Par Jean-David Boussemaer, le 24 novembre 2025 - 9 min de lecture
Le phishing, ou hameçonnage, est aujourd’hui l’une des menaces les plus courantes pour les entreprises, toutes tailles confondues. Lorsque cela se produit, une question surgit immédiatement : mon assurance va-t-elle me couvrir ? Et, la réponse n’est jamais automatique !
L’hameçonnage est une manœuvre simple dans sa mécanique, mais redoutable dans ses effets. Un attaquant se fait passer pour un tiers crédible afin de vous pousser à faire vous-mêmes l’action qui lui ouvre la porte : cliquer sur un lien, ouvrir une pièce jointe, saisir un identifiant, ou confirmer un paiement.
Les sites publics de sensibilisation décrivent bien ce principe d’usurpation d’identité visant à voler des données d’accès ou des informations bancaires, le plus souvent via des e-mails imitant des interlocuteurs légitimes. Vous comprenez alors que le phishing n’est pas seulement un « mail frauduleux » : c’est une méthode complète pour vous faire agir contre vos intérêts, en jouant sur l’urgence, la confiance et la routine.
Ce qui rend le phishing piégeux pour l’assurance, c’est sa nature hybride. Selon la suite des événements, vous basculez sur des terrains assurantiels différents.
Dans les deux cas, la racine est la même, l’ingénierie sociale, c’est-à-dire l’exploitation de vos réflexes humains plutôt que la « casse » d’un système. Les analyses sur les sinistres cyber montrent d’ailleurs que le phishing et l’ingénierie sociale font partie des scénarios les plus fréquents, justement parce qu’ils contournent la technique en utilisant la psychologie.
À cause de cette frontière floue, l’assurance devient une question de qualification contractuelle. Le même point de départ, un mail de phishing, peut être traité comme un « cyber-incident » dans une police cyber, comme une « fraude » dans une garantie dédiée, ou comme un événement partiellement exclu si le contrat estime que l’action provenait de vous. C’est la raison pour laquelle deux entreprises victimes d’un scénario quasi identique peuvent se retrouver avec des indemnisations opposées : l’une parce que son contrat inclut l’ingénierie sociale et/ou la fraude par « instructions frauduleuses », l’autre parce que son contrat classe l’événement ailleurs ou l’exclut par principe.
👉 L’ACPR insiste depuis plusieurs années sur ce problème de « garanties implicites » et sur la nécessité, pour les assureurs, de clarifier ce qui relève du cyber dans les contrats, tant l’incertitude crée des surprises au moment du sinistre. Autrement dit, face au phishing, ce n’est pas votre bonne foi qui décide de votre couverture, mais les lignes exactes écrites dans vos garanties.
Votre responsabilité civile professionnelle est, par nature, une assurance de responsabilité. Sa vocation première est de protéger votre activité quand un tiers vous reproche un dommage lié à vos prestations : un client, un fournisseur, un partenaire, parfois un usager. Concrètement, elle indemnise les conséquences financières des préjudices causés à autrui : dommages matériels, immatériels ou corporels, selon les cas. Les guides d’assurance le rappellent clairement : la RC Pro intervient lorsque votre entreprise est mise en cause par un tiers dans le cadre de l’activité professionnelle.
Appliqué au phishing, cela signifie que votre RC Pro peut jouer dans un cas très précis : quand l’hameçonnage déclenche un dommage « chez les autres ». Par exemple, un attaquant récupère un accès via un mail frauduleux, met la main sur des données clients, les divulgue ou les altère, et un client vous réclame réparation. Dans ce type de scénario, la RC Pro peut intervenir, surtout si votre contrat prévoit une extension cyber ou une garantie relative aux données et à la confidentialité.
La plupart des phishing ne se limitent pas à une « réclamation client ». Ils vous touchent d’abord de l’intérieur : temps passé à gérer l’incident, arrêt d’activité, prestataires informatiques, restauration d’accès, désorganisation, voire stress opérationnel important. Et sur ces pertes-là, la RC Pro « standard » ne répond pas. Pourquoi ? Parce qu’elle n’a pas pour objet d’indemniser vos propres dommages. Elle est structurée pour régler ce que vous devez aux autres, pas ce que l’attaque vous coûte à vous. C’est une limite classique des contrats de responsabilité, et c’est précisément ce que soulignent les assureurs quand ils différencient RC Pro et cyber : sans police dédiée, les dommages subis par l’entreprise elle-même restent de facto exclus ou très peu couverts.
