« Cyberassurance » : différence entre les versions

La cyberassurance (également appelée assurance cyber ou assurance risques numériques) est un produit d'assurance destiné à protéger les organisations et les particuliers contre les conséquences financières des incidents informatiques, des cyberattaques et des violations de données. En France, ce marché représentait environ 300 millions d'euros de primes en 2023, selon l'Association française de l'assurance (AFA), soit une croissance annuelle supérieure à 20 % depuis 2019. La cyberassurance constitue un outil complémentaire — et non substitutif — aux mesures techniques de cybersécurité, qui demeurent la première ligne de défense contre les risques numériques.

La cyberassurance couvre à la fois les pertes directes subies par l'assuré (frais de remédiation, pertes d'exploitation, paiement de rançon) et les conséquences vis-à-vis des tiers (indemnisation des clients dont les données ont été compromises, frais de défense juridique). Elle se distingue des assurances informatiques traditionnelles, qui couvrent généralement la destruction physique du matériel mais non les dommages immatériels liés aux logiciels malveillants ou aux violations de données.

Le périmètre d'une police de cyberassurance varie selon les assureurs, mais inclut le plus souvent :

• les dommages causés par les rançongiciels ;
• les frais liés à une violation de données à caractère personnel au sens du RGPD ;
• les pertes d'exploitation consécutives à une interruption du système d'information ;
• les frais de notification aux victimes et aux autorités de contrôle (notamment la CNIL) ;
• les coûts d'assistance en gestion de crise (juridique, technique, communication).

Les premières polices d'assurance couvrant spécifiquement les risques informatiques sont apparues aux États-Unis à la fin des années 1990, portées par des assureurs comme AIG et le marché londonien Lloyd's of London. La montée en puissance des virus et vers informatiques dans les années 2000 (Melissa en 1999, ILOVEYOU en 2000), puis l'explosion des violations de données à partir de 2005, ont progressivement constitué un marché autonome.

En Europe, la structuration de ce marché est plus tardive. L'entrée en vigueur du Règlement général sur la protection des données en mai 2018 a constitué un accélérateur majeur, en instaurant des obligations de notification sous 72 heures et des amendes pouvant atteindre 4 % du chiffre d'affaires mondial annuel. L'attaque par le rançongiciel NotPetya en juin 2017 — dont le coût total a été estimé à plus de 10 milliards de dollars par le gouvernement américain — a exposé les limites des polices existantes et stimulé le développement de garanties spécifiques.

En France, l'ANSSI a publié en 2021 un guide de bonnes pratiques recommandant que toute prise en charge de rançon par un assureur soit conditionnée au dépôt préalable d'une plainte auprès des autorités judiciaires, afin de limiter l'incitation aux attaques.

Les cyberattaques représentent la principale source de sinistres en cyberassurance. Parmi les vecteurs les plus fréquents figurent :

• l'hameçonnage (phishing), à l'origine de 80 % des incidents déclarés en France en 2022 selon Cybermalveillance.gouv.fr ;
• les rançongiciels, qui ont paralysé en 2021 des organisations telles que le CHU de Corbeil-Essonnes, entraînant des coûts de remédiation de plusieurs millions d'euros ;
• les attaques par compromission de la messagerie professionnelle (BEC, Business Email Compromise), ciblant les virements bancaires frauduleux.

La cyberassurance couvre également les sinistres non malveillants, notamment les pannes prolongées des systèmes d'information, les suppressions accidentelles de données et les erreurs de configuration exposant des informations confidentielles. Ces cas représentaient environ 15 % des sinistres traités par les assureurs français en 2022, selon la fédération France Assureurs.

Lorsqu'une violation de données affecte des tiers (clients, partenaires, salariés), l'assuré peut être tenu responsable. La cyberassurance prend alors en charge les frais de défense et les indemnisations dues aux tiers, dans les limites prévues par la police, en complément de la responsabilité civile professionnelle classique qui n'inclut pas systématiquement cette dimension numérique.

Les frais de remédiation comprennent l'intervention d'équipes de réponse à incident, la restauration des systèmes à partir de sauvegardes, et l'analyse forensique conduite dans le cadre d'un audit de cybersécurité pour identifier l'origine de l'intrusion. Certaines polices couvrent également les honoraires de conseil en communication de crise et les frais de relations publiques.

