Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/NIS2 / Securite/Cyber-assurance : ce que couvrent les polices et obligations
NIS2 / Securite

Cyber-assurance : ce que couvrent les polices et obligations

Les polices de cyber-assurance couvrent les pertes liées aux incidents informatiques. Analyse des garanties, exclusions et obligations légales.

Par Thiébaut DevergrannePublie le 22 mars 2026Mis a jour le 22 mars 202610 min de lecture
Sommaire
  1. Le cadre juridique de la cyber-assurance en France
  2. Les garanties typiques d’une police de cyber-assurance
  3. Les exclusions courantes
  4. Le processus de souscription
  5. La gestion d’un sinistre cyber
  6. FAQ

La cyber-assurance est devenue un outil de gestion des risques incontournable pour les organisations confrontees à la multiplication des cyberattaques et au durcissement du cadre réglementaire. Le marché français de la cyber-assurance connaît une croissance soutenue, portée par la prise de conscience des risques numériques et par les exigences croissantes des partenaires commerciaux et des autorités de contrôle. L’analyse des garanties offertes, des exclusions applicables et du cadre juridique en vigueur est essentielle pour tout responsable souhaitant intégrer la cyber-assurance dans sa stratégie de protection.

Le cadre juridique de la cyber-assurance en France

La loi LOPMI et l’obligation de dépôt de plainte

La loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 24 janvier 2023 a introduit une disposition majeure pour le marché de la cyber-assurance. L’article L.12-10-1 du code des assurances, issu de l’article 5 de la LOPMI, dispose que le versement d’une somme au titre d’une clause d’assurance couvrant les pertes et dommages causes par une atteinte à un système de traitement automatisé de données est subordonné au dépôt d’une plainte par la victime auprès des autorités compétentes au plus tard dans les 72 heures suivant la connaissance de l’atteinte.

Cette disposition conditionne l’indemnisation à une démarche activé de la victime : sans dépôt de plainte dans le délai imparti, l’assureur peut refuser le versement de la garantie. Cette exigence vise a encourager le signalement des cyberattaques aux autorités judiciaires et a améliorer la connaissance statistique du phénomène.

L’articulation avec le RGPD

Le RGPD impose la notification des violations de données personnelles à la CNIL dans un délai de 72 heures (article 33) et, le cas échéant, aux personnes concernées (article 34). La cyber-assurance ne se substitue pas à ces obligations : elle couvre les conséquences financières de l’incident mais ne dispense pas l’assure de ses obligations de notification.

Les polices de cyber-assurance incluent généralement une garantie d’assistance en gestion de crise qui peut couvrir les frais de notification aux autorités et aux personnes concernées, les honoraires d’avocats spécialisés et les frais de communication de crise. Cette assistance peut s’avérer décisive pour respecter les délais de notification imposés par le RGPD.

L’articulation avec NIS2

La directive NIS2 impose aux entités essentielles et importantes des obligations de notification des incidents significatifs à l’autorité compétente (en France, l’ANSSI). Les sanctions NIS2 peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. La cyber-assurance peut couvrir les frais lies à la gestion de l’incident mais ne couvre généralement pas les amendes administratives elles-mêmes (voir ci-dessous les exclusions).

Les garanties typiques d’une police de cyber-assurance

La couverture des dommages propres

Les garanties de dommages propres couvrent les pertes directes subies par l’assure à la suite d’un incident informatique :

La perte d’exploitation. La garantie couvre la perte de marge brute résultant de l’interruption ou du ralentissement de l’activité à la suite d’un incident informatique. Cette garantie est généralement assortie d’une franchise temporelle (délai de carence) pendant lequel la perte n’est pas indemnisée, et d’une durée d’indemnisation maximale.

Les frais de restauration des systèmes. La garantie couvre les coûts de reconstitution des systèmes d’information, de restauration des données à partir des sauvegardes, de reinstallation des logiciels et de remise en service de l’infrastructure. Ces frais peuvent être considérables, notamment en cas d’attaque par ransomware.

Les frais de gestion de crise. Cette garantie couvre les honoraires des consultants en sécurité informatique (forensic), des avocats spécialisés, des experts en communication de crise et des prestataires de notification. Elle peut également couvrir les frais de mise en place d’un centré d’appels pour les personnes concernées en cas de violation de données.