C’est là que naît une confusion fréquente chez les entrepreneurs. Vous avez l’impression d’être « assurés contre les risques pro », donc vous imaginez que tout sinistre lié au travail est pris en charge. Or la RC Pro ne fonctionne pas comme une assurance « tous accidents ». Elle n’intervient que si votre responsabilité est engagée envers un tiers, et selon les critères de votre contrat. Si l’incident reste interne, ou s’il n’y a pas de mise en cause extérieure, elle peut rester totalement muette.
👉 Face au phishing, votre RC Pro est une protection utile… mais partielle. Elle vous aide surtout si l’attaque rejaillit sur vos clients. Pour tout le reste - vos pertes, vos frais, votre continuité d’activité - il faut une couverture cyber ou fraude complémentaire. C’est ce décalage entre « ce que l’on pense être couvert » et « ce que le contrat couvre vraiment » qui explique pourquoi tant d’entreprises découvrent la limite après coup.
Une assurance cyber est conçue pour vous protéger quand votre activité numérique est attaquée. Là où une RC Pro intervient surtout si un tiers vous met en cause, la cyber-assurance vise d’abord les dommages que vous subissez vous-mêmes. Les assureurs la présentent comme une couverture des opérations et transactions numériques de l’entreprise, face aux attaques comme le phishing, les ransomwares ou les intrusions.
Dans un scénario de phishing, c’est typiquement cette assurance qui peut prendre le relais dès que l’attaque débouche sur un incident technique. Si un faux mail vous vole un identifiant, permet à un pirate d’entrer dans votre messagerie ou votre cloud, puis entraîne une fuite de données, une paralysie partielle de vos outils ou la nécessité de refaire vos accès, la police cyber peut financer les étapes clés de la remédiation. Elle couvre généralement les frais d’investigation (analyse de l’attaque), de remise en état du système informatique, de reconstitution ou restauration des données, et l’accompagnement juridique en cas d’atteinte à la confidentialité. Certaines formules incluent aussi un volet « gestion de crise », indispensable pour piloter la communication, les notifications clients et la conformité RGPD.
Un autre point majeur, souvent mal compris, est la perte d’exploitation. Quand un phishing bloque un outil essentiel, vous pouvez perdre du chiffre d’affaires ou devoir engager des frais supplémentaires pour continuer à fonctionner. De nombreuses assurances cyber prévoient précisément cette indemnisation, parfois sous forme de garantie principale, parfois en option. Autrement dit, si votre activité ralentit ou s’arrête le temps de sécuriser vos comptes et de remettre vos systèmes en état, l’assurance cyber peut compenser une partie du manque à gagner et des dépenses exceptionnelles.
Mais - et c’est là que vous devez être vigilants - tout dépend du périmètre exact du contrat. Le phishing repose très souvent sur l’ingénierie sociale : l’attaquant ne « casse » pas une protection, il vous manipule pour que vous fassiez l’action à sa place. Les campagnes de sensibilisation officielles rappellent que cette fraude joue sur la psychologie, l’urgence et la confiance pour vous amener à divulguer une information ou valider une opération. Or certains contrats cyber couvrent très bien l’intrusion technique qui suit le phishing, mais deviennent beaucoup plus restrictifs si le sinistre repose principalement sur une erreur humaine (par exemple : un mot de passe donné volontairement sur une fausse page). D’autres intègrent explicitement une garantie « ingénierie sociale » ou « fraude par manipulation », parfois avec des sous-limites spécifiques.
👉 Vous devez vérifier ce point noir sur blanc dans vos conditions particulières. Dans la cyber-assurance, ce n’est pas le mot « phishing » sur une plaquette commerciale qui compte, mais les garanties exactes : ingénierie sociale incluse ou non, plafonds dédiés, franchises, et exclusions liées à vos mesures de sécurité minimales. Si ce cadrage est clair, l’assurance cyber reste aujourd’hui la protection la plus cohérente pour absorber les impacts techniques et opérationnels d’un phishing.
C’est le scénario qui vous inquiète le plus, et pour cause : il touche directement votre trésorerie. Vous recevez un mail d’un fournisseur qui annonce un « changement de RIB », une demande de paiement urgente qui semble venir d’un client important, ou un message au ton pressant censé être envoyé par votre dirigeant. Cette dernière variante est connue sous le nom de « fraude au président » ou « faux ordre de virement ». Les juristes la décrivent comme une escroquerie où l’attaquant usurpe l’identité d’un dirigeant pour manipuler un salarié et obtenir un transfert d’argent.