La garantie perte d'exploitation indemnise l'assuré pour le chiffre d'affaires non réalisé pendant la période d'interruption du système. La durée de la franchise — délai de carence avant le début de l'indemnisation — est généralement fixée entre 8 et 24 heures dans les contrats français standard. Le plafond de garantie varie de 500 000 euros pour les PME à plusieurs centaines de millions d'euros pour les grands groupes.

Certains contrats prévoient la prise en charge totale ou partielle du paiement d'une rançon, sous conditions strictes : déclaration de sinistre préalable, intervention d'un négociateur spécialisé, et dans certains cas dépôt d'une plainte pénale. L'ANSSI souligne que cette garantie peut inciter les cybercriminels à cibler davantage les entreprises assurées, et plusieurs assureurs ont conditionné son activation à des contraintes procédurales renforcées depuis 2022.

Face aux obligations du RGPD, les polices cyberassurance couvrent souvent les frais de notification aux personnes concernées et à la CNIL, ainsi que les frais d'assistance juridique pour la gestion des réclamations des personnes dont les droits ont été violés. Les amendes administratives ne sont généralement pas assurables en France au titre de l'ordre public.

Selon les données de France Assureurs, les primes de cyberassurance collectées en France sont passées de 133 millions d'euros en 2019 à environ 300 millions d'euros en 2023. La sinistralité a progressé sur la même période, conduisant plusieurs assureurs à augmenter leurs tarifs de 50 à 150 % entre 2021 et 2023 et à réviser leurs conditions de souscription.

À l'échelle mondiale, le marché de la cyberassurance était estimé à 12 milliards de dollars de primes en 2023 par le réassureur Munich Re, avec des projections à 33 milliards de dollars d'ici 2027. Les États-Unis concentraient environ 60 % des primes mondiales.

Les principaux assureurs présents sur le marché français sont AXA XL, Allianz, Hiscox, Tokio Marine HCC, Zurich et Chubb. La distribution s'effectue le plus souvent par l'intermédiaire d'un courtier spécialisé en risques cyber. Le marché londonien Lloyd's of London joue un rôle de réassureur majeur, notamment pour les sinistres catégoriels affectant simultanément un grand nombre d'assurés.

Avant toute souscription, l'assureur soumet à l'entreprise candidate un questionnaire destiné à mesurer sa posture de sécurité. Les critères examinés incluent généralement :

• la présence d'une authentification multifacteur (MFA) sur les accès distants et les messageries professionnelles ;
• l'existence d'un plan de reprise d'activité (PRA) formalisé et testé ;
• la fréquence des sauvegardes et leur isolation physique ou logique du réseau principal ;
• le niveau de segmentation réseau et la présence d'un pare-feu de nouvelle génération ;
• la mise en œuvre d'un SIEM ou d'outils de détection d'intrusion (EDR, NDR).

Les entreprises présentant des lacunes significatives sur ces points se voient proposer des primes majorées, des franchises élevées, voire un refus de souscription.

La tarification en cyberassurance repose sur des modèles développés par des actuaires spécialisés dans les risques numériques. La corrélation des risques constitue le principal défi de la discipline : contrairement aux accidents ou incendies, qui sont statistiquement indépendants, un incident cyber peut toucher simultanément un grand nombre d'assurés, créant un risque systémique difficile à traiter selon les principes classiques de mutualisation des risques. Cette spécificité a conduit plusieurs assureurs à plafonner leur exposition globale aux sinistres cyber et à exiger des niveaux de franchise plus élevés.

La directive NIS2, transposée en droit français en 2024, impose aux entités essentielles et importantes des exigences renforcées en matière de gestion des risques cyber, de notification des incidents et de responsabilité des dirigeants. Elle élargit le périmètre des entreprises concernées de quelques centaines à plusieurs milliers d'entités, renforçant indirectement la demande de couverture assurantielle pour les secteurs nouvellement inclus (gestion des déchets, administrations publiques, secteur agroalimentaire).