Les frais de rançon (selon les polices). Certaines polices couvrent le paiement de rançons en cas d’attaque par ransomware, sous reserve du dépôt de plainte préalable impose par la LOPMI. Cette garantie est controversée : les autorités françaises, et notamment l’ANSSI, déconseillent le paiement des rançons car il alimente l’économie criminelle et n’offre aucune garantie de récupération des données.

La couverture de la responsabilité civile

Les garanties de responsabilité civile couvrent les réclamations de tiers résultant d’un incident informatique :

La responsabilité en cas de violation de données. La garantie couvre les réclamations des personnes dont les données personnelles ont été compromises. Elle inclut les frais de défense, les dommages-intérêts et les frais de transaction amiable.

La responsabilité en cas de transmission de logiciels malveillants. La garantie couvre les réclamations de tiers résultant de la transmission de virus ou de logiciels malveillants depuis les systèmes de l’assure.

La responsabilité en cas de manquement à la sécurité. La garantie couvre les réclamations liées à un manquement aux obligations de sécurité de l’assure, ayant cause un préjudice à un tiers (client, partenaire, sous-traitant).

Les garanties complémentaires

Selon les polices, des garanties complémentaires peuvent être proposées :

  • La cyber-extorsion : couverture des frais lies à une menace d’attaque ou de divulgation de données.
  • La fraude informatique : couverture des pertes financières résultant d’une fraude au président ou d’un détournement de fonds par manipulation informatique.
  • L’atteinte à la réputation : couverture des frais de communication et de relations publiques pour limiter l’impact réputationnel d’un incident.
  • Les sanctions réglementaires (dans les limités de l’assurabilité) : couverture des frais de défense devant les autorités de contrôle.

Les exclusions courantes

Les exclusions générales

Les polices de cyber-assurance comportent des exclusions qui limitent la portée des garanties :

Les amendes et sanctions administratives. La plupart des polices excluent la couverture des amendes administratives (sanctions CNIL, sanctions NIS2, sanctions DORA). L’assurabilité des amendes est un sujet débattu en droit français : la jurisprudence tend a considérer que l’assurance des sanctions pénales et administratives est contraire à l’ordre public (article L.113-1 du code des assurances). Certaines polices couvrent néanmoins les frais de défense devant les autorités de contrôle.

Les actes intentionnels. Les dommages résultant d’un acte intentionnel de l’assure ou de ses dirigeants sont exclus. Cette exclusion est conforme au principe général du droit des assurances (article L.113-1 du code des assurances).

La guerre et le terrorisme. Les incidents attribuables à des actes de guerre ou de terrorisme sont généralement exclus. L’attribution d’une cyberattaque à un État ou à un groupe terroriste est néanmoins un exercice délicat qui a donne lieu à des contentieux importants sur le marché international de la cyber-assurance.

Le défaut de conformité préalable. Certaines polices excluent ou limitent les garanties lorsque l’assure n’a pas mis en oeuvre les mesures de sécurité minimales requises par le contrat (par exemple, absence de sauvegardes, absence d’authentification multi-facteurs, absence de mises à jour de sécurité).

Les exclusions spécifiques

Les pertes de données non sauvegardées. Certaines polices excluent la couverture des frais de reconstitution des données qui n’étaient pas sauvegardées conformément aux bonnes pratiques.

Les systèmes obsolètes. Les incidents affectant des systèmes d’exploitation ou des logiciels qui ne sont plus maintenus par l’éditeur peuvent être exclus.

La responsabilité contractuelle excessive. Les engagements contractuels de l’assure envers ses clients qui dépassent la responsabilité légale de droit commun peuvent être exclus.

Le processus de souscription

L’évaluation des risques

La souscription d’une police de cyber-assurance est précédée d’une évaluation des risques conduite par l’assureur ou son courtier. Cette évaluation porte sur :

  • La politique de sécurité de l’information de l’organisation.
  • Les mesures de sécurité techniques déployées (pare-feu, antivirus, DLP, chiffrement, segmentation réseau).
  • Les procédures de gestion des incidents et les plans de continuité d’activité.
  • Les certifications obtenues (ISO 27001, SOC 2, HDS).
  • L’historique des incidents de sécurité.
  • Le volume et la nature des données personnelles traitées.

Les conditions préalables

Les assureurs exigent de plus en plus la mise en oeuvre de mesures de sécurité minimales comme condition de souscription :

  • Authentification multi-facteurs (MFA) sur les accès distants et les comptes privilégiés.
  • Sauvegardes régulières, testées et stockées hors ligne (protection contre les ransomwares).
  • Politique de mise à jour et de correction des vulnérabilités.
  • Segmentation du réseau et contrôle d’accès.
  • Programme de sensibilisation à la sécurité des collaborateurs.
  • Plan de réponse aux incidents documenté et testé.

