On le sait: les cyberattaques n’épargnent plus aucune organisation, quelle que soit sa taille ou son secteur d’activité. Face à cette menace permanente, l’assurance cyber s’impose comme un mécanisme de protection financière à considérer par les dirigeants.

Le marché français de l’assurance cyber connaît d’ailleurs une évolution significative. Selon l’étude LUCY 2025 de l’AMRAE, le volume de primes s’est établi à 317 millions d’euros en 2024, avec un assouplissement des conditions de souscription et une baisse des taux de prime de 18 % chez les grandes entreprises. Pourtant, la sinistralité est repartie à la hausse avec 55 millions d’euros de sinistres indemnisés, soit une croissance de 43 % par rapport à 2023.

Pour autant, de nombreux dirigeants méconnaissent l’étendue réelle de la couverture possible ou en place en termes de cyberassurance. Quelles garanties sont effectivement incluses ? Quelles exclusions peuvent compromettre une indemnisation ? Quelles obligations légales conditionnent la prise en charge ? Cet article décrypte les contours de l’assurance cyber pour vous permettre de prendre des décisions éclairées.

Ce que couvre une assurance cyber : les garanties essentielles

Un contrat d’assurance cyber se structure généralement autour de deux volets principaux : la couverture des dommages propres et la couverture de la responsabilité civile envers les tiers . Cette double protection constitue le socle de la plupart des polices disponibles sur le marché.

La gestion de crise et l’assistance technique

L’un des apports majeurs d’une assurance cyber réside dans l’accompagnement immédiat en cas d’incident. Dès la détection d’une attaque, l’assuré peut soliciter une équipe d’experts disponible 24 heures sur 24 et 7 jours sur 7. Cette assistance comprend en général plusieurs volets : l’intervention d’experts en sécurité informatique pour identifier l’origine et l’étendue de l’attaque, mais aussi l’accompagnement juridique par un avocat spécialisé et l’accès à des consultants en communication de crise pour préserver la réputation de l’entreprise.

Les frais d’investigation numérique (forensique), de restauration des systèmes d’information et de récupération des données sont généralement pris en charge. Cette garantie permet de réagir rapidement et de limiter l’impact opérationnel de l’incident.

Les dommages immatériels et la perte d’exploitation

Une cyberattaque peut paralyser l’activité d’une entreprise pendant plusieurs jours, voire plusieurs semaines. L’assurance cyber couvre les pertes d’exploitation consécutives à cette interruption ou au ralentissement de l’activité. Cette garantie compense la perte de marge brute subie pendant la période d’indisponibilité des systèmes.

Les frais supplémentaires d’exploitation sont également indemnisés : il s’agit des dépenses engagées pour maintenir un niveau minimal d’activité, comme le recours à des solutions de contournement ou à des prestataires externes. Selon une étude Groupama de 2025, une attaque réussie coûte en moyenne 466 000 euros aux TPE et PME, dont 50 % correspondent à des pertes d’exploitation.

La responsabilité civile cyber et la protection des tiers

Lorsqu’une cyberattaque entraîne la fuite de données personnelles de clients, de partenaires ou de salariés, l’entreprise peut voir sa responsabilité civile engagée. L’assurance couvre alors les conséquences financières des réclamations de tiers : frais de défense juridique, dommages et intérêts, frais de notification aux personnes concernées conformément aux exigences du RGPD.

Certains contrats incluent également la prise en charge des amendes administratives prononcées par la CNIL en cas de violation de la confidentialité des données, dans la limite de leur assurabilité en droit français. Cette garantie vis-à-vis de possibles sanctions réglementaires devient particulièrement pertinente dans le contexte de renforcement des obligations liées à la directive NIS2 et au règlement DORA.

Les exclusions courantes : ce que l’assurance ne couvre pas

Aucun contrat d’assurance ne couvre l’intégralité des risques. Il est essentiel pour tout dirigeant de connaître les exclusions standard afin d’éviter de mauvaises surprises lors d’un sinistre. Ces exclusions répondent à des logiques de viabilité économique ou à des impossibilités juridiques.

Les actes de guerre et attaques étatiques

Les cyberattaques attribuées à des États ou à des groupes affiliés à des gouvernements sont généralement exclues des garanties. Cette exclusion de « guerre cyber » s’explique par l’impossibilité pour le marché privé de l’assurance d’absorber les conséquences d’un conflit numérique de grande ampleur. Si un rapport d’expert ou une déclaration officielle attribue une attaque à un acteur étatique, l’assureur peut invoquer cette clause pour refuser l’indemnisation.

Dans un contexte géopolitique tendu, cette exclusion mérite une attention particulière. Certains États réfléchissent à des mécanismes de garantie publique pour couvrir ces risques systémiques.

Les dommages matériels et corporels

L’assurance cyber protège contre les conséquences immatérielles et numériques d’une attaque. Les dommages physiques sont exclus : si une cyberattaque provoque la panne d’un serveur, l’incendie d’un équipement ou un accident corporel, ces sinistres relèvent d’autres polices (multirisque professionnelle, responsabilité civile exploitation, assurance accidents du travail).

Cette distinction est fondamentale pour les entreprises industrielles dont les systèmes informatiques pilotent des équipements de production. Une coordination entre les différentes polices d’assurance s’impose pour éviter les lacunes de couverture.

La négligence et le non-respect des mesures de sécurité

Les assureurs imposent des prérequis techniques comme condition de la garantie. L’absence de sensibilisation des utilisateurs du Système d’Information ; de mises à jour régulières des systèmes, le défaut d’antivirus ou d’outils de detection d’intrusion modernes (EDR) et de pare-feu, l’absence d’authentification multifacteur (MFA) ou de sauvegardes régulières et sécurisées peuvent constituer des motifs de refus de couverture.