Le règlement DORA, applicable depuis janvier 2025, impose aux établissements financiers européens des tests de résilience numérique et une gestion rigoureuse des risques liés aux prestataires tiers de services informatiques. Il crée de nouvelles obligations contractuelles qui se répercutent sur les polices de cyberassurance souscrites par les banques, assureurs et infrastructures de marché.

L'ANSSI définit les bonnes pratiques de sécurité auxquelles les assureurs font référence dans leurs questionnaires de souscription. Depuis 2022, plusieurs contrats du marché français conditionnent formellement certaines garanties au respect des recommandations de l'ANSSI et à la mise en œuvre de mesures préventives vérifiables lors du renouvellement annuel.

Les PME et TPE constituent un segment particulièrement exposé. Selon une enquête du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) publiée en 2023, 60 % des cyberattaques déclarées ciblaient des structures de moins de 250 salariés, mais moins de 20 % d'entre elles disposaient d'une couverture cyberassurance adaptée. Les principaux freins identifiés sont le niveau des primes, la complexité des questionnaires d'éligibilité et la méconnaissance du produit.

Des offres simplifiées ont été développées à destination des TPE et micro-entreprises, avec des plafonds de garantie réduits (de 50 000 à 500 000 euros) et des processus de souscription accélérés. Les professions libérales (avocats, médecins, experts-comptables) accèdent parfois à la couverture cyber via des garanties optionnelles adossées à leur contrat de responsabilité civile professionnelle, en raison de leur exposition aux violations de données à caractère personnel soumises au RGPD.

Les polices cyberassurance comportent des exclusions importantes, dont la plus discutée est la clause d'acte de guerre (act of war). En 2023, le tribunal du New Jersey a donné raison à la société pharmaceutique Merck dans son litige contre l'assureur Ace American Insurance, qui invoquait cette clause pour refuser d'indemniser 1,4 milliard de dollars de dommages causés par NotPetya, attaque attribuée à des acteurs étatiques russes. Cette décision a conduit plusieurs assureurs à rédiger de nouvelles clauses distinguant actes de guerre, cyberopérations étatiques et attaques à motivation criminelle.

La sous-estimation des actifs numériques et de la valeur des données lors de la souscription conduit fréquemment à des situations de sous-assurance. La déclaration d'un sinistre révèle parfois que le plafond de garantie contractuel est insuffisant pour couvrir l'ensemble des coûts réels de l'incident, notamment les pertes d'exploitation sur une durée prolongée ou les frais de notification à grande échelle.

Certains économistes et responsables de la sécurité soulèvent le risque d'aléa moral : une entreprise assurée pourrait être moins incitée à investir dans ses mesures de cybersécurité si elle anticipe une indemnisation en cas d'incident. Pour contrebalancer cet effet, les assureurs conditionnent de plus en plus le renouvellement de la couverture à des audits périodiques et à la mise en place de contrôles techniques vérifiables, parfois conduits par des prestataires indépendants spécialisés dans le test d'intrusion.

La gestion des risques cyber — y compris la négociation, la souscription et le suivi d'une police de cyberassurance — requiert des compétences pluridisciplinaires : analyse de risques informatiques, connaissance du droit des affaires et du droit commercial, maîtrise des fondamentaux de la cybersécurité et gestion de crise. Ces compétences font l'objet de formations certifiantes accessibles aux professionnels en reconversion via le Compte Personnel de Formation (CPF).

Les métiers directement liés à la cyberassurance incluent :

• le souscripteur en risques cyber, chargé d'évaluer les dossiers et de fixer les conditions tarifaires ;
• l'expert en sinistres cyber, qui intervient après un incident pour en évaluer les causes et l'étendue des dommages ;
• le consultant ou ingénieur en cybersécurité, dont l'expertise est sollicitée par les assureurs pour l'évaluation des risques ;
• le juriste spécialisé en droit du numérique, pour la gestion des réclamations et le suivi des obligations réglementaires.

Ces profils sont recrutés par les compagnies d'assurance, les cabinets de courtage spécialisés en risques cyber, les cabinets de conseil en gestion des risques et les directions des systèmes d'information des grandes entreprises et des administrations publiques.