Suis-je couvert si je suis victime d'un rançongiciel ?

1. En résumé

• ➜ Une RC Pro classique ne couvre pas les dommages internes d’un rançongiciel (remise en état, données, systèmes, perte d’exploitation), car elle n’indemnise que les préjudices causés à des tiers.
• ➜ Seule une assurance cyber prend en charge l’assistance d’urgence, les frais techniques, la perte d’exploitation, l’accompagnement juridique et la gestion d’image liés à une attaque.
• ➜ Le remboursement d’une rançon n’est jamais garanti : il dépend du contrat, est très encadré, et nécessite un dépôt de plainte préalable ; les autorités recommandent de ne pas payer.
• ➜ Depuis 2023, la plainte sous 72 heures est obligatoire pour être indemnisé dans un contrat cyber, faute de quoi l’assureur peut refuser toute prise en charge.
• ➜ Pour savoir si l’on est protégé, il faut vérifier explicitement la présence de garanties cyber (dommages internes, perte d’exploitation, gestion de crise) et suivre une procédure stricte en cas d’attaque : contenir, expertiser, déclarer, porter plainte, reconstruire.

2. Pourquoi une RC Pro « classique » ne suffit presque jamais ?

La RC Pro est une assurance de responsabilité, pas une assurance de dommages. Dit autrement, elle sert à protéger votre entreprise quand un tiers (client, partenaire, fournisseur, visiteur) vous reproche un préjudice lié à votre activité. Elle intervient si votre responsabilité est engagée à cause d’une faute, d’une erreur, d’une omission ou d’une négligence professionnelle, et elle indemnise alors le tiers pour les dégâts qu’il a subis. C’est le cœur même de la RC Pro : couvrir les conséquences financières des dommages causés aux autres.

Dans 95 % des cas, l’attaque frappe d’abord votre propre entreprise : vos serveurs ou postes de travail sont chiffrés, vos logiciels deviennent inutilisables, vos données sont inaccessibles, parfois détruites. Les coûts immédiats sont internes. Vous avez besoin d’experts pour identifier l’origine de l’attaque, isoler le système infecté, restaurer l’environnement, reconstituer vos données, remettre le SI en route. Vous pouvez aussi devoir payer des frais de communication, de gestion de crise, ou de conseil juridique. Tout cela correspond à des dommages que vous subissez vous-même, et non à des dommages que vous causez à un tiers. La RC Pro n’a pas vocation à indemniser ce type de pertes propres.

Le deuxième choc, souvent le plus violent, c’est l’arrêt d’activité. Quand votre système est bloqué, vous ne facturez plus, vous n’accédez plus à vos dossiers, vous ne pouvez plus livrer ou produire, vos équipes sont à l’arrêt, et la trésorerie se dégrade vite. Cette perte de chiffre d’affaires est une perte d’exploitation. Là encore, une RC Pro standard ne compense pas une baisse de revenus liée à un sinistre informatique. Les garanties de perte d’exploitation existent, mais elles sont soit dans des contrats spécifiques (perte d’exploitation classique après incendie, dégât des eaux…), soit dans les assurances cyber. Elles ne sont pas incluses par défaut dans la RC Pro.

La RC Pro exclut ou limite les événements non déclarés ou qui ne relèvent pas clairement de la responsabilité professionnelle. Même si l’attaque a des conséquences sur vos clients, la RC Pro ne jouera que dans un scénario bien précis : celui où un tiers vous réclame une indemnisation parce qu’il estime que votre faute a causé son propre dommage. Par exemple, si vous êtes prestataire informatique et qu’un rançongiciel parti de votre système a contaminé un client, ou si vous êtes tenu à une obligation de sécurité et que votre manquement a facilité une fuite de données. Dans ce cas, la RC Pro peut intervenir sur le préjudice du client, puisque c’est un dommage « externe ».

La RC Pro ne couvre pas ce que vous subissez vous-même. Elle peut indemniser le client pour sa perte, tout en vous laissant gérer seul vos propres frais de remise en état et votre perte de chiffre d’affaires. C’est une nuance que beaucoup de professionnels découvrent trop tard : « je suis couvert en RC Pro » ne veut pas dire « je suis couvert contre une cyberattaque ». La RC Pro protège votre responsabilité vis-à-vis des autres, pas votre entreprise contre ses propres dommages.

3. La vraie protection : l’assurance cyber (ou l’option cyber)

Quand un rançongiciel frappe, vous ne faites pas face à un simple « bug ». Vous vivez une crise complète, à la fois technique, financière, juridique et réputationnelle. C’est précisément pour cela qu’une assurance cyber n’est pas une RC Pro « avec un supplément informatique », mais un contrat pensé pour ce scénario de bout en bout. Son objectif est simple : vous aider à reprendre l’activité vite, tout en absorbant les coûts qui, sinon, pèsent sur votre trésorerie.