Dans cette situation, il faut comprendre que vous n’êtes plus seulement face à un incident cyber. Bien sûr, l’attaque est déclenchée par un mail frauduleux ou une compromission de messagerie, mais le dommage final est une perte financière due à une décision de paiement prise par l’entreprise. Or l’assurance ne traite pas toujours ce type de sinistre comme une cyberattaque « technique ». Elle le classe souvent dans la catégorie « fraude financière », avec ses propres garanties et exclusions.
C’est là que tout se joue : l’indemnisation n’est possible que si votre contrat prévoit une garantie spécifique contre ces manipulations. Elle peut porter différents noms selon les assureurs : « garantie fraude », « instructions frauduleuses », « fraude au faux fournisseur », ou « ingénierie sociale ». Certains contrats RC Pro sectoriels l’intègrent d’office, d’autres proposent cette protection en option dans les polices cyber ou dans des contrats dédiés à la fraude.
Sans cette garantie, le risque de refus est très élevé. Les assureurs (et souvent les banques) peuvent considérer que le virement a été « autorisé » par votre entreprise, puisque l’ordre est bien parti de vos équipes, même si vous avez été trompés. La Cour de cassation rappelle d’ailleurs que, dans une fraude au président, les virements sont juridiquement traités comme autorisés du point de vue bancaire, ce qui complique les recours et explique pourquoi la couverture doit être prévue contractuellement.
Autrement dit, sur ce type de phishing, votre protection dépend moins du mot « cyber » affiché sur votre contrat que de la présence explicite d’une garantie fraude adaptée. C’est une nuance décisive : c’est elle qui peut transformer un choc de trésorerie en sinistre pris en charge, au lieu d’une perte sèche.
Vous pouvez avoir l’impression d’être bien couverts en lisant le titre de votre contrat ou la plaquette commerciale, et pourtant vous retrouver sans indemnisation au moment où le sinistre arrive. En cyberassurance, les exclusions sont souvent aussi importantes que les garanties, parce qu’elles définissent les situations où l’assureur considère que le risque n’est plus assurable… ou qu’il ne lui revient pas. Plusieurs analyses récentes rappellent que les exclusions varient d’un contrat à l’autre, mais reviennent presque toujours autour des mêmes logiques.
Si vous voulez savoir où vous en êtes face au phishing, vous devez commencer par une idée simple : l’attestation RC Pro ne suffit pas. Une attestation prouve que vous êtes assurés en responsabilité civile professionnelle, point. Elle ne détaille pas les garanties cyber, les options fraude, ni les exclusions. Les sources pédagogiques sur la RC Pro rappellent d’ailleurs que l’attestation est un document « de preuve », pas un résumé contractuel : elle sert surtout à rassurer un client sur votre RC Pro, pas à décrire vos protections contre les cyber-risques.
Pour vérifier votre niveau réel de protection, vous devez aller à la source : vos conditions particulières et vos conditions générales. Ce sont elles qui font foi en cas de sinistre. C’est là que vous verrez noir sur blanc ce qui est couvert, ce qui est plafonné, et ce qui est exclu.
Dans ces documents, cherchez d’abord les bons mots-clés. Il ne s’agit pas d’une lecture « littéraire », mais d’un contrôle très concret. Vous devez repérer si votre contrat mentionne clairement :
Ces intitulés ne sont pas interchangeables. Par exemple, un contrat peut couvrir l’intrusion technique issue d’un phishing, mais exclure la perte d’argent liée à un faux ordre de virement si la garantie fraude n’est pas expressément prévue.
Ensuite, vérifiez les montants. Dans beaucoup de contrats, vous pouvez trouver une garantie existante mais assortie d’une sous-limite très basse ou d’une franchise élevée. Résultat : sur un incident sérieux, vous êtes techniquement couverts… mais l’indemnisation réelle peut être marginale. Donc regardez bien les plafonds par sinistre, les sous-plafonds spécifiques « phishing/ingénierie sociale », et les franchises associées.
👉 Si vous ne retrouvez pas ces mentions, ce n’est pas anodin et vous devez partir d’un principe prudent : en cas d’attaque, la couverture est incertaine. Et c’est précisément cette incertitude qu’il faut lever avant le sinistre, pas après.
Même si vous avez un contrat solide, votre indemnisation dépend aussi de votre réactivité. Les dispositifs publics et les assureurs cyber partent tous du même principe : après un phishing, le temps joue contre vous. Les fiches réflexes nationales insistent sur l’idée de ne « pas perdre un instant » et de déclencher immédiatement les bons gestes.
