PUP et PUA : ce qui est couvert par l'assurance, et ce qui ne l’est pas

1. En résumé

• ➜ Les PUPs et les PUAs désignent des programmes/applications installés à l’insu ou sans pleine compréhension de l’utilisateur, dans une zone grise entre nuisance et véritable logiciel malveillant.
• ➜ Leur classification ambiguë complique la prise en charge assurantielle, car les contrats cyber couvrent des incidents clairement définis (atteinte aux données, indisponibilité, attaque avérée).
• ➜ Un PUP ou une PUA peut être couvert s’il provoque un sinistre garanti : fuite de données, interruption d’activité ou porte d’entrée vers une attaque plus grave.
• ➜ Il n’est généralement pas couvert lorsqu’il reste une simple nuisance ou lorsqu’il est lié à un manquement aux règles de sécurité imposées par le contrat.
• ➜ Une bonne hygiène numérique (sources fiables, limitation des droits admin, protections de sécurité à jour) permet de limiter fortement les risques liés aux PUP/PUA.

2. Que sont les PUPs et les PUAs et pourquoi la question de la couverture se pose ?

Les « PUP » (Potentially Unwanted Program ou « programmes potentiellement indésirables ») et les « PUA » (Potentially Unwanted Application, ou « applications potentiellement indésirables ») sont des logiciels qui s’installent sur un ordinateur sans que vous les ayez réellement désirés, ou sans que vous ayez compris ce que vous acceptiez.

La nuance est importante : vous n’êtes pas forcément face à un « piratage » classique. Le plus souvent, un PUP/PUA arrive parce qu’il a été embarqué dans l’installation d’un logiciel gratuit, dans une extension de navigateur, ou dans un « pack » proposé par défaut lors d’une installation rapide. Vous cliquez, pensez accepter un programme… et en installez un ou plusieurs autres au passage.

Dans la pratique, ces PUP/PUA couvrent une large famille de nuisances numériques. Vous pouvez rencontrer des adwares qui affichent de la publicité intempestive, des barres d’outils ou des extensions qui modifient votre navigateur, des applications qui ralentissent la machine, ou encore des logiciels qui suivent votre activité de navigation pour collecter des données marketing.

Microsoft classe ces « applications potentiellement indésirables » comme des programmes pouvant dégrader les performances, injecter des publicités ou installer d’autres éléments non souhaités. Dans ce cadre, le terme PUA est souvent utilisé comme catégorie plus large, les PUP en étant une sous-famille centrée sur le mode d’installation et le caractère non désiré.

C’est précisément cette zone grise qui met l’assurance en tension. Un ransomware, un cheval de Troie ou une intrusion externe sont des actes de cybercriminalité clairement identifiés. Un PUP/PUA, lui, peut être perçu comme un logiciel « pas très propre », mais pas forcément malveillant au sens juridique ou technique. Il est parfois présenté comme légitime, parfois toléré par certains systèmes, et surtout il repose sur l’idée qu’il a été installé avec votre accord, même si cet accord est biaisé.

Or les contrats d’assurance cyber sont bâtis sur la qualification de l’événement déclencheur et sur ses conséquences. Ils couvrent des « incidents de sécurité », des « attaques informatiques » ou des « logiciels malveillants » selon des définitions très précises.

• ● Si le PUP/PUA est analysé comme une simple nuisance issue d’un téléchargement imprudent, il peut être écarté du périmètre.
• ● S’il est reconnu comme la cause d’un véritable incident garanti (fuite de données, indisponibilité du système, intrusion secondaire), alors il peut ouvrir droit à indemnisation.

👉 En clair, tout l’enjeu est de savoir si votre assureur considère le PUP/PUA comme une attaque, ou seulement comme un problème d’hygiène numérique.

