Assurance cyber et responsabilité du dirigeant
En 2025, une PME française sur deux a subi au moins une cyberattaque selon le baromètre CESIN. Le coût moyen d’une attaque réussie atteint 130 000 euros pour une PME (interruption d’activité, rançon, remédiation, perte de données clients). Or, 67 % des PME ne disposent d’aucune assurance cyber. Plus préoccupant encore : la responsabilité personnelle du dirigeant peut être engagée en cas de négligence dans la protection du système d’information.
Responsabilité du dirigeant : le cadre juridique
Le dirigeant a une obligation de moyens en matière de sécurité informatique. L’article 32 du RGPD impose la mise en œuvre de « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles. La loi de programmation militaire (LPM) renforce ces obligations pour les OIV (Opérateurs d’Importance Vitale). En cas de cyberattaque, si le dirigeant n’a pas pris les précautions raisonnables, sa responsabilité civile et pénale peut être engagée. Les tribunaux apprécient la diligence du dirigeant : a-t-il fait réaliser un audit de cybersécurité ? A-t-il investi dans la protection de son SI ? A-t-il formé ses collaborateurs ?
Qu’est-ce que l’assurance cyber exactement ?
L’assurance cyber (ou assurance des risques informatiques) couvre les conséquences financières d’un incident de sécurité : violation de données, ransomware, déni de service, fraude au président. Les garanties typiques incluent la prise en charge des frais de gestion de crise (experts forensic, communication de crise, notification CNIL), l’indemnisation de la perte d’exploitation, la couverture des frais de restauration des données, le remboursement des rançons (controversé) et la responsabilité civile envers les tiers (clients dont les données ont été compromises).
Combien coûte une assurance cyber pour une PME ?
Les primes varient considérablement selon le secteur d’activité, le chiffre d’affaires, le niveau de sécurité existant et le montant de couverture souhaité. Pour une PME de 10 à 50 salariés avec un CA de 2 à 10 millions d’euros, comptez entre 1 500 et 5 000 euros par an pour une couverture de 500 000 à 2 millions d’euros. Les secteurs sensibles (santé, finance, e-commerce) paient des primes plus élevées. La franchise varie de 1 000 à 10 000 euros selon les contrats.
Les conditions pour être assurable
Les assureurs sont devenus exigeants. Depuis la loi LOPMI de 2023, le dépôt de plainte dans les 72 heures suivant une cyberattaque est obligatoire pour être indemnisé. Au-delà, les assureurs exigent généralement un socle de sécurité minimum : antivirus et EDR déployés sur tous les postes, sauvegardes régulières et testées, authentification multifacteur activée, plan de continuité d’activité documenté, sensibilisation des collaborateurs aux risques cyber. Sans ces éléments, l’assureur peut refuser de vous couvrir ou appliquer des exclusions majeures. La maintenance informatique professionnelle permet de satisfaire ces prérequis.
Que faire en cas de cyberattaque : les premières heures
Les premières heures sont cruciales. Déconnectez les systèmes compromis du réseau (mais ne les éteignez pas pour préserver les preuves). Contactez votre assureur et votre prestataire IT immédiatement. Déposez plainte dans les 72 heures (obligation LOPMI). Notifiez la CNIL si des données personnelles sont compromises. Activez votre plan de continuité d’activité. Ne communiquez pas publiquement avant d’avoir évalué l’ampleur de l’attaque avec les experts forensic.
Choisir son assurance cyber : critères essentiels
Comparez les contrats sur ces critères : montant de la garantie (minimum 500 000 euros pour une PME), franchise (la plus basse possible), couverture de la perte d’exploitation (durée et plafond), prise en charge des frais forensic et juridiques, assistance 24/7 (hotline en cas d’attaque), couverture des rançons (attention aux exclusions), périmètre géographique (important si vous avez des filiales à l’étranger). Les principaux assureurs cyber en France sont Hiscox, AXA, Allianz, Beazley et Stoïk (néo-assureur spécialisé PME).
Odyssix sécurise votre entreprise
Avant de souscrire une assurance cyber, renforcez votre posture de sécurité. Odyssix propose un audit de cybersécurité complet, la mise en conformité de votre SI et un accompagnement pour externaliser votre IT en toute sécurité. Contactez-nous pour évaluer votre niveau de risque.
À découvrir aussi
Questions fréquentes
Certains contrats le prévoient, d'autres l'excluent. Depuis la loi LOPMI de 2023, le remboursement est conditionné au dépôt de plainte dans les 72 heures. En pratique, payer la rançon est déconseillé car il n'y a aucune garantie de récupérer les données et cela finance le cybercrime. La prévention (sauvegardes) reste la meilleure protection.
Non, la RC Pro standard ne couvre généralement pas les incidents cyber. Elle peut couvrir les erreurs professionnelles, mais pas les conséquences d'une violation de données ou d'un ransomware. Une assurance cyber dédiée est nécessaire pour couvrir ces risques spécifiques.
Oui. Si le dirigeant n'a pas mis en place les mesures de sécurité raisonnables (obligation de moyens), sa responsabilité civile peut être engagée par les actionnaires ou les tiers. En cas de négligence grave (absence totale de sauvegarde, mots de passe par défaut), la responsabilité pénale est même envisageable.
Rédigé par l'équipe Odyssix
Experts IT, Cybersécurité & Digital depuis 2018
Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.
Besoin d'en savoir plus ?
Contactez nos experts pour une démonstration personnalisée.
