Une assurance cyber n'est pas un produit standardisé. Selon les assureurs, les garanties varient de 60 % d'écart sur les plafonds, les définitions et les exclusions. Avant de signer, il est essentiel de comprendre ce que paie réellement votre contrat — et ce qu'il refusera de payer.
Les garanties dommages aux systèmes
Cette première famille couvre tout ce qui touche à la remise en état technique : restauration des données depuis sauvegarde ou via décryptage, réinstallation des systèmes d'exploitation et applicatifs, frais de décontamination, location temporaire de matériel de remplacement, intervention de prestataires forensic. Le plafond typique pour une PME se situe entre 250 000 € et 2 M€.
La perte d'exploitation
Si votre activité est interrompue à cause d'un sinistre cyber, l'assureur indemnise la marge brute perdue pendant l'arrêt. Période d'indemnisation typique : 90 à 180 jours. Délai de carence (franchise temporelle) : 8 à 24 heures. Point d'attention : certains contrats ne couvrent que les arrêts liés à un chiffrement de données, pas les ralentissements ou les blocages partiels. Lisez la définition de « sinistre déclencheur ».
La responsabilité civile cyber
Cette garantie indemnise les recours de tiers : clients dont les données ont fuité, partenaires dont le système a été contaminé via le vôtre, autorités de contrôle. Elle inclut généralement les frais de défense (avocats, experts) et les dommages-intérêts versés. Plafond standard PME : 500 000 € à 2 M€. Exclusion fréquente : les amendes administratives type CNIL ne sont pas indemnisables en France.
La gestion de crise et la cyber-extorsion
Cellule de crise 24/7, frais d'avocat RGPD, communication, notification CNIL et clients, négociation avec les attaquants. Sur la cyber-extorsion proprement dite (paiement éventuel de rançon), les pratiques divergent : certains contrats l'incluent, d'autres l'excluent explicitement. La législation française autorise le paiement à condition qu'il ne contrevienne pas aux sanctions internationales et qu'une plainte soit déposée préalablement.
Les exclusions à surveiller
Plusieurs exclusions classiques peuvent vider la garantie de sa substance. Acte de guerre : depuis 2022 et la guerre en Ukraine, les assureurs ont durci leurs clauses. Vérifiez la définition d'« acte de guerre cyber » et l'existence d'un seuil d'attribution étatique. Vétusté : un système non patché depuis > 12 mois peut justifier un refus de garantie. Faute intentionnelle du dirigeant ou d'un préposé. Atteinte à la propriété intellectuelle couverte par d'autres contrats.
Les garanties optionnelles utiles
Plusieurs extensions méritent considération. Fraude au président / faux ordres de virement : à demander explicitement, c'est une garantie distincte du cyber pur. Atteinte à la e-réputation : campagne de diffamation, faux avis. PCI-DSS pour les e-commerçants traitant de la carte bancaire. Garantie sous-traitants : extension de couverture aux sinistres provenant d'un prestataire dont vous dépendez (hébergeur, SaaS).
Lire son contrat avant signature
Trois questions à poser à votre courtier avant de signer. Premièrement : sur un sinistre type (ransomware avec arrêt 14 jours et fuite de 50 000 enregistrements clients), combien le contrat indemnise-t-il poste par poste ? Deuxièmement : quelles sont les conditions préalables (MFA, sauvegardes, formation) sur lesquelles l'assureur peut s'appuyer pour refuser ? Troisièmement : quel est le délai contractuel d'intervention de la cellule de crise et qui sont les prestataires référencés ? Un courtier indépendant comme MonAssureur compare ces éléments sur 5 à 7 contrats avant de recommander.