De même, les actes intentionnels ou frauduleux commis par des dirigeants ou des salariés sont parfois exclus. Un manquement grave aux mesures de sécurité raisonnables peut être assimilé à une négligence et entraîner une déchéance de garantie.

Les améliorations de système et la propriété intellectuelle

La cyberassurance répare les dommages mais ne finance pas les investissements de prévention. Si l’entreprise profite d’un incident pour acquérir un équipement plus performant ou renforcer son infrastructure de sécurité, la différence de coût peut rester à sa charge. Le principe indemnitaire interdit tout enrichissement de l’assuré.

La perte de propriété intellectuelle, de secrets commerciaux ou de brevets est également généralement exclue, sauf mention contraire dans le contrat. Ces actifs immatériels sont difficiles à évaluer et leur couverture nécessite des extensions de garantie spécifiques.

Les conditions pour être indemnisé : le cadre légal à respecter

Souscrire une assurance cyber ne suffit pas à garantir une indemnisation. Le législateur et les assureurs ont instauré des conditions strictes que l’entreprise doit respecter pour bénéficier effectivement de sa couverture.

L’obligation de plainte dans les 72 heures (loi LOPMI)

Depuis le 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) conditionne l’indemnisation assurantielle au dépôt d’une plainte dans un délai de 72 heures à compter de la connaissance de l’atteinte. Cette obligation s’applique à toutes les personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.

Le délai court à partir de la découverte des dommages, non de la date de l’attaque elle-même. Le dépôt de plainte s’effectue auprès d’une brigade de gendarmerie, d’un commissariat de police ou directement auprès du procureur de la République. Cette disposition d’ordre public s’applique à tous les contrats d’assurance en cours, même si elle n’y figure pas explicitement.

Attention : le non-respect de ce délai entraîne la déchéance du droit à indemnisation. Il est donc impératif d’intégrer cette obligation dans les procédures internes de gestion de crise.

Les prérequis techniques exigés par les assureurs

Avant de souscrire une police cyber, l’entreprise doit généralement attester d’un niveau minimal de sécurité. Les assureurs exigent couramment la sensibilisation des collaborateurs, la mise en place d’un antivirus ou EDR selon le niveau d’exposition et d’un pare-feu à jour, de sauvegardes régulières sécurisée (déconnectées ou immuables) des données, d’une authentification multifacteur pour les accès sensibles et distants, et d’une politique de mise à jour des systèmes d’exploitation et des applications.

Ces prérequis font l’objet d’un questionnaire de souscription détaillé. Toute déclaration inexacte peut être invoquée par l’assureur pour réduire ou refuser l’indemnisation. Il est essentiel de décrire fidèlement la situation de l’entreprise et de s’engager dans une démarche d’amélioration continue.

La conformité réglementaire : NIS2, DORA et RGPD

Le cadre réglementaire européen impose des obligations croissantes aux entreprises en matière de cybersécurité. La directive NIS2, en cours de transposition en droit français, élargit considérablement le périmètre des entités concernées : santé, énergie, transport, services numériques, administrations publiques. Elle impose des mesures de gestion des risques, des obligations de notification d’incidents et prévoit des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Le règlement européen DORA, applicable depuis janvier 2025, cible spécifiquement le secteur financier : banques, assurances, fintechs, gestionnaires d’actifs. Il impose des tests de résilience réguliers et un encadrement strict des prestataires informatiques de tout acteur économique soumis à DORA.

La conformité à ces réglementations constitue un atout dans la négociation avec les assureurs. À l’inverse, un manquement grave peut justifier une exclusion de garantie. Pour approfondir ces obligations, consultez notre article sur la directive NIS2 et ses implications pour les PME et ETI.

Comment choisir son assurance cyber ?

Face à la diversité des offres et à la complexité des garanties, le choix d’un contrat d’assurance cyber ne s’improvise pas. Une approche méthodique permet d’obtenir une couverture adaptée aux besoins réels de l’entreprise.

Pourquoi passer par un courtier

Le recours à un courtier proposant des assurances cyber présente plusieurs avantages décisifs.

En premier lieu, cela permet de comparer les offres de plusieurs assureurs via un interlocuteur unique. Le courtier connaît les spécificités de chaque police, les clauses favorables à négocier et les exclusions à surveiller. Il va pouvoir solliciter différentes compagnies d’assurance en fonction de leur appétence sur l’activité exercée par l’entreprise et son niveau d’exposition. Le gain de temps est donc considérable : plutôt que de solliciter individuellement chaque compagnie d’assurance, l’entreprise bénéficie d’une mise en concurrence structurée.

La comparaison des coûts permet d’optimiser le rapport qualité-prix de la couverture. Les écarts de tarification entre assureurs peuvent être significatifs pour des garanties équivalentes.

Le courtier accompagne également l’entreprise dans la constitution du dossier de souscription, et notamment dans la complétion des questionnaires des assureurs, en explicitant leurs attendus. Ceux-ci diffèrent souvent des approches des DSI et sont plus orientés sur la prévention des sinistres cyber rencontrés.

Véritable conseiller, le courtier peut intervenir en cas de sinistre pour faciliter les démarches d’indemnisation. Il participera également chaque année à la mise à niveau de la posture cyber rencontrée et renégociera au mieux les couvertures, sous-limites, exclusions ; voire sera en capacité de proposer un changement d’assureur afin d’optimiser le programme d’assurance.