La première urgence consiste à sécuriser ce qui a pu être compromis. Dès que vous suspectez un hameçonnage réussi, vous devez changer les identifiants concernés, couper les accès douteux, et vérifier si un compte clé (messagerie, cloud, banque en ligne, outils métiers) n’a pas été pris en main. Les recommandations de l’ANSSI et de Cybermalveillance expliquent clairement que la rotation immédiate des mots de passe et la reprise de contrôle des comptes est le tout premier réflexe. À ce stade, l’objectif est simple : stopper l’hémorragie avant qu’elle ne s’étende à d’autres comptes ou à vos interlocuteurs.
Ensuite, vous devez conserver des traces. Gardez le mail ou le SMS frauduleux, notez les heures, les actions réalisées, les adresses utilisées, et faites des captures si besoin. Ce n’est pas de la bureaucratie : ce dossier vous servira à la fois pour l’assureur, pour votre prestataire informatique, et pour les autorités. Les services publics de lutte contre la cybermalveillance rappellent que la préservation des preuves est cruciale pour qualifier l’incident et engager les démarches de signalement ou de plainte.
En parallèle, vous devez déclarer l’incident rapidement à votre assureur et suivre sa procédure. La plupart des polices cyber vous demandent de passer par leur hotline dédiée avant d’engager certains frais, parce qu’elles prévoient souvent des prestataires agréés pour l’investigation et la remédiation. Ce point est important : si vous lancez des dépenses lourdes sans les valider, vous pouvez vous exposer à un remboursement partiel. Et juridiquement, le droit des assurances encadre désormais un délai très court de déclaration pour les sinistres cyber, fixé à 72 heures, sauf cas de force majeure. Cela ne veut pas dire que tout doit être « réglé » en 72 heures, mais que l’alerte assureur doit partir vite.
Enfin, vous devez activer les canaux officiels de signalement et d’assistance. Aujourd’hui, vous n’êtes pas obligés de naviguer seuls : l’État a mis en place un guichet unique, 17Cyber.gouv.fr, qui vous oriente immédiatement selon le type d’attaque, y compris en cas de phishing, et vous guidera vers les bons services comme Pharos pour le signalement ou le dépôt de plainte. Cette étape est utile pour votre sécurité, mais aussi pour votre dossier d’assurance : elle montre que vous avez agi sérieusement et sans délai.
👉 Si vous tardez, vous vous fragilisez sur deux plans. Sur le plan technique, vous laissez le fraudeur continuer à exploiter des accès ou à préparer une seconde vague. Sur le plan assurantiel, vous rendez plus facile l’argument selon lequel une partie du dommage aurait pu être évitée, ou que des coûts ont été engagés hors cadre contractuel. C’est pour ça qu’après un phishing, la meilleure stratégie est toujours la même : agir tout de suite, documenter, déclarer, puis vous faire accompagner dans l’ordre prévu par votre contrat.
Et bénéficiez de conseils d’experts, d’une plateforme de gestion sécurisée, des tarifs prénégociés et sans frais de dossier, sans honoraires et sans frais de conseils.
Souscrivez votre assurance professionnelle en ligneDans la même catégorie
Suis-je couvert par mon assurance en cas de piratage informatique ?
Un mail de phishing, un rançongiciel qui bloque vos fichiers, une fuite de données clients… En 2025, le piratage informatique n’est plus un risque réservé aux grandes entreprises. Les TPE, indépendants et PME sont devenus des cibles privilégiées, car leurs moyens de défense sont souvent plus limités. La vraie question, quand l’incident arrive, est simple : « mon assurance pro va-t-elle m’indemniser ? »
PUP et PUA : ce qui est couvert par l'assurance, et ce qui ne l’est pas
Un logiciel s’installe « presque tout seul », votre navigateur change de page d’accueil, des pubs surgissent partout, votre ordinateur ralentit… et vous vous demandez si vous venez de vous faire pirater. Dans beaucoup de cas, la cause n’est pas un virus spectaculaire, mais un PUP, pour « Potentially Unwanted Program », autrement dit un programme potentiellement indésirable.
Suis-je couvert par mon assurance en cas d’attaque DDoS ?
Les attaques DDoS figurent parmi les menaces les plus fréquentes auxquelles sont exposés les sites web, les serveurs et les services en ligne. Pour un entrepreneur, un e-commerce ou un professionnel du digital, la question se pose logiquement : suis-je protégé si mon activité est touchée ? La réponse dépend de votre contrat d’assurance et du type de garanties que vous avez souscrites.