Le non-respect de ces conditions peut entraîner un refus de garantie ou une majoration significative de la prime.

Le coût des primes

Le coût de la prime de cyber-assurance dépend de nombreux facteurs : taille de l’organisation, chiffre d’affaires, secteur d’activité, volume de données personnelles traitées, niveau de sécurité, historique des sinistres, montant des garanties et franchises choisies.

En ordre de grandeur, pour une ETI française :

  • Prime annuelle : de 5 000 à 50 000 euros pour des plafonds de garantie de 1 à 5 millions d’euros.
  • Franchises : de 10 000 à 100 000 euros selon les garanties.

Le marché a connu un durcissement significatif entre 2020 et 2023 (hausse des primes, resserrement des conditions), suivi d’une stabilisation relative à partir de 2024.

La gestion d’un sinistre cyber

La déclaration du sinistre

En cas d’incident informatique, l’assure doit :

  1. Déclarer le sinistre à l’assureur dans les délais prévus au contrat (généralement 48 à 72 heures).
  2. Déposer plainte auprès des autorités compétentes dans les 72 heures suivant la connaissance de l’atteinte (obligation LOPMI).
  3. Notifier la CNIL dans les 72 heures en cas de violation de données personnelles (obligation RGPD).
  4. Notifier l’ANSSI en cas d’incident significatif affectant une entité soumise à NIS2.

La concomitance de ces obligations impose une coordination rigoureuse des démarches de déclaration et de notification.

L’intervention des prestataires

L’assureur activé généralement un réseau de prestataires préqualifiés : experts en forensic informatique pour l’investigation technique, avocats spécialisés pour le conseil juridique et la gestion des notifications, consultants en communication de crise, prestataires de remise en service des systèmes. L’assure est généralement tenu de recourir aux prestataires désignés par l’assureur pour bénéficier de la garantie.

L’indemnisation

L’indemnisation est versee après évaluation du préjudice, deduction de la franchise et dans la limite du plafond de garantie. Les assureurs exigent la production de pièces justificatives : facturés des prestataires, attestation de dépôt de plainte, justificatifs de perte d’exploitation, rapports d’investigation.

FAQ

La cyber-assurance couvre-t-elle les amendes RGPD prononcées par la CNIL ?

En principe, non. L’assurabilité des amendes administratives est un sujet débattu, mais la position majoritaire en droit français est que l’assurance des sanctions à caractère punitif est contraire à l’ordre public. Les polices de cyber-assurance excluent généralement les amendes administratives de leur périmètre de couverture. En revanche, elles couvrent les frais de défense devant les autorités de contrôle (honoraires d’avocats, frais de procédure) et les frais de mise en conformité imposés par la CNIL à la suite d’une sanction.

Le dépôt de plainte dans les 72 heures est-il obligatoire pour être indemnise ?

Oui, depuis l’entrée en vigueur de l’article L.12-10-1 du code des assurances (loi LOPMI du 24 janvier 2023). Le versement de l’indemnisation au titre d’une police de cyber-assurance couvrant les pertes et dommages causes par une atteinte à un système de traitement automatisé de données est subordonné au dépôt d’une plainte dans les 72 heures suivant la connaissance de l’atteinte. Le non-respect de ce délai peut entraîner un refus de garantie par l’assureur. Cette obligation s’applique aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.

Quelles mesures de sécurité faut-il mettre en place pour obtenir une couverture cyber-assurance ?

Les assureurs exigent généralement un socle minimal de mesures de sécurité comme condition de souscription : authentification multi-facteurs sur les accès distants et les comptes privilégiés, sauvegardes régulières testées et stockées hors ligne, politique de mise à jour des correctifs de sécurité, segmentation du réseau, programme de sensibilisation des collaborateurs et plan de réponse aux incidents documenté. Le défaut de mise en oeuvre de ces mesures peut entraîner un refus de souscription, une exclusion de garantie ou une majoration de la prime. La certification ISO 27001 ou la conformité aux recommandations de l’ANSSI constituent des éléments valorisés par les assureurs.

Articles lies

NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min
NIS2 / Securite

Notification de cyberattaque : qui prévenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Pénalités NIS2 : montants des sanctions et régime d'application

23 mars 2026 · 12 min