Les critères de comparaison essentiels

Plusieurs éléments doivent guider l’analyse des offres. Le plafond de garantie doit être cohérent avec l’exposition réelle de l’entreprise : une couverture de 500 000 euros peut s’avérer insuffisante pour une ETI dont l’arrêt d’activité coûterait plusieurs millions d’euros. Le montant de la franchise, qui reste à la charge de l’assuré, impacte directement le coût de la prime.

L’étendue des garanties mérite un examen attentif : la fraude au président (cyber-extorsion par ingénierie sociale) est-elle couverte ? Les pertes d’exploitation liées à une défaillance d’un prestataire cloud sont-elles incluses ? La territorialité correspond-elle au périmètre d’activité de l’entreprise ?

La qualité du dispositif d’assistance est déterminante : disponibilité 24h/24, réseau d’experts reconnus, délais d’intervention garantis. En cas de crise, la réactivité de l’assureur fait la différence.

Adapter le niveau de couverture à son profil de risque

Chaque entreprise présente un profil de risque spécifique. Les secteurs comme la santé, la finance ou les services numériques sont particulièrement exposés et nécessitent des couvertures renforcées. Le volume et la sensibilité des données traitées, la dépendance aux systèmes d’information, l’exposition internationale sont autant de facteurs à prendre en compte.

L’étude LUCY 2025 indique qu’une grande entreprise souscrit en moyenne une couverture de 42,5 millions d’euros avec une franchise de 6,5 millions d’euros pour une prime de 800 000 euros. Une ETI se positionne typiquement sur une couverture de 4,5 millions d’euros avec une franchise de 100 000 euros pour une prime de 47 000 euros. Ces ordres de grandeur permettent de situer son propre besoin.

Comment évaluer si votre entreprise est déjà bien couverte ?

Disposer d’un contrat d’assurance cyber ne garantit pas une protection optimale. Un audit régulier de la couverture s’impose pour vérifier son adéquation avec l’évolution des risques et de l’activité.

Auditer vos contrats existants

La première étape consiste à recenser l’ensemble des polices d’assurance souscrites par l’entreprise. Certains risques cyber peuvent être partiellement couverts par la responsabilité civile professionnelle ou la multirisque professionnelle. Il convient d’identifier les éventuelles lacunes et les doublons de garanties.

L’examen des exclusions mérite une attention particulière. La tendance des assureurs est à l’exclusion du risque cyber des polices traditionnelles, au profit de contrats dédiés. Une lecture croisée des différentes polices permet de vérifier la cohérence globale de la protection.

Pour approfondir cette démarche, découvrez notre article sur la gouvernance du risque cyber en entreprise.

Les points clés à négocier avec votre assureur

Le marché de l’assurance cyber s’est assoupli en 2024, offrant des marges de négociation aux entreprises. Plusieurs points méritent une discussion avec votre assureur ou votre courtier : le rachat de certaines exclusions (fraude, ingénierie sociale), l’extension de la couverture aux filiales ou aux sous-traitants critiques, la réduction de la franchise en échange d’un engagement sur des mesures de prévention.

La valorisation de votre niveau de sécurité constitue un argument de poids. Si votre entreprise dispose de certifications (ISO 27001), de solutions de protection avancées (SOC managé ou interne, EDR, MFA) ou d’un plan de continuité d’activité documenté, faites-le valoir pour obtenir de meilleures conditions.

La question de la responsabilité personnelle du dirigeant en cas de manquement aux obligations de cybersécurité doit également être prise en compte dans la stratégie assurantielle globale.

Conclusion

L’assurance cyber constitue un pilier essentiel de la stratégie de résilience des entreprises face aux menaces numériques. Trois enseignements clés se dégagent de cette analyse.

Premièrement, les garanties réellement couvertes sont plus étendues qu’on ne le pense souvent : gestion de crise, perte d’exploitation, responsabilité civile, frais de notification. Mais les exclusions sont tout aussi significatives et méritent un examen attentif avant la souscription.

Deuxièmement, l’indemnisation n’est pas automatique. Le respect de l’obligation de plainte dans les 72 heures instaurée par la loi LOPMI, le maintien d’un niveau de sécurité conforme aux exigences contractuelles et la conformité aux réglementations (NIS2, DORA, RGPD) conditionnent la prise en charge des sinistres.

Troisièmement, le choix du contrat ne doit pas être laissé au hasard. Le recours à un courtier spécialisé permet de comparer les offres, d’optimiser les coûts et d’adapter la couverture au profil de risque spécifique de l’entreprise.

Il n’est pas trop tard pour agir.

Eurolaw France Cyber réunit avocats, experts en gestion du risque cyber ainsi qu’un courtier d’assurances pour accompagner les dirigeants dans l’évaluation de leur exposition au risque cyber et l’optimisation de leur couverture assurantielle. Contactez-nous pour un diagnostic complet de votre assurabilité cyber.

Sources : Étude LUCY 2025 (AMRAE), Panorama de la cybermenace 2024 (ANSSI), Loi LOPMI n°2023-22 du 24 janvier 2023, Service-public.fr

FAQ: questions fréquentes sur l'assurance cyber

Combien coûte une assurance cyber pour une PME ?

Le coût d’une assurance cyber varie fortement selon votre profil de risque : secteur d’activité, volume de données personnelles traitées, chiffre d’affaires et niveau de maturité cyber.

La mise en place de mesures préventives comme l’authentification multifacteurs, des sauvegardes déconnectées régulières et la sensibilisation des équipes peut réduire significativement votre prime. Un courtier spécialisé vous permettra d’obtenir des devis comparatifs adaptés à votre situation réelle.