3. Assurance cyber : ce qui est généralement couvert

Dans la plupart des contrats d’assurance cyber destinés aux professionnels, le cœur de la couverture ne porte pas sur « le type exact de logiciel » qui déclenche le problème, mais sur les conséquences concrètes d’un incident numérique. Autrement dit, l’assurance intervient quand vous subissez un dommage mesurable lié à la sécurité de votre système d’information. Les assureurs décrivent ces sinistres comme des actes de malveillance informatique ou des incidents affectant la disponibilité, l’intégrité ou la confidentialité de vos données et de vos outils de travail.

• ● La première brique, très fréquente, concerne les frais techniques de remédiation. Dès qu’un incident est déclaré, l’assureur peut financer l’intervention d’experts IT ou d’une cellule de crise pour identifier l’origine du problème, le contenir et remettre votre système en état. Cela englobe typiquement le diagnostic, le nettoyage, la sécurisation d’urgence et, si besoin, la reconstruction de votre environnement informatique.
• ● Deuxième bloc fréquent : la restauration ou la reconstitution des données. Si vos fichiers sont perdus, altérés ou rendus inaccessibles, beaucoup de contrats prévoient la prise en charge des opérations nécessaires pour récupérer ce qui peut l’être, restaurer des sauvegardes et remettre votre activité sur pied.
• ● Troisième volet très courant : la gestion d’une violation de données personnelles. Quand l’incident entraîne une fuite ou une exposition de données clients, fournisseurs ou salariés, vous devez respecter des obligations RGPD. Les contrats cyber couvrent alors souvent les frais d’analyse, de notification aux personnes concernées, de communication de crise, et l’accompagnement juridique. Certains incluent aussi votre défense en cas de réclamation de tiers.
• ● Enfin, une partie des offres comprend des garanties financières plus larges. Vous pouvez retrouver la prise en charge des pertes d’exploitation liées à l’interruption d’activité lorsque votre système est indisponible, ainsi que certains frais supplémentaires engagés pour continuer à fonctionner malgré la crise. Sur les contrats les plus complets, il peut aussi y avoir un volet « atteinte à la réputation » ou « e-réputation », qui finance un accompagnement en communication.

👉 La bonne question n’est pas « un PUP est-il couvert en tant que tel ? », mais plutôt « les dommages causés par un PUP entrent-ils dans une garantie cyber de votre contrat ? ». Tant qu’un PUP ne provoque rien de garanti, il reste une nuisance. S’il déclenche une perte de données, une fuite d’informations ou une paralysie d’activité, il peut devenir un sinistre cyber au sens assurantiel.

4. Quand un PUP/PUA peut-il être couvert ?

Un PUP peut être pris en charge par votre assurance cyber si, et seulement si, il déclenche un sinistre entrant dans le champ des garanties prévues au contrat. L’assureur n’indemnise pas « un PUP en tant que tel », mais les dommages assurés qui en découlent. Or ces dommages peuvent être très concrets, même si le programme initial semble « seulement gênant ».

• ● Premier scénario typique : le PUP provoque ou facilite une atteinte aux données. Prenez un cas fréquent, celui d’une extension de navigateur installée en douce qui collecte des identifiants, détourne des sessions ou transmet des informations à un tiers. Si cela conduit à une fuite de données clients, à une utilisation frauduleuse de données personnelles ou à une compromission de fichiers sensibles, vous basculez dans une situation généralement couverte par les garanties « atteinte aux données » et « cyber responsabilité ». Selon la formule souscrite, la prise en charge peut inclure l’expertise informatique, les frais de notification RGPD, l’assistance juridique et la défense en cas de plainte.
• ● Deuxième scénario : le PUP entraîne une indisponibilité ou une dégradation critique de votre système, au point de générer une interruption d’activité. Certains PUP saturent les ressources, modifient des paramètres réseau, installent des proxys ou des composants qui font « tomber » une application métier. Si votre activité est paralysée et que votre contrat contient une garantie « pertes d’exploitation cyber », l’assureur peut indemniser la perte de chiffre d’affaires et les frais supplémentaires pour redémarrer, à condition que le lien de causalité soit reconnu.
• ● Troisième scénario : le PUP sert de porte d’entrée à une attaque plus grave. Un programme potentiellement indésirable installe un composant secondaire, ouvre un accès distant, ou affaiblit la sécurité de votre poste. Ensuite, l’attaque réelle arrive : exfiltration, cheval de Troie, puis parfois ransomware. Dans cette configuration, la couverture joue généralement au titre de l’attaque principale, clairement qualifiée comme malveillante. Le PUP est alors l’élément déclencheur indirect, pas le sinistre en lui-même.

