/ Assurances pour entreprises / Pourquoi votre multirisque professionnelle classique refusera de payer la rançon après une attaque au ransomware ?
Entreprise confrontée à une cyberattaque par ransomware avec refus d'indemnisation par l'assurance
Publié le 18 mai 2024

Penser que votre multirisque pro (MR Pro) vous couvre en cas de cyberattaque est l’erreur la plus coûteuse que puisse faire un dirigeant.

  • Les assureurs refusent le paiement si des mesures de sécurité de base, comme l’authentification multifacteur (MFA), ne sont pas en place, considérant cela comme une négligence grave.
  • Les contrats font une distinction stricte entre l’intrusion (cyber-garantie) et l’escroquerie (garantie fraude optionnelle), un virement fait par un employé dupé n’est donc pas couvert.

Recommandation : Auditez immédiatement les clauses d’exclusion de votre contrat et exigez des garanties cyber spécifiques, car la responsabilité finale (même en cas de faille de votre prestataire cloud) vous incombe entièrement.

Vous êtes un dirigeant de PME, votre activité est numérisée, et vous avez consciencieusement souscrit une assurance multirisque professionnelle. Vous pensez être protégé contre les aléas, y compris le fléau du piratage informatique. Un matin, l’écran de vos serveurs affiche une demande de rançon : toutes vos données sont chiffrées. Votre premier réflexe, après le choc, est de penser que votre assurance règlera le problème. C’est une illusion dangereuse.

La croyance populaire est que l’assurance est là pour payer. On entend souvent qu’il suffit de souscrire une « bonne assurance » pour être tranquille. Mais la réalité des contrats est bien plus complexe et technique. Votre MR Pro est un contrat généraliste qui, dans 99% des cas, contient des exclusions spécifiques pour les risques cybernétiques avancés comme les rançongiciels. Et même si vous avez une extension « cyber », elle est conditionnée par des prérequis techniques extrêmement stricts.

La véritable clé n’est pas de trouver une assurance qui paie « à tous les coups », mais de comprendre le contrat d’assurance comme ce qu’il est réellement : un accord technique. Le refus de payer de l’assureur n’est que rarement une trahison ; c’est l’application logique et froide de clauses que vous n’avez pas lues, comprises ou respectées. L’absence de double authentification, un délai de notification dépassé, ou une preuve numérique effacée par erreur sont autant de motifs de déchéance de garantie.

Cet article va vous fournir les clés de lecture d’un expert en réponse à incident. Nous allons décortiquer les raisons techniques et juridiques qui fondent les refus des assureurs, afin que vous puissiez transformer ces clauses d’exclusion, aujourd’hui subies, en une checklist de protection pour votre entreprise.

Pour vous guider à travers les méandres des contrats et des procédures d’urgence, cet article est structuré pour répondre aux questions les plus critiques que se pose un dirigeant en pleine crise. Le sommaire ci-dessous vous permettra de naviguer directement vers les points qui vous préoccupent le plus.

Sommaire : Les failles de votre assurance cyber que les pirates connaissent déjà

L’absence de double authentification (MFA) qui donne le droit à l’assureur de ne rien rembourser du tout

C’est la clause d’exclusion la plus brutale et la plus fréquente. Pour un assureur, en 2024, ne pas avoir déployé l’authentification multifacteur (MFA) sur tous les accès sensibles (comptes administrateurs, accès à distance, messagerie) n’est plus un simple oubli. C’est considéré comme une négligence grave ou une « faute qualifiée », donnant à l’assureur un droit légitime de refuser toute indemnisation. Le raisonnement est simple : vous n’avez pas mis en place les protections les plus élémentaires et reconnues pour sécuriser votre système d’information.

L’argument selon lequel « c’était trop compliqué à mettre en place » n’est pas recevable. Les autorités elles-mêmes renforcent cette position. Selon la présidente de la CNIL, 80% des violations de données auraient pu être évitées avec une authentification robuste. Le MFA n’est donc plus une option, mais un prérequis contractuel implicite (et de plus en plus explicite) dans toutes les polices d’assurance cyber sérieuses.

La sanction ne vient pas seulement de l’assureur. L’absence de mesures de sécurité de base peut mener à des amendes réglementaires considérables, qui ne seront bien évidemment pas couvertes si la négligence est prouvée.