Que se passe-t-il si j'oublie de déposer plainte dans les 72 heures ?

Le non-respect du délai de 72 heures instauré par la loi LOPMI entraîne automatiquement la déchéance de votre droit à indemnisation. L’assureur refuse toute prise en charge, même si votre contrat est par ailleurs en règle.

Le délai court à partir de votre connaissance de l’attaque. Intégrez impérativement cette contrainte dans votre plan de gestion de crise : référent habilité, procédure documentée, coordonnées des services compétents.

Mon assurance multirisque professionnelle couvre-t-elle déjà les cyberattaques ?

La réponse est généralement non. Les assurances multirisques excluent les dommages immatériels consécutifs à une cyberattaque. Les pertes d’exploitation liées à l’indisponibilité de vos systèmes, les frais de gestion de crise, les coûts de notification RGPD ou les cyber-extorsions ne sont jamais pris en charge sans police cyber dédiée.

Un audit complet de vos contrats existants s’impose pour identifier les lacunes de couverture.

Puis-je souscrire une assurance cyber après avoir subi une attaque ?

Techniquement oui, mais les conditions seront défavorables : surprime substantielle, franchise majorée et exclusions renforcées.

L’assureur exigera un audit de sécurité complet avec mise en œuvre obligatoire des correctifs. Certains types d’attaques (ransomware) peuvent rendre l’entreprise temporairement « inassurable » pendant 12 à 24 mois. La meilleure stratégie : souscrire avant le premier incident, quand votre pouvoir de négociation est maximal.

Nos services

Contactez-nous

L’article L’Assurance Cyber : Quels Risques Sont Réellement Couverts ? est apparu en premier sur EUROLAW FRANCE CYBER.

La soirée débats trimestrielle d’Eurolaw France Cyber s’est tenue le 15 octobre 2024 avec plusieurs intervenants :

Celine Aussal Heller, Responsable France des solutions de souveraineté de Google,

Philippe Cotelle, Head of Insurance Risk Management chez Airbus Defence and Space et membre du Board de l’ AMRAE

Pascal Chaussade, Responsable pédagogique de l’Ecole de Guerre Economique (EGE),

Mohamed BEGHDADI, responsable du groupe de travail Formation professionnelle d’Eurolaw France Cyber.

La session était introduite et conclue par Yves-Marie Moray, Président d’Eurolaw France Cyber.

Celine Aussal Heller, Responsable France des solutions de souveraineté de Google, est intervenue sur le thème « Intelligence artificielle et cybersécurité ».

Détaillant les apports de l’IA en matière cyber (analyse des mécanismes d’attaque, aide à la décision…) mais aussi le recours à l’IA par les attaquants (développement de code malveillant, facilitation du social engineering…), Céline Aussal Heller a présenté l’approche de Google pour le développement d’IA « responsable » et les règles de gouvernance mises en place autour de ces travaux.

Philippe Cotelle, Head of Insurance Risk Management chez Airbus Defence and Space et membre du Board de l’ AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), a présenté l’étude annuelle LUCY (Lumière sur la Cyberassurance) publiée en mai dernier.

Cette étude basée sur les données des courtiers dresse le panorama de l’assurance cyber des entreprises en France.

Pascal Chaussade, Responsable pédagogique de l’Ecole de Guerre Economique (EGE), a présenté la palette des formations de l’EGE en matière de cybersécurité, du MBA spécialisé aux formations sur l’hygiène numérique, l’OSINT ou la gouvernance des systèmes d’information.

L’EGE a pour mission de former dirigeants et managers à l’intelligence économique: la cybersécurité en fait partie.

Mohamed BEGHDADI, expert cyber et responsable du groupe de travail Formation professionnelle d’Eurolaw France Cyber, a annoncé la mise en place d’un partenariat entre Eurolaw France Cyber et l’EGE.

Il a ensuite présenté les principes essentiels pour se préparer à une crise cyber, notamment pour les ETIs et PMEs, avant de donner un aperçu des tendances des derniers mois en matière de cyberattaques en France.

La prochaine session d’EUROLAW FRANCE CYBER aura lieu en décembre 2024.

L’article IA dans la cybersécurité et assurance cyber est apparu en premier sur EUROLAW FRANCE CYBER.

Journal Spécial des Sociétés: entretien avec Pierre-Marie GAUTHIER, Secrétaire Général d’EUROLAW FRANCE CYBER.

Tandis que 20 % des entreprises françaises ont déjà été victimes d’une cyberattaque, selon un récent baromètre Cyblex/Docaposte, Pierre-Marie Gauthier, secrétaire général de l’association Eurolaw France Cyber, plaide pour une sensibilisation accrue des dirigeants, qui peuvent être tenus juridiquement responsables en cas d’attaque.

 

JSS : Quels sont les différents visages du risque cyber ?

Pierre-Marie Gauthier : Sur le plan mondial, le risque cyber peut être distingué de trois façons. Premièrement, il y a les erreurs humaines au sein des entreprises, qui peuvent entraîner la perte ou la destruction de données, ou encore le dysfonctionnement des systèmes informatiques, rendant ces derniers indisponibles. Bien que ce type de risque soit relativement rare, il reste pertinent. Prenons l’exemple récent de CrowdStrike, que vous avez peut-être suivi. Dans ce cas précis, il s’agit d’une erreur humaine, et non d’une cyberattaque. Une mise à jour de leur logiciel intégré à Windows n’avait pas été suffisamment testée, ce qui a conduit à des dysfonctionnements majeurs pour les utilisateurs. Certains se sont retrouvés avec un écran bleu, et pour corriger ce problème, il a fallu intervenir poste par poste, ce qui est évidemment gérable pour une petite entreprise, mais devient un véritable casse-tête pour des organisations comptant des milliers de postes.

