralement exclues des garanties. Cette exclusion de « guerre cyber » s’explique par l’impossibilité pour le marché privé de l’assurance d’absorber les conséquences d’un conflit numérique de grande ampleur. Si un rapport d’expert ou une déclaration officielle attribue une attaque à un acteur étatique, l’assureur peut invoquer cette clause pour refuser l’indemnisation.

Dans un contexte géopolitique tendu, cette exclusion mérite une attention particulière. Certains États réfléchissent à des mécanismes de garantie publique pour couvrir ces risques systémiques.

L’assurance cyber protège contre les conséquences immatérielles et numériques d’une attaque. Les dommages physiques sont exclus : si une cyberattaque provoque la panne d’un serveur, l’incendie d’un équipement ou un accident corporel, ces sinistres relèvent d’autres polices (multirisque professionnelle, responsabilité civile exploitation, assurance accidents du travail).

Cette distinction est fondamentale pour les entreprises industrielles dont les systèmes informatiques pilotent des équipements de production. Une coordination entre les différentes polices d’assurance s’impose pour éviter les lacunes de couverture.

Les assureurs imposent des prérequis techniques comme condition de la garantie. L’absence de sensibilisation des utilisateurs du Système d’Information ; de mises à jour régulières des systèmes, le défaut d’antivirus ou d’outils de detection d’intrusion modernes (EDR) et de pare-feu, l’absence d’authentification multifacteur (MFA) ou de sauvegardes régulières et sécurisées peuvent constituer des motifs de refus de couverture.

De même, les actes intentionnels ou frauduleux commis par des dirigeants ou des salariés sont parfois exclus. Un manquement grave aux mesures de sécurité raisonnables peut être assimilé à une négligence et entraîner une déchéance de garantie.

La cyberassurance répare les dommages mais ne finance pas les investissements de prévention. Si l’entreprise profite d’un incident pour acquérir un équipement plus performant ou renforcer son infrastructure de sécurité, la différence de coût peut rester à sa charge. Le principe indemnitaire interdit tout enrichissement de l’assuré.

La perte de propriété intellectuelle, de secrets commerciaux ou de brevets est également généralement exclue, sauf mention contraire dans le contrat. Ces actifs immatériels sont difficiles à évaluer et leur couverture nécessite des extensions de garantie spécifiques.

Souscrire une assurance cyber ne suffit pas à garantir une indemnisation. Le législateur et les assureurs ont instauré des conditions strictes que l’entreprise doit respecter pour bénéficier effectivement de sa couverture.

Depuis le 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) conditionne l’indemnisation assurantielle au dépôt d’une plainte dans un délai de 72 heures à compter de la connaissance de l’atteinte. Cette obligation s’applique à toutes les personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.

Le délai court à partir de la découverte des dommages, non de la date de l’attaque elle-même. Le dépôt de plainte s’effectue auprès d’une brigade de gendarmerie, d’un commissariat de police ou directement auprès du procureur de la République. Cette disposition d’ordre public s’applique à tous les contrats d’assurance en cours, même si elle n’y figure pas explicitement.

Attention : le non-respect de ce délai entraîne la déchéance du droit à indemnisation. Il est donc impératif d’intégrer cette obligation dans les procédures internes de gestion de crise.

Avant de souscrire une police cyber, l’entreprise doit généralement attester d’un niveau minimal de sécurité. Les assureurs exigent couramment la sensibilisation des collaborateurs, la mise en place d’un antivirus ou EDR selon le niveau d’exposition et d’un pare-feu à jour, de sauvegardes régulières sécurisée (déconnectées ou immuables) des données, d’une authentification multifacteur pour les accès sensibles et distants, et d’une politique de mise à jour des systèmes d’exploitation et des applications.

Ces prérequis font l’objet d’un questionnaire de souscription détaillé. Toute déclaration inexacte peut être invoquée par l’assureur pour réduire ou refuser l’indemnisation. Il est essentiel de décrire fidèlement la situation de l’entreprise et de s’engager dans une démarche d’amélioration continue.

Le cadre réglementaire européen impose des obligations croissantes aux entreprises en matière de cybersécurité. La directive NIS2, en cours de transposition en droit français, élargit considérablement le périmètre des entités concernées : santé, énergie, transport, services numériques, administrations publiques. Elle impose des mesures de gestion des risques, des obligations de notification d’incidents et prévoit des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Le règlement européen DORA, applicable depuis janvier 2025, cible spécifiquement le secteur financier : banques, assurances, fintechs, gestionnaires d’actifs. Il impose des tests de résilience réguliers et un encadrement strict des prestataires informatiques de tout acteur économique soumis à DORA.

La conformité à ces réglementations constitue un atout dans la négociation avec les assureurs. À l’inverse, un manquement grave peut justifier une exclusion de garantie. Pour approfondir ces obligations, consultez notre article sur la directive NIS2 et ses implications pour les PME et ETI.

Face à la diversité des offres et à la complexité des garanties, le choix d’un contrat d’assurance cyber ne s’improvise pas. Une approche méthodique permet d’obtenir une couverture adaptée aux besoins réels de l’entreprise.

Le recours à un courtier proposant des assurances cyber présente plusieurs avantages décisifs.

En premier lieu, cela permet de comparer les offres de plusieurs assureurs via un interlocuteur unique. Le courtier connaît les spécificités de chaque police, les clauses favorables à négocier et les exclusions à surveiller. Il va pouvoir solliciter différentes compagnies d’assurance en fonction de leur appétence sur l’activité exercée par l’entreprise et son niveau d’exposition. Le gain de temps est donc considérable : plutôt que de solliciter individuellement chaque compagnie d’assurance, l’entreprise bénéficie d’une mise en concurrence structurée.