Étude de Cas : France Travail, une amende record pour défaut de sécurité

En janvier 2026, la CNIL a sanctionné France Travail d’une amende de 5 millions d’euros après une violation massive de données. L’enquête a spécifiquement pointé du doigt des modalités d’authentification insuffisamment robustes pour les comptes des conseillers. Cette décision illustre parfaitement comment les régulateurs, et par extension les assureurs, considèrent l’absence de mesures comme le MFA non plus comme une faiblesse, mais comme une faute engageant la responsabilité directe de l’organisation.

En définitive, ignorer le déploiement du MFA équivaut à laisser la porte de votre entreprise grande ouverte et espérer que l’assureur vous rembourse après un cambriolage. C’est une attente irréaliste qui mènera inévitablement à une déception financière douloureuse.

Frais de notification d’urgence ou perte d’exploitation cyber : quelles garanties exiger en priorité de votre courtier ?

Face à une cyberattaque, les coûts explosent dans toutes les directions. Il ne s’agit pas seulement de la rançon. Vous devez payer des experts pour analyser l’attaque, des avocats pour gérer les obligations légales, notifier vos clients, et surtout, compenser la perte de chiffre d’affaires pendant que votre activité est à l’arrêt. Une assurance cyber ne se juge pas sur sa capacité à payer la rançon, mais sur sa couverture des frais de gestion de crise et de la perte d’exploitation.

Toutes les garanties ne se valent pas. Exiger de votre courtier une « garantie cyber » est trop vague. Vous devez disséquer le contrat pour vérifier les plafonds et les conditions de chaque sous-garantie. La perte d’exploitation, par exemple, est souvent limitée à une « période d’indemnisation » (ex: 30, 60 ou 90 jours). Si votre reconstruction prend plus de temps, les pertes supplémentaires seront entièrement à votre charge.

Le tableau ci-dessous, inspiré des pratiques du marché, met en lumière les points de vigilance à discuter avec votre courtier. Ce qui est « généralement couvert » cache souvent des exclusions importantes dans les petites lignes du contrat.

Garanties cyber-assurance : ce qui est couvert vs exclu
Type de garantie Généralement couvert Généralement exclu
Réponse à incident Frais d’investigation forensique, assistance technique 24/7, experts CSIRT Attaques pré-existantes avant souscription du contrat
Perte d’exploitation Interruption d’activité due au chiffrement des données, pertes de CA pendant la période d’indemnisation Pertes indirectes non quantifiables, atteinte à la réputation sur le long terme
Frais juridiques Coûts liés aux violations RGPD, notification aux autorités, communication de crise Amendes réglementaires elles-mêmes (CNIL, etc.)
Paiement de rançon Montant de la rançon (si stipulé au contrat), frais de négociation Rançons si l’entreprise n’a pas respecté les pré-requis de sécurité (absence MFA, sauvegardes inadéquates)

Votre priorité absolue doit être la couverture des frais de réponse à incident (experts, avocats) et une garantie de perte d’exploitation avec une période d’indemnisation réaliste par rapport à la complexité de votre système d’information. C’est cette couverture qui vous permettra de survivre à l’attaque, bien plus que le simple remboursement d’une rançon.

Comment prouver l’intrusion informatique sans effacer les preuves numériques réclamées par l’expert assurance ?

En cas d’attaque, votre premier réflexe est de vouloir tout nettoyer, tout redémarrer pour reprendre l’activité au plus vite. C’est une erreur fatale. En agissant ainsi, vous risquez de détruire les preuves numériques volatiles que l’expert de votre assurance exigera pour qualifier l’incident et valider la prise en charge. Sans preuve d’intrusion, il n’y a pas de sinistre cyber aux yeux de l’assureur.

La préservation de la scène de crime numérique est une étape non-négociable. L’expert mandaté par l’assurance devra reconstituer le fil de l’attaque : par où l’attaquant est-il entré ? Quelles actions a-t-il menées ? Quelles données a-t-il exfiltrées ? Ces informations se trouvent dans les journaux (logs), la mémoire vive (RAM) des machines et sur les disques durs. Éteindre un serveur compromet irrémédiablement les données en RAM.