Le deuxième type de risque est la malveillance, que je diviserais en deux catégories. La première, la malveillance politique, concerne des États suspects tels que la Chine, la Russie ou la Corée du Nord, qui utilisent leurs services secrets pour mandater des entreprises tierces afin de mener des attaques ou des actions de malveillance. Ces attaques peuvent prendre la forme de blocages, de désinformation, ou d’autres types d’agressions numériques visant à déstabiliser un adversaire.

Ensuite, il y a la malveillance financière, dont l’objectif est de voler des données, de bloquer des systèmes, ou même de nuire à un concurrent par le biais de ce que l’on pourrait appeler des « tueurs à gages cyber ».

JSS : En quoi consiste la mission d’Eurolaw France Cyber auprès des entreprises susceptibles de connaître des cyberattaques ?

P-M.G : Il est essentiel de se demander ce qui existait auparavant sur le marché pour accompagner les entreprises face aux risques cyber. On y trouvait principalement des avocats, des experts informatiques, et de grandes sociétés d’audit. En plus de ces acteurs, il y avait des entreprises spécialisées dans la gestion de crise, des fabricants de logiciels, et bien sûr, des assureurs. L’idée derrière la fondation de notre association a été de rassembler cette diversité de services sous un même toit, offrant ainsi une approche globale pilotée en fonction des besoins spécifiques de chaque client.

Notre mission va au-delà de la simple formation ou information sur les cyber-risques. Nous proposons une gestion complète des risques, incluant la cartographie et la hiérarchisation des risques, ainsi que l’élaboration de plans d’action pour les atténuer. Cette approche englobe la détection et le traitement des vulnérabilités, et s’étend jusqu’à la création de plans de résilience. Pour ce faire, notre panel de services inclut non seulement des avocats et des experts informatiques, mais aussi des éditeurs de logiciels, assurant une couverture complète des besoins des entreprises.

À chaque étape, nous proposons un chef de projet dédié qui veille à définir les besoins du client de manière précise, et à adapter notre offre en conséquence. Cela inclut également la mise en place de contrats d’assurance, car nous avons constaté que de nombreuses entités, qu’elles soient publiques ou privées, n’avaient pas un accès adéquat au marché de l’assurance pour faire face aux cyberattaques, que ce soit d’un point de vue financier ou technique.

Le manque d’information et de maturité intellectuelle sur ces sujets empêchait ces entreprises de définir un plan d’action efficace. C’est pourquoi notre association s’est particulièrement focalisée sur la sensibilisation des dirigeants. En effet, c’est à travers eux, qu’ils soient à la tête d’entreprises publiques ou privées, que la décision de déployer une politique de gestion des risques cyber peut être prise et mise en oeuvre de manière efficace. Il est crucial de commencer par le commencement, et c’est en sensibilisant les dirigeants que nous pourrons véritablement les accompagner dans la mise en place d’un plan d’action complet et d’un traitement durable des risques.

JSS : Entre autres risques liés à une cyberattaque, on l’oublie souvent, la responsabilité des dirigeants d’entreprise et des exécutifs publics peut être engagée. Comment cela se fait-il ? Quels risques encourent-ils ?

P-M.G : La première source de droit en matière de cybersécurité repose sur le droit civil général, qui établit que toute personne causant un préjudice à un tiers peut être tenue responsable et, en conséquence, être contrainte de verser des dommages et intérêts, conformément aux principes établis dans le Code civil français. Ce concept de responsabilité est universel, présent dans les systèmes juridiques français, allemand, américain, et bien d’autres.

Cependant, face à la spécificité des risques liés au cyberespace, le législateur a jugé nécessaire d’introduire des cadres juridiques additionnels. Parmi ces cadres, la réglementation sur la protection des données personnelles, établie au niveau européen, joue un rôle crucial. Cette réglementation encadre la gestion des données personnelles, c’est-à-dire toutes les informations permettant d’identifier un individu, telles que le nom, le prénom, l’adresse, le numéro de sécurité sociale, les données bancaires, ainsi que les préférences religieuses, sexuelles, politiques, etc. En raison de la capacité des technologies informatiques à stocker, regrouper, et traiter ces données, les entités, qu’elles soient des personnes morales ou physiques, de droit privé ou public, qui traitent ces informations se voient imposer une responsabilité spécifique.

En cas de non-respect de ces obligations, les sanctions peuvent être sévères. Pour les personnes morales, les amendes peuvent atteindre jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial, ce qui constitue une pénalité extrêmement dissuasive. Les personnes physiques, quant à elles, risquent jusqu’à 300 000 euros d’amende et cinq ans d’emprisonnement.

C’est la CNIL (Commission nationale de l’informatique et des libertés) en France, ou son équivalent dans d’autres pays européens, qui est l’organisme chargé de veiller au respect de ces réglementations. En cas de fuite de données personnelles, la loi LOPMI impose désormais une obligation de déclaration à la CNIL dans un délai de 72 heures. Les responsables doivent alors mettre en oeuvre des mesures correctives et notifier les tiers concernés, les informant que leurs données pourraient avoir été compromises et détaillant les actions prises pour en limiter les effets, dans la mesure du possible.

JSS : Quelles mesures ont été mises en place pour réduire l’écart de sécurité entre les PME, les entreprises de taille intermédiaire (ETI) et les grandes entreprises face aux cyberattaques ?

