Un rançongiciel paralyse votre activité pendant 5 jours. Vous avez souscrit une cyberassurance il y a six mois — vous pensez être couvert. Puis votre assureur vous envoie une lettre de refus : "le sinistre résulte d'un défaut de mise à jour des systèmes, constitutif d'une faute lourde non couverte par le contrat." Ce scénario arrive tous les jours en France. Voici comment lire votre contrat, identifier les pièges et choisir une couverture réellement efficace.
1. Le marché de la cyberassurance en France : l'état des lieux
Le marché de la cyberassurance française a triplé entre 2020 et 2025, pour atteindre environ 400 millions d'euros de primes annuelles. Mais cette croissance s'accompagne d'une augmentation des refus d'indemnisation : selon l'AMRAE (Association pour le Management des Risques et des Assurances), près de 30 % des sinistres cyber déclarés font l'objet d'une contestation partielle ou totale de la part des assureurs.
Pourquoi ? Parce que les contrats TPE/PME sont souvent rédigés par des équipes droit commercial généraliste, avec des clauses d'exclusion très larges qui permettent aux assureurs de se retirer dès qu'un manquement technique est identifiable chez l'assuré.
2. Ce que couvre (vraiment) un bon contrat cyber
Cellule d'assistance 24h/7j, forensic numérique pour identifier l'origine de l'attaque, coordination CNIL (notification sous 72h), communication de crise.
Indemnisation du chiffre d'affaires non réalisé pendant la durée d'interruption, après un délai de carence (souvent 8 à 24h selon les contrats).
Restauration des systèmes, récupération des données, remplacement des équipements compromis, honoraires d'experts informatiques.
Si la fuite de données vous expose à des réclamations de clients ou partenaires (amendes RGPD, préjudice subi par des tiers dont les données ont été compromises).
3. Les exclusions qui font mal — et que personne ne lit
| Exclusion fréquente | Formulation contractuelle type | Impact concret |
|---|---|---|
| Systèmes non patchés | "Défaut de maintenance préventive des logiciels" | Refus si Windows ou logiciel clé non mis à jour au moment de l'attaque |
| Erreur humaine volontaire | "Acte intentionnel ou frauduleux d'un salarié" | Couvre rarement le vol de données par un employé, même ex-employé |
| Infrastructure tierce | "Sinistres causés par un prestataire informatique" | Si votre hébergeur subit une attaque affectant vos données, souvent non couvert |
| Rançon | Variable selon contrat | Certains contrats couvrent le paiement de rançon, d'autres l'excluent explicitement |
| Guerre et actes d'État | "Cyberguerre, sabotage étatique" | Clause très large utilisée par Lloyd's depuis 2023 — peut s'appliquer à des attaques russes ou chinoises |
| Systèmes non inventoriés | "Actifs non déclarés dans la police" | Un ordinateur ou serveur non mentionné lors de la souscription peut invalider la couverture |
4. Les pré-requis techniques exigés par les assureurs en 2026
Depuis 2023, les assureurs cyber imposent de plus en plus des conditions préalables à la souscription — et surtout, à l'indemnisation. Ne pas les respecter équivaut à ne pas être couvert.
- Authentification multi-facteurs (MFA) sur les accès distants (VPN, messagerie, outils cloud)
- Sauvegardes régulières testées, dont au moins une copie hors ligne ou hors site (règle 3-2-1)
- Mises à jour de sécurité appliquées dans les 30 jours suivant leur publication
- Plan de réponse aux incidents documenté (même basique) et connu des équipes
- Formation annuelle des collaborateurs aux risques cyber (phishing, mots de passe)
- Déclarer l'intégralité de votre infrastructure (serveurs, NAS, accès cloud, prestataires informatiques) — toute omission peut invalider votre contrat
- Ne pas payer de rançon sans en informer préalablement votre assureur — dans certains contrats, le paiement sans accord rompt la garantie
5. Combien coûte une cyberassurance pour une TPE/PME ?
La prime annuelle dépend du secteur d'activité, du chiffre d'affaires, du niveau de protection technique et du plafond de garantie souhaité.
6. Les 7 questions à poser avant de signer
Et dans quelles conditions ? Faut-il un accord préalable de l'assureur ? Y a-t-il une franchise spécifique ?
Pour les pertes d'exploitation : combien d'heures d'interruption avant déclenchement ? 8h, 24h, 48h ?
Si votre hébergeur, votre comptable ou votre ERP subit une attaque affectant vos données, êtes-vous indemnisé ?
Est-elle présente ? Quelle est sa définition exacte ? Peut-elle s'appliquer à une attaque russe ou nord-coréenne non ciblée ?
Le délai de déclaration du sinistre est souvent 72h. Au-delà, la garantie peut être réduite ou annulée.
Listez-les et vérifiez chacun avant de signer. En cas de doute sur MFA ou sauvegardes, réglez-les avant la souscription.
Couvrez votre risque cyber avec le bon contrat
S@FE Digitalisation analyse votre niveau de protection technique et vous aide à sélectionner un contrat de cyberassurance adapté à vos risques réels — sans surprises en cas de sinistre.
Demander une analyse de risque gratuite →