Le seul moyen de concilier l’impératif de préservation et le besoin de remédiation est de faire appel à des professionnels capables de réaliser une copie forensique. Il s’agit d’une image bit à bit du disque, une copie parfaite et inaltérable qui servira de base à l’investigation, vous laissant la possibilité de travailler sur le système original (ou plutôt sur une version restaurée) pour relancer votre activité.

Comme le montre cette image, le processus est technique et requiert un matériel spécifique pour garantir l’intégrité des preuves. Tenter de faire une simple copie de fichiers est insuffisant et peut être contesté par l’assureur. Pour vous guider dans les premiers instants critiques, suivez scrupuleusement la procédure suivante.

Votre plan d’action : préserver les preuves pour l’assurance

  1. Ne pas éteindre les machines compromises : Les données volatiles en mémoire RAM (connexions actives, processus malveillants) sont des preuves cruciales qui disparaissent à l’extinction.
  2. Isoler sans débrancher : Déconnectez physiquement le câble réseau ou désactivez le Wi-Fi pour stopper la propagation, mais laissez les machines sous tension.
  3. Demander une copie forensique : Avant toute restauration, exigez de l’expert (celui de l’assurance ou le vôtre) la création d’une image bit-à-bit du disque. C’est la seule preuve recevable.
  4. Activer la journalisation maximale : Sur les systèmes encore sains, augmentez le niveau de logs pour tracer toute nouvelle tentative d’intrusion ou de propagation.
  5. Documenter la chronologie : Notez précisément l’heure de découverte, les symptômes, les personnes contactées et chaque action entreprise. Ce journal de bord sera votre meilleur allié face à l’expert.

En résumé, face à une attaque, votre mantra doit être : isoler, documenter, et attendre les experts. Toute action précipitée pourrait vous coûter l’intégralité de votre indemnisation.

Pourquoi les failles de sécurité de votre prestataire cloud engagent totalement votre propre responsabilité civile ?

Même si la faute technique incombe au prestataire, c’est bien l’entreprise cliente qui reste légalement responsable vis-à-vis des personnes dont les données ont fuité.

– Principe RGPD du responsable de traitement, Analyse juridique des violations de données

C’est l’un des malentendus les plus répandus et les plus dangereux à l’ère du cloud. De nombreuses PME pensent qu’en confiant leurs données à un grand prestataire de services cloud (AWS, Azure, OVH) ou à un infogéreur, elles transfèrent également la responsabilité en cas de faille de sécurité. C’est entièrement faux. Aux yeux du RGPD, vous restez le responsable de traitement. Votre prestataire n’est qu’un « sous-traitant ».

Qu’est-ce que cela signifie concrètement ? Si votre prestataire subit une attaque qui entraîne la fuite des données de vos clients, c’est votre entreprise qui sera tenue pour responsable par la CNIL et par vos clients. C’est à vous de notifier les autorités, c’est votre réputation qui est en jeu, et c’est sur vous que pèsera l’amende éventuelle.

L’assureur suivra exactement la même logique. Il vérifiera si vous avez fait preuve de diligence dans le choix et la supervision de votre prestataire. Avez-vous un contrat solide qui définit clairement les obligations de sécurité ? Avez-vous audité ses certifications ? Avez-vous correctement configuré les services cloud que vous utilisez (modèle de responsabilité partagée) ? Si la réponse est non, l’assureur pourra arguer que vous avez, une fois de plus, fait preuve de négligence dans la gestion de vos sous-traitants, et refuser sa garantie.

Étude de Cas : La responsabilité finale de l’entreprise

En janvier 2026, la CNIL a infligé une amende cumulée de 42 millions d’euros aux sociétés Free Mobile et Free suite à une violation de données massive. Bien que l’attaque ait été menée par un tiers externe qui s’est infiltré dans leur système, la CNIL a retenu la pleine responsabilité des entreprises pour ne pas avoir mis en place des mesures de sécurité suffisantes. Cet exemple démontre qu’invoquer la faute d’un tiers (pirate ou prestataire) ne vous exonère en rien de votre responsabilité fondamentale en tant que gardien des données.