La comparaison des coûts permet d’optimiser le rapport qualité-prix de la couverture. Les écarts de tarification entre assureurs peuvent être significatifs pour des garanties équivalentes.

Le courtier accompagne également l’entreprise dans la constitution du dossier de souscription, et notamment dans la complétion des questionnaires des assureurs, en explicitant leurs attendus. Ceux-ci diffèrent souvent des approches des DSI et sont plus orientés sur la prévention des sinistres cyber rencontrés.

Véritable conseiller, le courtier peut intervenir en cas de sinistre pour faciliter les démarches d’indemnisation. Il participera également chaque année à la mise à niveau de la posture cyber rencontrée et renégociera au mieux les couvertures, sous-limites, exclusions ; voire sera en capacité de proposer un changement d’assureur afin d’optimiser le programme d’assurance.

Plusieurs éléments doivent guider l’analyse des offres. Le plafond de garantie doit être cohérent avec l’exposition réelle de l’entreprise : une couverture de 500 000 euros peut s’avérer insuffisante pour une ETI dont l’arrêt d’activité coûterait plusieurs millions d’euros. Le montant de la franchise, qui reste à la charge de l’assuré, impacte directement le coût de la prime.

L’étendue des garanties mérite un examen attentif : la fraude au président (cyber-extorsion par ingénierie sociale) est-elle couverte ? Les pertes d’exploitation liées à une défaillance d’un prestataire cloud sont-elles incluses ? La territorialité correspond-elle au périmètre d’activité de l’entreprise ?

La qualité du dispositif d’assistance est déterminante : disponibilité 24h/24, réseau d’experts reconnus, délais d’intervention garantis. En cas de crise, la réactivité de l’assureur fait la différence.

Chaque entreprise présente un profil de risque spécifique. Les secteurs comme la santé, la finance ou les services numériques sont particulièrement exposés et nécessitent des couvertures renforcées. Le volume et la sensibilité des données traitées, la dépendance aux systèmes d’information, l’exposition internationale sont autant de facteurs à prendre en compte.

L’étude LUCY 2025 indique qu’une grande entreprise souscrit en moyenne une couverture de 42,5 millions d’euros avec une franchise de 6,5 millions d’euros pour une prime de 800 000 euros. Une ETI se positionne typiquement sur une couverture de 4,5 millions d’euros avec une franchise de 100 000 euros pour une prime de 47 000 euros. Ces ordres de grandeur permettent de situer son propre besoin.

Disposer d’un contrat d’assurance cyber ne garantit pas une protection optimale. Un audit régulier de la couverture s’impose pour vérifier son adéquation avec l’évolution des risques et de l’activité.

La première étape consiste à recenser l’ensemble des polices d’assurance souscrites par l’entreprise. Certains risques cyber peuvent être partiellement couverts par la responsabilité civile professionnelle ou la multirisque professionnelle. Il convient d’identifier les éventuelles lacunes et les doublons de garanties.

L’examen des exclusions mérite une attention particulière. La tendance des assureurs est à l’exclusion du risque cyber des polices traditionnelles, au profit de contrats dédiés. Une lecture croisée des différentes polices permet de vérifier la cohérence globale de la protection.

Pour approfondir cette démarche, découvrez notre article sur la gouvernance du risque cyber en entreprise.

Le marché de l’assurance cyber s’est assoupli en 2024, offrant des marges de négociation aux entreprises. Plusieurs points méritent une discussion avec votre assureur ou votre courtier : le rachat de certaines exclusions (fraude, ingénierie sociale), l’extension de la couverture aux filiales ou aux sous-traitants critiques, la réduction de la franchise en échange d’un engagement sur des mesures de prévention.

La valorisation de votre niveau de sécurité constitue un argument de poids. Si votre entreprise dispose de certifications (ISO 27001), de solutions de protection avancées (SOC managé ou interne, EDR, MFA) ou d’un plan de continuité d’activité documenté, faites-le valoir pour obtenir de meilleures conditions.

La question de la responsabilité personnelle du dirigeant en cas de manquement aux obligations de cybersécurité doit également être prise en compte dans la stratégie assurantielle globale.

L’assurance cyber constitue un pilier essentiel de la stratégie de résilience des entreprises face aux menaces numériques. Trois enseignements clés se dégagent de cette analyse.

Premièrement, les garanties réellement couvertes sont plus étendues qu’on ne le pense souvent : gestion de crise, perte d’exploitation, responsabilité civile, frais de notification. Mais les exclusions sont tout aussi significatives et méritent un examen attentif avant la souscription.

Deuxièmement, l’indemnisation n’est pas automatique. Le respect de l’obligation de plainte dans les 72 heures instaurée par la loi LOPMI, le maintien d’un niveau de sécurité conforme aux exigences contractuelles et la conformité aux réglementations (NIS2, DORA, RGPD) conditionnent la prise en charge des sinistres.

Troisièmement, le choix du contrat ne doit pas être laissé au hasard. Le recours à un courtier spécialisé permet de comparer les offres, d’optimiser les coûts et d’adapter la couverture au profil de risque spécifique de l’entreprise.

Il n’est pas trop tard pour agir.

Eurolaw France Cyber réunit avocats, experts en gestion du risque cyber ainsi qu’un courtier d’assurances pour accompagner les dirigeants dans l’évaluation de leur exposition au risque cyber et l’optimisation de leur couverture assurantielle. Contactez-nous pour un diagnostic complet de votre assurabilité cyber.

Sources : Étude LUCY 2025 (AMRAE), Panorama de la cybermenace 2024 (ANSSI), Loi LOPMI n°2023-22 du 24 janvier 2023, Service-public.fr