La première brique d’une assurance cyber, c’est l’assistance immédiate. Dans la plupart des contrats, vous avez accès à une cellule de crise dès la découverte de l’attaque, souvent via une hotline 24/7, avec des experts techniques et des spécialistes de la remédiation. L’idée est d’éviter les erreurs de panique et de mettre en œuvre les bons réflexes : isoler les machines touchées, sécuriser le réseau, évaluer l’ampleur du chiffrement, préparer la restauration.

Vient ensuite la prise en charge des frais techniques. Un rançongiciel entraîne presque toujours des dépenses lourdes : audit forensique pour comprendre l’entrée de l’attaquant, nettoyage des systèmes, suppression des logiciels malveillants, réinstallation et reconfiguration des postes et serveurs, reconstitution ou récupération des données quand c’est possible.

Le troisième pilier, c’est la perte d’exploitation. C’est souvent le coût le plus grand, et pourtant le moins anticipé. Chaque jour d’arrêt peut signifier des ventes perdues, une production stoppée, des livraisons impossibles, des clients qui décrochent. Beaucoup de polices cyber prévoient une indemnisation de la baisse de revenus ainsi que le remboursement des frais supplémentaires engagés pour maintenir un minimum d’activité ou accélérer la reprise.

La dimension juridique et réglementaire est l’autre grande différence avec les assurances traditionnelles. Si un rançongiciel s’accompagne d’une fuite de données, vous pouvez avoir des obligations RGPD : notifications aux personnes concernées, déclaration à la CNIL, accompagnement dans la gestion des risques de recours. Une assurance cyber intègre en général une assistance juridique spécialisée, et peut prendre en charge les frais liés à ces démarches, en plus de votre défense si votre responsabilité est recherchée.

N’oubliez pas non plus l’enjeu d’image. Une attaque peut se savoir vite, surtout si vos clients sont impactés. Les contrats cyber incluent souvent des frais de communication de crise et de relations publiques pour protéger votre réputation et rassurer votre écosystème.

Enfin, beaucoup d’offres cyber proposent désormais un accompagnement en amont. Formations, sensibilisation des équipes, évaluations de vulnérabilité, recommandations d’hygiène informatique : ces services de prévention ne remplacent pas la sécurité interne, mais ils réduisent fortement la probabilité d’un sinistre, et ils améliorent vos conditions d’indemnisation le jour où ça arrive.

👉 L’assurance cyber ne sert pas seulement à « rembourser après coup ». Elle vous fait gagner du temps au moment où chaque heure compte, elle finance la remise en route, elle stabilise votre trésorerie pendant l’arrêt, et elle vous encadre juridiquement. C’est ce trio assistance, frais techniques, perte d’exploitation qui transforme une attaque potentiellement fatale en incident gérable.

4. Le point délicat : la rançon est-elle remboursée ?

C’est la question la plus sensible parce qu’elle se situe au croisement du droit, de la stratégie de crise et de l’éthique. En France, il n’existe pas aujourd’hui d’interdiction générale qui empêcherait un assureur de couvrir le remboursement d’une rançon dans un contrat cyber. La Banque de France l’a rappelé dans un rapport dédié à l’assurabilité du risque cyber : le remboursement de rançons peut légalement être prévu par une police d’assurance.

Mais « légal » ne veut pas dire « automatique ». La loi LOPMI de janvier 2023 a surtout posé un cadre plus strict : elle ne dit pas que la rançon doit être couverte, elle dit que si elle l’est, l’indemnisation est conditionnée à un dépôt de plainte rapide. Autrement dit, la LOPMI a sécurisé l’assurabilité possible des rançons tout en imposant une contrepartie de signalement systématique aux autorités. C’est un point largement commenté par les juristes et les acteurs assurance.

Concrètement, cela signifie deux choses pour vos lecteurs. :

• ● Premièrement, tous les contrats cyber ne couvrent pas la rançon. Certains l’excluent totalement, d’autres la limitent avec un plafond spécifique ou une franchise élevée, et d’autres encore ne l’envisagent que pour certains scénarios clairement décrits. Il faut donc aller chercher la clause exacte, et non se fier à une promesse générale de « couverture rançongiciel ».
• ● Deuxièmement, même lorsqu’une prise en charge est prévue, elle est fortement encadrée. Les assureurs exigent presque toujours que la gestion de crise soit pilotée par leurs experts (ou par un prestataire agréé) afin d’éviter des décisions prises dans l’urgence qui aggraveraient le sinistre. La logique est simple : l’assureur veut s’assurer que toutes les options de restauration, de négociation ou de contournement ont été évaluées de manière professionnelle avant d’envisager un paiement.