La seule protection est de bétonner vos contrats de sous-traitance avec des clauses de sécurité précises et des droits d’audit, et de vous assurer que votre propre police d’assurance cyber couvre bien les incidents survenant chez vos prestataires, sans que cela soit une clause d’exclusion.

Dans quel délai strict faut-il prévenir la CNIL et votre assureur après la fuite avérée de votre base de données clients ?

Après la découverte d’une cyberattaque, une course contre la montre s’engage, non seulement sur le plan technique, mais aussi sur le plan administratif. Le non-respect des délais de notification est une faute qui peut avoir une double conséquence désastreuse : une sanction de la CNIL et un refus de prise en charge de votre assureur. En 2024, le nombre de violations notifiées continue d’augmenter, avec 5 629 notifications en 2024, soit une hausse de 20%, ce qui montre une pression croissante sur les entreprises.

Vous êtes soumis à une double contrainte de temps :

  1. Le délai légal du RGPD : Vous avez l’obligation de notifier la CNIL dans les 72 heures au plus tard après avoir pris connaissance de la violation de données à caractère personnel. Ce délai est strict et son non-respect est en soi une infraction passible de sanction.
  2. Le délai contractuel de l’assurance : Lisez attentivement votre contrat. La plupart des polices d’assurance cyber imposent un délai de déclaration de sinistre beaucoup plus court, souvent de 24 à 48 heures. Ce délai prime sur celui de la CNIL pour votre indemnisation.

L’erreur classique est d’attendre d’avoir toutes les informations avant de prévenir. C’est le contraire qu’il faut faire. La notification à la CNIL peut être complétée ultérieurement, et le premier appel à votre assureur a pour but d’activer la cellule de crise. Attendre, c’est prendre le risque que votre assureur vous oppose une déchéance de garantie pour déclaration tardive.

La chronologie des actions doit être gérée avec une précision chirurgicale :

  • Heure H (découverte) : Dès la certitude raisonnable de la violation, le chronomètre des 72h est lancé. Documentez cette heure.
  • H+1 à H+4 : Premier appel à la hotline de votre assureur cyber. C’est l’action la plus importante. Ils activeront les experts qui vous aideront à qualifier l’incident.
  • H+4 à H+24 : Travail avec les experts pour préparer le dossier de notification CNIL.
  • Avant H+72 : Soumission de la notification à la CNIL via leur téléservice, même si elle est incomplète.
  • Respect du délai contractuel (24-48h) : Votre premier appel à l’assureur doit impérativement avoir eu lieu dans ce créneau.

La seule façon de s’en sortir est d’avoir préparé en amont une procédure de réponse à incident qui identifie clairement le numéro de la hotline de l’assurance et le responsable interne chargé d’effectuer ce premier appel crucial, quoi qu’il arrive.

Comment mobiliser l’équipe de réponse à incident (CSIRT) mise à disposition 24/7 par votre cyber-assurance ?

L’un des plus grands avantages d’une bonne assurance cyber n’est pas l’argent, mais l’accès immédiat à une équipe d’experts de haut niveau : le CSIRT (Computer Security Incident Response Team). Ces spécialistes sont vos « pompiers du numérique », capables de contenir l’attaque, d’investiguer et de vous guider dans la tempête. Cependant, savoir que cette équipe existe est une chose, la mobiliser efficacement et rapidement en est une autre. Selon une étude Cohesity, pas moins de 86% des entreprises françaises ont été victimes de ransomware en 2024, un chiffre qui souligne l’importance vitale d’une réponse rapide et professionnelle.

Mobiliser le CSIRT ne se fait pas en appelant votre courtier habituel. Il existe une procédure d’urgence spécifique, et la connaître peut vous faire gagner des heures précieuses, voire des jours. Voici les étapes concrètes à suivre :