P-M.G : Le deuxième point crucial est la directive NIS 2, qui représente une avancée majeure dans la régulation des cyber-risques. Cette directive européenne, qui entrera en vigueur en octobre 2024, impose un ensemble d’obligations spécifiques aux entreprises face aux menaces cybernétiques. Contrairement au RGPD qui s’adresse plus largement à toute entité traitant des données personnelles, la directive NIS 2 cible spécifiquement les entreprises, en particulier celles opérant dans des secteurs critiques.

Les grandes entreprises, à l’échelle mondiale, ont déjà intégré ces problématiques dans leur gouvernance. Elles disposent généralement de services dédiés à la gestion des risques, et ont conscience de leur vulnérabilité, ce qui fait du cyber-risque un sujet de gouvernance prioritaire.

En revanche, les PME et les ETI, qui n’ont pas la même structure ou les mêmes ressources, sont souvent plus concentrées sur leurs opérations courantes, comme gérer leur business plutôt que sur la gestion des risques cyber. Cela les rend particulièrement vulnérables, surtout si elles n’ont pas encore été confrontées directement à des incidents de cybersécurité. Surtout qu’elles représentent une cible privilégiée pour les hackers, qui les exploitent comme une porte d’entrée vers des entreprises plus importantes. En attaquant ces PME et ETI, souvent moins bien protégées, les cybercriminels peuvent accéder aux informations cruciales des grandes entreprises qu’elles sous-traitent, permettant ainsi de récupérer des données stratégiques sans affronter directement les défenses robustes des grandes corporations.

Du coup, cette directive NIS 2 est conçue pour combler le fossé en matière de cybersécurité au sein des entreprises. En France, elle va concerner environ 10 000 entreprises réparties sur 18 secteurs d’activité considérés comme hautement critiques. Ces entreprises, selon leur importance et l’impact potentiel d’une cyberattaque sur la fourniture de services essentiels aux États membres, seront tenues de mettre en place des mesures de protection rigoureuses contre les risques cyber. L’objectif de cette directive est d’améliorer la résilience des entreprises face aux menaces numériques, un enjeu crucial dans un monde où la digitalisation rapide expose les organisations à des risques de plus en plus importants. Pour s’assurer de la conformité, l’ANSSI sera chargée de contrôler que ces entreprises respectent bien les exigences de la directive.

Les dirigeants devront prouver qu’ils ont suivi des formations spécifiques et démontrer qu’ils ont instauré une véritable politique de gestion des risques, avec des plans d’action détaillés et des mesures d’évaluation. Si ces exigences ne sont pas respectées, des sanctions pourront être imposées, pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise.

Pour les PME et les ETI, la mise en conformité avec NIS 2 représente un défi important. Elles devront soit s’équiper de solutions de protection appropriées, soit faire appel à des sous-traitants spécialisés pour gérer la protection de leurs données. Il est probable qu’une période de transition soit accordée pour permettre à ces entreprises de se préparer avant que les sanctions ne soient appliquées.

JSS : En 2021, une task force opérationnelle a été lancée au sein de votre réseau, en cas de mise en cause de leur responsabilité civile ou pénale. Quelle expertise, quel service apportez-vous ?

P-M.G : Alors, justement, tout cet accompagnement autour des obligations juridiques telles que le RGPD ou la directive NIS 2 englobe en réalité un ensemble d’exigences complexes. L’objectif est d’aider les entreprises à répondre à leurs impératifs de conformité. Concrètement, cela commence par l’intervention des avocats, qui se chargent de structurer la partie juridique de ces obligations. Leur rôle ne se limite pas à conseiller sur les politiques à mettre en place, mais aussi à rédiger des procédures claires et adaptées au fonctionnement interne de l’entreprise, afin de s’assurer que rien n’a été négligé et que tout est conforme.

Sur le plan technique, l’accompagnement prend une dimension tout aussi cruciale. Il s’agit d’assister les entreprises sur le plan informatique pour qu’elles puissent établir et piloter une véritable politique de gestion des risques. À cet égard, une société du groupement Eurolaw, nommée EGERIE, joue un rôle clé. EGERIE propose un logiciel déjà largement utilisé par de grandes entreprises, qui permet de centraliser toutes les informations relatives à la gestion des risques en fonction des normes internationales en vigueur.

Les experts d’Eurolaw France Cyber sont ainsi capables de guider les entreprises dans la mise en place et le déploiement de leurs politiques de gestion des risques sur cette plateforme. Celle-ci offre un pilotage extrêmement fin des vulnérabilités cyber et permet également de développer un plan d’action pour quantifier les risques. À partir de cette quantification, les entreprises peuvent planifier leurs investissements financiers de manière progressive et ciblée afin de renforcer leur sécurité et de réduire leurs vulnérabilités.

En outre, EGERIE a développé un module spécifique pour l’assurance, qui permet de renseigner toutes les données nécessaires aux assureurs pour évaluer si le risque est assurable. Ce logiciel peut extraire les informations pertinentes pour chaque compagnie d’assurance, ce qui facilite grandement le travail des courtiers. Car ces derniers, en fonction des politiques de sécurité mises en place par l’entreprise, peuvent ainsi identifier les assureurs les plus adaptés à son profil de risque, en s’appuyant sur une évaluation précise et objective des risques.

JSS : Comment les dirigeants peuvent-ils se prémunir d’une cyberattaque, et ainsi, éviter que leur responsabilité ne soit engagée ?