👉 En résumé, un PUP peut être couvert quand il se transforme en incident de sécurité avec conséquences assurées. C’est la matérialité du dommage qui active votre contrat, pas l’étiquette « PUP » collée au logiciel.

5. Quand un PUP/PUA risque-t-il de ne pas être couvert ?

La non-couverture est fréquente si le PUP reste une nuisance « légère », ou s’il est associé à un manquement aux règles de sécurité prévues au contrat.

• ● Premier cas classique : le PUP ne crée pas de dommage garanti. Si vous constatez juste des publicités envahissantes, un navigateur détourné ou un ralentissement sans impact opérationnel ni perte de données, l’assureur peut considérer qu’il s’agit d’une opération de maintenance ou de nettoyage courant, donc hors périmètre. Les contrats cyber sont conçus pour des sinistres, pas pour optimiser un PC qui rame.
• ● Deuxième cas : le PUP est jugé hors définition de l’« incident cyber ». Beaucoup de polices limitent le déclenchement aux attaques malveillantes caractérisées, ou aux logiciels explicitement qualifiés de « malveillants ». Or un PUP, parce qu’il a été installé via un consentement même trompeur, peut être classé comme « programme indésirable » mais pas « malware ». Si la définition contractuelle est étroite, votre assureur peut refuser en considérant que vous n’êtes pas face à une cyberattaque au sens du contrat.
• ● Troisième cas : le non-respect des mesures de sécurité minimales. Les assureurs imposent souvent des prérequis : antivirus actif, mises à jour régulières, sauvegardes, gestion des accès, parfois MFA. Si l’enquête montre que le PUP est arrivé parce qu’un poste n’était pas à jour, qu’un utilisateur avait des droits admin sans raison, ou qu’un logiciel a été téléchargé sur une source douteuse en contournant votre politique interne, l’assureur peut invoquer une exclusion ou une réduction d’indemnité.

6. Quelques conseils de prévention

Les assureurs ne vous demandent pas d’être parfaits en cybersécurité, mais ils attendent une hygiène minimale, et les PUP font partie des risques que vous pouvez largement éviter avec de bonnes habitudes. Ces programmes s’installent rarement par une faille sophistiquée, mais plutôt par un clic trop rapide ou un installateur trompeur.

• ● Premier réflexe simple : téléchargez uniquement depuis des sources officielles ou reconnues. Les plateformes de téléchargement « miroirs », les cracks, ou certains installateurs tiers sont les terrains de jeu préférés des PUP. Si un logiciel est gratuit, ce n’est pas une raison pour accepter n’importe quel bouton « Suivant » sans lire. Prenez l’habitude de choisir un mode d’installation personnalisé pour refuser les logiciels additionnels.
• ● Deuxième mesure qui change tout : réduisez au minimum les droits administrateur sur vos postes de travail. Un PUP installé sur une session standard aura beaucoup plus de mal à modifier votre système, à injecter des extensions ou à installer des composants secondaires. Un poste « admin par défaut » augmente mécaniquement le risque et la gravité d’un incident, et c’est un point souvent regardé lors d’un sinistre.
• ● Troisième axe incontournable : gardez une protection de sécurité active et à jour. Antivirus, EDR quand c’est possible, mises à jour automatiques du système et des navigateurs. Les solutions de sécurité détectent et bloquent une grande partie des PUP, à condition d’être correctement configurées et maintenues. Côté Microsoft Defender, vous pouvez aussi activer la protection contre les « applications potentiellement indésirables » et les réglages navigateur (SmartScreen, blocage PUA) pour limiter l’exposition aux téléchargements à risque.