  1. Appelez la hotline 24/7 : Votre police d’assurance doit mentionner un numéro de téléphone dédié à la déclaration de sinistre cyber. C’est ce numéro, et uniquement celui-ci, qu’il faut utiliser. Il doit être affiché en grand dans votre salle de crise.
  2. Qualifiez l’incident avec le gestionnaire de crise : Vous n’aurez pas un technicien au bout du fil, mais un gestionnaire de crise. Préparez votre numéro de police, une description factuelle des symptômes (« les serveurs sont chiffrés », « nous recevons une demande de rançon ») et l’heure de découverte.
  3. Laissez le CSIRT prendre la main : Une fois activé par le gestionnaire, le CSIRT vous contactera. Leur première mission est de contenir l’attaque (isoler les machines, bloquer les accès) et de lancer l’investigation.
  4. Clarifiez le périmètre d’intervention : C’est un point crucial. Le CSIRT de l’assurance est là pour l’investigation et l’éradication de la menace. Il n’est généralement pas chargé de la reconstruction de votre infrastructure ou de la remise en production de vos applications métier. Cela reste souvent de votre ressort ou de celui de votre infogéreur.
  5. Validez l’intervention de vos propres prestataires : Si vous souhaitez faire intervenir votre prestataire IT habituel, demandez l’accord de l’assureur. Certains contrats imposent l’usage exclusif de leur panel d’experts pour une prise en charge totale des frais.

Le CSIRT est votre meilleure ressource en cas de crise, mais il ne peut pas tout faire. Comprendre son rôle et ses limites est essentiel pour coordonner efficacement sa propre équipe technique et planifier la phase de reconstruction, qui est souvent le début d’un second marathon.

Pourquoi la garantie cyber-attaque classique ne fonctionne pas du tout si votre comptable a exécuté le virement de son plein gré ?

C’est une nuance juridique qui coûte des millions d’euros aux entreprises chaque année. Vous subissez une « fraude au président » : un escroc se faisant passer pour vous convainc votre comptable d’effectuer un virement urgent et confidentiel. L’argent est perdu. Vous vous tournez vers votre assurance « cyber-attaque ». Refus de l’assureur. Pourquoi ?

Il faut établir une distinction juridique claire entre une ‘intrusion informatique’ (un cambriolage, couvert par la garantie cyber) et une ‘escroquerie par ingénierie sociale’ type fraude au président (se faire duper pour donner ses clés, couvert par une garantie fraude spécifique et optionnelle).

– Principe de distinction des garanties cyber-assurance, Analyse du marché de la cyber-assurance

Votre garantie cyber classique est conçue pour couvrir les dommages résultant d’une intrusion malveillante et non autorisée dans votre système d’information. C’est l’équivalent d’un cambrioleur qui force votre porte. Dans le cas d’une fraude au président, il n’y a pas eu d’intrusion technique. Votre comptable, bien que manipulé, a utilisé les systèmes légitimes de l’entreprise et a autorisé le virement de son plein gré. Il n’a pas été « hacké », il a été « dupé ».

Pour l’assureur, la chaîne de causalité est rompue. Le dommage ne vient pas d’une faille de sécurité informatique, mais d’une faille dans les processus de validation humains. Ce risque relève de l’ingénierie sociale et doit être couvert par une garantie « Fraude » distincte et optionnelle, qui n’est quasiment jamais incluse par défaut dans un contrat cyber de base.

Le cas de l’attaque contre France Travail début 2024 est une bonne illustration de cette zone grise. Les attaquants ont largement utilisé des techniques d’ingénierie sociale pour usurper des comptes de conseillers. Si ces comptes compromis sont ensuite utilisés pour commettre une escroquerie, la question de la couverture devient un véritable casse-tête juridique. Est-ce que l’intrusion initiale (le phishing qui a permis de voler le mot de passe) est le fait générateur, ou l’escroquerie qui en découle ? La réponse dépendra de la rédaction millimétrée de votre contrat.

La seule solution est de vous assurer que votre police inclut explicitement une garantie contre la fraude, y compris celle commise par des moyens électroniques et par ingénierie sociale. Sans cette ligne spécifique dans votre contrat, vous ne serez pas couvert.

À retenir

  • L’absence de MFA (authentification multifacteur) est aujourd’hui une clause d’exclusion quasi-systématique, considérée comme une négligence grave par les assureurs.
  • Une assurance cyber doit être auditée sur ses garanties spécifiques (frais de crise, perte d’exploitation) et non sur la seule promesse de payer la rançon.
  • Le respect des délais de notification (72h pour la CNIL, souvent 24-48h pour l’assureur) est une condition non-négociable pour être indemnisé.

Qui paie les 800 € par jour du consultant IT chargé de nettoyer vos serveurs après l’infection d’un virus ravageur ?

