Une PME moderne dépend de 5 à 30 prestataires informatiques : hébergeur, infogérant, ERP cloud, CRM, comptabilité, paie, e-mail, sauvegarde, etc. Chacun est un point d'exposition. Quand l'un d'eux est attaqué, votre activité s'arrête sans que vous y soyez pour rien. Comment articuler responsabilités et assurances.
La règle juridique de base
Vis-à-vis de vos clients et des autorités, vous restez responsable du traitement de leurs données et de la continuité de votre service, même quand vous sous-traitez. C'est le principe de la responsabilité du donneur d'ordre. Vous pouvez vous retourner ensuite contre le sous-traitant si le contrat le prévoit, mais c'est vous qui payez en première intention.
Le DPA — clé de voûte
Le Data Processing Agreement (article 28 RGPD) encadre la relation. Doivent y figurer : niveau de sécurité technique et organisationnel, durée de conservation, lieu de stockage, sous-traitants ultérieurs autorisés ou non, obligation de notification rapide en cas d'incident, droits d'audit, modalités de fin de contrat (restitution / destruction). Un DPA bien rédigé est votre meilleur recours en cas de sinistre.
Les clauses contractuelles cyber utiles
Au-delà du DPA RGPD, les contrats prestataires devraient inclure : RTO/RPO contractuelsavec pénalités, obligation d'assurance cyber du sous-traitant avec montant minimum (500 K€ à 2 M€ selon criticité), indemnisation en cas de sinistre(souvent plafonnée à un multiple du forfait, à négocier), notification sous 24hde tout incident significatif, droit d'audit ou attestations type SOC2 / ISO 27001.
Couverture cyber étendue aux sous-traitants
Bonne nouvelle : les contrats cyber 2026 incluent généralement une extension « supply chain » qui couvre les sinistres résultant d'une compromission de prestataire. Plafond typique : 250 000 € à 1 M€. Conditions : prestataire identifié dans la déclaration, DPA contractuel en place, notification dans les délais. Sans cette extension, le sinistre prestataire peut tomber dans une zone grise non couverte.
Cartographier ses prestataires critiques
Exercice à faire annuellement. Listez tous vos prestataires informatiques avec : criticité (impact si arrêt 24h, 1 semaine, 1 mois), volume de données traitées, présence d'un DPA à jour, attestation d'assurance cyber. Classez en trois groupes : critiques (arrêt = business stop), importants (arrêt = dégradation forte), secondaires (arrêt = inconfort). Concentrer les exigences contractuelles sur les critiques.
Cas pratique — l'infogérant compromis
PME industrielle, infogérant compromis via la suite RMM. Ransomware déployé chez 14 clients de l'infogérant simultanément. La PME perd 12 jours d'activité, 180 000 € de marge. L'infogérant a une RC pro plafonnée à 100 000 €, déjà saturée par les autres clients. Recours difficile, indemnisation partielle. Avec extension supply chain dans son contrat cyber, la PME a été indemnisée à 95 % par son propre assureur, qui a ensuite exercé son recours subrogatoire contre l'infogérant. Différence : sans extension, la PME aurait perdu plus de 100 000 €.
Recommandations pour 2026
Trois actions prioritaires. 1. Audit DPA de tous vos prestataires critiques : 60 à 70 % des PME ont des DPA obsolètes ou inexistants. 2. Vérification des attestations d'assurance cyber de vos sous-traitants critiques au minimum une fois par an. 3. Souscription d'une extension supply chain dans votre propre contrat cyber. Coût additionnel : 8 à 15 % de la prime de base. Couverture additionnelle : 250 K€ à 1 M€. Ratio coût-bénéfice imbattable.