P-M.G : Le sujet central ici, c’est de mettre en place une véritable politique de gouvernance du risque cyber pour les entreprises. Pour cela, il est nécessaire de s’entourer d’experts afin de bien cerner et comprendre la nature de son risque cyber. Pour un dirigeant de PME ou d’ETI, il s’agit de se poser les bonnes questions : quelles sont les données personnelles que je traite, en quelle quantité, et dans quel contexte ? Comment mon système informatique est-il armé pour résister à des attaques potentielles ? Tout cela commence par un audit approfondi.

Cet audit initial est indispensable pour dresser un état des lieux clair de ce qui est fait, de ce qui ne l’est pas, et de ce qui doit être amélioré. C’est exactement ce que nous faisons actuellement pour un gros syndicat de l’eau, où tout a commencé par un audit détaillé. À partir de cet audit, nous avons pu recommander un ensemble de mesures prioritaires à mettre en place, mais ce n’est que le début du processus de mise en place d’une véritable politique de gestion du cyber-risque.

Cela signifie aussi nommer un DPO (délégué à la protection des données) si l’entreprise n’en a pas, surtout lorsqu’il s’agit d’une entité essentielle. Il faut également s’assurer que l’on dispose d’un RSSI (responsable de la sécurité des systèmes d’information) et qu’un plan soit mis en place pour protéger les vulnérabilités détectées, avec un suivi régulier des mesures mises en oeuvre.

Par ailleurs, acheter un logiciel de protection ne suffit pas. Il s’agit d’instaurer une politique d’audit rigoureuse, avec une révision régulière de ce plan pour ajuster les investissements humains et financiers nécessaires. La formation joue aussi un rôle clé, car une bonne politique de cybersécurité repose avant tout sur les bons réflexes. On le constate chez les particuliers, où les erreurs d’hygiène numérique, comme le partage de données bancaires à des arnaqueurs via des phishing, sont fréquentes. Il y a donc tout un travail d’éducation à mener au sein des entreprises pour instaurer une véritable culture de la sécurité numérique.

JSS : Dernièrement, quelles méthodes de piratages des entreprises ont le plus la cote ?

P-M.G : En entreprise, le phishing reste la méthode la plus redoutable et la plus courante, visant à escroquer, voler ou crypter des données, souvent en préparation d’une attaque par ransomware. Cette technique est largement répandue car elle est financièrement efficace, surtout dans le secteur privé où, malgré les recommandations contraires et l’obligation de déclarer les sinistres dans les 72 heures, certaines entreprises privées peuvent encore céder à la tentation de payer la rançon demandée. Dans le secteur public, le paiement de rançons est moins fréquent, en grande partie à cause des restrictions légales et des contraintes budgétaires.

La nature des attaques varie également en fonction du type de cybercriminel en question. Par exemple, lorsqu’il s’agit d’acteurs motivés par des objectifs politiques, les attaques de type DDoS, qui consistent à saturer les serveurs d’une entreprise jusqu’à les rendre inopérants, sont courantes. Ces attaques sont purement malveillantes, et visent à paralyser l’entreprise sans chercher à en tirer un gain financier direct. Il en va de même pour les attaques virales qui ont pour seul but de perturber le fonctionnement de l’entreprise, voire de l’anéantir.

Il existe bien sûr d’autres types d’attaques, souvent moins sophistiquées, mais toujours dans le but de voler des données ou de bloquer des services critiques. Ainsi, il n’est pas surprenant que le phishing et les attaques DDoS soient en pleine expansion, car ce sont les moyens les plus directs et les plus efficaces pour les cybercriminels d’atteindre leurs objectifs. Quant aux virus informatiques traditionnels, souvent créés par de jeunes génies cherchant à se faire un nom, ils existent toujours, mais ils ne représentent pas la menace principale pour les entreprises aujourd’hui.

JSS : Les Jeux Olympiques de Paris 2024 ont-ils contribué à l’augmentation du nombre d’entreprises touchées par les attaques ? Peut-on le craindre également avec les Jeux Paralympiques ?

P-M.G : Je pense qu’il sera pertinent de faire le point dans un certain temps, car il est encore trop tôt pour se prononcer de manière définitive. Cependant, il est évident que les risques sont nombreux, car la France est particulièrement exposée à diverses menaces. Prenons par exemple la situation avec la Russie : l’exclusion des athlètes russes des JO pourrait bien susciter des réactions, et il n’est pas exclu que certains espèrent voir la France rencontrer des difficultés cet été, notamment en matière de sécurité.

Mais on assiste souvent lors de tels événements à une recrudescence des attaques cybernétiques, comme cela a été le cas lors des précédents Jeux Olympiques. Les grands événements internationaux attirent toujours une attention accrue, non seulement des spectateurs et des médias, mais aussi des cybercriminels et autres acteurs malveillants, qui voient là également une opportunité de perturber, d’exercer des pressions ou de démontrer leurs capacités.

JSS : Comment jugez-vous l’efficacité de notre arsenal législatif français et européen pour faire face à la menace cyber qui plane sur les entreprises ?

P-M.G : Je pense que nous avançons progressivement dans la bonne direction, notamment avec le déploiement de la directive NIS 2, même si cela ajoute une certaine complexité pour les entreprises. En parallèle, le Règlement général sur la protection des données (RGPD) est en vigueur dans toute l’Europe, mais il y avait une faille majeure qui est enfin en train d’être corrigée : la vulnérabilité des données européennes lorsqu’elles sont stockées sur des clouds souverains américains. Ce problème est lié au Cloud Act, la législation américaine qui permet aux autorités américaines de récupérer, en toute légalité mais de manière discutable, des données appartenant à des entités étrangères.