La crise immédiate est passée. L’attaque a été contenue par le CSIRT de l’assurance. Mais vos serveurs sont un champ de ruines numériques. Il faut maintenant nettoyer, reconstruire, restaurer les données et s’assurer que la menace est bien éradiquée. Cette phase, appelée remédiation technique, est longue, complexe et coûteuse. Elle est menée par des consultants en cybersécurité dont les tarifs peuvent être exorbitants. Selon une analyse du marché 2024-2026, le tarif journalier moyen pour des profils seniors en forensique et réponse à incident se situe entre 800€ et 1200€.

La question à un million d’euros est : qui paie cette facture ? La réponse est, comme toujours en matière d’assurance, « ça dépend ». Votre contrat d’assurance cyber prévoit une garantie pour les « frais de remédiation », mais celle-ci est toujours soumise à un plafond de garantie et souvent à des conditions strictes sur le choix du prestataire.

Le tableau ci-dessous détaille la répartition probable des coûts. Il est essentiel de comprendre que même avec la meilleure assurance du monde, une partie significative des frais restera probablement à votre charge, que ce soit via la franchise, le dépassement des plafonds, ou les coûts non couverts par le contrat.

Coûts de remédiation post-cyberattaque : qui paie quoi ?
Type de frais Fourchette de coût Prise en charge assureur À votre charge
Expert forensique (investigation) 800-1200€/jour pendant 5-15 jours Oui (si prestataire du panel ou validé par l’assureur) Franchise contractuelle + surcoût si prestataire hors-panel non validé
Consultant remédiation technique 600-900€/jour pendant 10-30 jours Oui, mais plafonné selon limite de garantie Dépassement du plafond + frais de prestataire non agréé
Reconstruction infrastructure Variable, 15 000-100 000€+ Parfois partiellement selon contrat Souvent majoritairement à votre charge (hors périmètre CSIRT)
Perte d’exploitation Variable selon CA Oui pendant la période d’indemnisation stipulée (ex: 30-90 jours) Pertes au-delà de la période d’indemnisation
Rançon elle-même Moyenne 250 000€ en France (T1 2024) Oui si garantie souscrite ET respect des pré-requis de sécurité Intégralité si non-respect MFA, sauvegardes, etc.

Pour une vision claire de l’engagement financier post-attaque, il est crucial de bien analyser la répartition des coûts de remédiation et les limites de votre contrat.

L’étape suivante, pour tout dirigeant avisé, consiste à auditer son contrat d’assurance cyber non pas pour voir ce qu’il couvre, mais pour comprendre précisément ce qu’il exclut et les plafonds de chaque garantie. C’est dans ces détails que se joue la survie de votre entreprise après une attaque.

Rédigé par Clara Vernet, Clara Vernet est une courtière de pointe spécialisée dans l'assurance des risques cyber et la RC Professionnelle. Diplômée de l'ENASS et titulaire d'une certification en sécurité des systèmes d'information, elle justifie de 12 ans d'expérience en cabinet de courtage. Elle conçoit des programmes d'assurance sur-mesure pour protéger les entreprises contre les ransomwares et les fautes professionnelles.
Taux crédit immobilier société générale comparatif
Comment faire pour un rachat de crédit immobilier ?
Articles récents
Un client chute gravement dans vos locaux : comment la responsabilité civile exploitation protège-t-elle la pérennité de votre entreprise ?
Arnaque au président : comment récupérer les fonds quand votre comptable a été piégé ?
Qui paie les 800 € par jour du consultant IT chargé de nettoyer vos serveurs après l’infection d’un virus ravageur ?
Comment garantir les ordinateurs portables de vos télétravailleurs contre la casse et le vol à leur domicile ou en déplacement ?
Comment réussir le questionnaire technique des assureurs pour obtenir une couverture cyber robuste et abordable ?
Articles similaires
Comment calculer l’indemnité exacte qui sauvera votre entreprise après un arrêt total d’activité ?
Comment vous faire indemniser rapidement après la casse de votre vitrine lors d’une manifestation ?
Crédit relais immobilier simulation : que faut-il prendre en compte ?
Auto-financement immobilier : est-il vraiment possible sans apport ?