Tribune intégrale de Guillaume Aksil, avocat spécialiste en droit des assurances du Cabinet Lincoln Avocats Conseil.
En 2023, la France a enregistré 278 770 atteintes numériques, soit une augmentation de 9 % par rapport à 2022 et de 40 % sur les cinq dernières années. Les attaques par rançongiciel ont connu une hausse de 28 % en 2023, atteignant un niveau record depuis quatre ans. Les PME et les ETI restent les cibles privilégiées, représentant 37 % des victimes de rançongiciels en 2024, contre 34 % l’année précédente.
Pourtant, l’assurance cyber demeure le parent pauvre de la gestion du risque en entreprise. Trop technique, trop floue, trop mal comprise. Résultat : une grande majorité de PME et d’ETI en France restent dangereusement exposées, sans couverture réellement opérationnelle. Pire, elles s’en rendent compte… une fois le sinistre survenu.
Une gestion de crise sous-estimée
Une attaque informatique, ce n’est pas seulement un serveur à redémarrer. C’est une désorganisation complète : données inaccessibles, production à l’arrêt, partenaires inquiets, réputation abîmée, CNIL à informer. Et pourtant, combien d’entreprises n’ont ni plan de gestion de crise numérique, ni assurance couvrant ces dommages ?
Les contrats existants sont souvent mal adaptés, inintelligibles pour les non-initiés, et rédigés dans un jargon assurantiel qui éloigne les décideurs du sujet. Conséquence : le jour où l’incident survient, les garanties se révèlent insuffisantes, les exclusions pleuvent, et le chef d’entreprise se retrouve seul face à la tempête.
Responsabilité : une ligne de crête juridique
La responsabilité en matière de cyberattaque est un champ miné. En cas de faille exploitée, le donneur d’ordre peut être tenu pour responsable aux côtés de son prestataire. L’imputabilité est souvent complexe à établir, mais cela n’empêche pas les victimes ou les régulateurs de se retourner contre l’entreprise. Et les garanties RC des contrats d’assurance classiques ne couvrent pas toujours ce type de dommage.
Certaines clauses d’exclusion évoquent même les actes « étatiques » ou les cyber-guerres, concepts flous qui permettent parfois aux assureurs de se désengager.
Un marché à structurer d’urgence
Le marché de l’assurance cyber reste jeune et inégal. D’une compagnie à l’autre, les périmètres de couverture changent du tout au tout : rançongiciel, pertes d’exploitation, frais de reconstitution des données, accompagnement juridique… rien n’est standardisé.
Face à cette jungle contractuelle, les entreprises doivent être accompagnées. Il est urgent que les acteurs de la place – assureurs, avocats, courtiers, régulateurs – s’accordent sur des garanties minimales, lisibles et utiles, en phase avec la réalité opérationnelle des risques cyber.
Un enjeu de souveraineté économique
Ce sujet n’est pas technique. Il est politique. Une entreprise fragilisée par une cyberattaque peut basculer en quelques heures. Ce sont des emplois, des secrets industriels, des flux financiers entiers qui peuvent disparaître. Ne pas anticiper, c’est exposer notre tissu économique à une déstabilisation silencieuse mais massive.
L’assurance cyber doit devenir un pilier de la stratégie de résilience des entreprises. Elle n’est plus accessoire : elle est vitale. Et nous avons, collectivement, la responsabilité d’en faire un outil efficace, compréhensible et mobilisable. Sans cela, nous continuerons de subir. Et de payer.