Cette situation pose un problème crucial de souveraineté et d’extraterritorialité, car elle permet aux États-Unis d’exercer une forme d’impérialisme numérique. C’est particulièrement dangereux compte tenu de l’avance technologique significative des États-Unis dans ce domaine. Il ne faut pas oublier que la majorité des grandes entreprises technologiques mondiales sont américaines, et que près de 80 % du savoir-faire technologique est concentré là-bas. En conséquence, si les États-Unis peuvent accéder aux données du monde entier, cela donne un sens très réel au concept de « Big Brother is Watching You ».

Cependant, il est encourageant de voir que la Cour Européenne de Justice a apporté un nouveau cadre important pour renforcer la protection des données (dit cadre de protection des données : CPD, ou DPF en anglais : « Data privacy framework »). L’Union européenne commence enfin à prendre fermement position contre ce type de lois extraterritoriales. Cela montre que l’arsenal juridique et réglementaire européen se renforce progressivement, même si, comme pour toute chose, cela prendra du temps à se mettre pleinement en place.

Propos recueillis par Romain Tardino pour le JSS.

Lire l’interview sur le site du Journal Spécial des Sociétés.

crise cyber cyberassurance cyberattaque cybercriminalité droit international géopolitique inforensique preuve numérique risque cyber réponse à incident souveraineté

L’article Une politique de gouvernance du risque cyber pour les entreprises. est apparu en premier sur EUROLAW FRANCE CYBER.

A l’origine, le constat qui ne cesse de se vérifier, que les risques cyber restent la menace numéro 1 pour l’ensemble des entreprises privées et publiques et leurs dirigeants, et que cette menace, par sa complexité, nécessite un traitement préventif et curatif relevant d’expertises complémentaires.

 

Ainsi est née le 9 mai 2022, sous l’impulsion de l’avocat européen bien connu Yves-Marie MORAY, co-fondateur d’EUROLAW en 1992, EUROLAW FRANCE CYBER, association unique en son genre, capable de relever globalement ce défi c’est-à-dire de se positionner comme guichet unique répondant à l’ensemble des besoins des dirigeants d’entreprises relatifs à une maitrise complète des risques cybernétiques.

Avec l’entrée en vigueur de la directive européenne NIS2 dans les tous prochains mois (17 octobre 2024), les besoins de sécurité et de conseils avisés vont se faire croissants, confirmant ainsi la pertinence de notre modèle. 

Une méthodologie éprouvée : la richesse de l’interdisciplinarité.

Au commencement était la science du risk management et ses incontournables méthodologiques :

• Analyse du risque (dommages et pertes consécutives, responsabilités de dirigeants et de l’entreprise): inventaire, hiérarchisation par criticité décroissante, etc.
• Traitement du risque: étude des solutions de prévention (formation, chiffrage des solutions de prévention permettant de réduire ou de supprimer le risque) ou curatif (préparation et gestion de crise)
• Etude de solutions de transfert du risque, dont l’assurance.

Ce constat nous a amené à constituer une équipe interdisciplinaire de spécialistes dans les principaux domaines suivants:

• Juristes d’entreprise experts en cyber droit, avocats en droit public, droit des affaires dont le droit pénal et la propriété intellectuelle
• Spécialistes de la gestion de crise et de la formation opérationnelle pour s’y préparer efficacement
• Economistes référents en matière de l’évaluation du préjudice économique
• Auditeurs cyber multi certifications et ingénieurs informatiques cyber, notamment CISA, ISO 27000 K, DPO AFNOR
• Editeurs de cybersécurité comme TEHTRIS et son XDR bien connu du marché
• Courtiers d’assurances comme FILHET ALLARD, spécialiste du cyber avec sa filiale en ingénierie du cyber-risque.

Comment se réalise l’intégration de l’ensemble des compétences au sein d’Eurolaw France Cyber ?

Tout part de l’audit de risques dont les données sont analysées, hiérarchisées et retravaillées dans l’outil Egerie Risk Manager, pierre angulaire du concept. Cet outil devient rapidement un must de la compréhension du risque cyber et une aide indispensable à la prise de décision des dirigeants d’entreprise, leur permettant d’analyser les scenarii de crise, de les quantifier et de décider les investissements prioritaires en y intégrant notamment des notions de R.O.I.

Face à un marché de la cyberassurance très exigeant et peu capacitif, EUROLAW FRANCE CYBER offre une solution innovante et optimale: un module spécifique assurance et gestion de risques vient d’être développé en commun avec EGERIE, FILHET-ALLARD et Cie et sa filiale PRAEVENTIA, permettant d’optimiser le scoring de risques, c’est-à-dire donnant accès aux meilleurs placements d’assurance sur le marché (couple capacité/prix).

Ainsi, ce logiciel est capable, à partir de données objectives mises à jour par le client chaque année et intégrant les différentes options et choix de priorités d’investissements en gestion du risque cyber, de déterminer comment optimiser son scoring de risque assurance en tenant compte des politiques de souscription des principaux porteurs de risque.

Une telle réalisation n’aurait jamais été possible sans le concours de multiples spécialistes interdisciplinaires et nous les en remercions !

 

A notre connaissance, aucune autre solution de gestion du risque cyber intégrée à ce niveau n’existe sur le marché européen, apportant à nos clients un gain de temps et la confirmation que leurs choix d’investissements en prévention/protection seront reconnus et valorisés par les assureurs !  

Pierre-Marie GAUTHIER est Secrétaire Général d’EUROLAW FRANCE CYBER et actionnaire de FILHET ALLARD. Contact : pmg@eurolaw.eu

L’article Eurolaw France Cyber : le point après deux ans d’existence est apparu en premier sur EUROLAW FRANCE CYBER.