À cela s’ajoute la position très ferme des autorités françaises. L’ANSSI, le ministère de la Justice et les forces de l’ordre rappellent de façon constante que payer une rançon alimente l’économie criminelle, n’offre aucune garantie de récupération complète des données et augmente le risque de récidive. Leur doctrine est donc de ne pas payer, et de privilégier la remise en état avec assistance technique et judiciaire.

On comprend alors pourquoi ce sujet doit être traité sans ambiguïté : la rançon peut être assurable, mais elle ne l’est que si votre contrat le dit noir sur blanc, et uniquement si vous respectez toutes les obligations prévues, notamment le dépôt de plainte dans les 72 heures. Dans tous les cas, vous ne devez jamais partir du principe qu’elle sera remboursée. Votre réflexe doit être de vérifier la garantie, son plafond, ses exclusions et la procédure à suivre en cas d’attaque, parce que c’est cette mécanique contractuelle, bien plus que l’intitulé « assurance cyber », qui décidera de votre niveau réel de protection.

5. Une règle incontournable depuis 2023 : porter plainte sous 72 heures

Depuis le 24 avril 2023, il ne suffit plus d’avoir une assurance cyber pour être indemnisé. La loi LOPMI a ajouté une condition légale impérative : si vous êtes victime d’une cyberattaque dans le cadre de votre activité professionnelle, vous devez déposer plainte dans les 72 heures après avoir découvert l’attaque. Ce n’est pas une simple recommandation de prudence, c’est une obligation prévue par le Code des assurances.

L’objectif du législateur est clair : améliorer le signalement des attaques pour aider les forces de l’ordre à enquêter, cartographier les menaces et lutter contre les réseaux criminels. Pendant longtemps, beaucoup d’entreprises préféraient gérer discrètement ce type d’incident, parfois en payant la rançon, sans plainte ni trace officielle. Désormais, si vous voulez activer vos garanties cyber, vous devez faire cette démarche.

Ce point est d’autant plus important qu’il s’applique même si votre contrat ne mentionne pas explicitement ce délai. La LOPMI a instauré une règle d’ordre public : elle s’impose à tous les contrats cyber en vigueur depuis cette date. Autrement dit, un assureur peut refuser l’indemnisation uniquement parce que la plainte n’a pas été déposée à temps, même si vous êtes par ailleurs parfaitement couvert.

Dans les faits, le délai de 72 heures commence à courir à partir du moment où vous avez « connaissance de l’atteinte ». Cela ne veut pas dire « quand l’attaque a commencé », mais quand vous la découvrez ou quand vous êtes raisonnablement en mesure d’en constater l’existence. Par exemple, si vous repérez le chiffrement un mardi à 10h, vous devez pouvoir prouver que la plainte a été déposée avant le vendredi à 10h. C’est pour cela qu’il faut documenter immédiatement l’incident (captures d’écran, logs si disponibles, constat interne) et prévenir votre assureur dès les premières heures.

Pourquoi ce délai est-il si déterminant ? Parce qu’au moment d’un rançongiciel, vous êtes sous pression maximum. Vos équipes veulent remettre le système en route, vos clients attendent, votre trésorerie se bloque. Dans ce chaos, porter plainte paraît souvent secondaire. Pourtant, si vous passez à côté, vous perdez potentiellement le bénéfice de toutes vos garanties : frais d’experts, restauration des données, pertes d’exploitation, accompagnement juridique, etc. C’est donc une étape administrative courte, mais financièrement décisive.

👉 La règle des 72 heures est devenue l’équivalent cyber du « réflexe incendie ». Comme on appelle les pompiers dès les premières minutes, on dépose plainte dès la découverte d’une attaque, sans attendre d’avoir tout compris. C’est un point crucial, encore trop méconnu des entreprises, et c’est souvent celui qui fait la différence entre une indemnisation complète et un refus sec au pire moment.

6. Comment savoir si on est réellement protégé ?

La question à vous poser n’est pas « ai-je une assurance pro ? », mais « ai-je une garantie cyber clairement écrite dans mon contrat ? ». Parce qu’en matière de rançongiciel, ce n’est pas le nom commercial du produit qui compte, c’est la présence (ou non) de garanties cyber explicites, avec leurs plafonds et leurs exclusions. Les assureurs eux-mêmes le rappellent : une RC Pro seule vise la responsabilité envers les tiers, pas la réparation de vos propres dommages informatiques.

Pour vérifier, commencez par relire vos conditions particulières, c’est-à-dire la partie de votre contrat qui liste vos garanties souscrites. Si vous n’y voyez que « RC Pro », « protection juridique », « multirisque » sans mention de cyber-risques, vous avez probablement une protection insuffisante contre un rançongiciel. Cela veut dire que vos coûts internes resteront à votre charge : intervention d’experts, nettoyage du SI, restauration des données, remise en route, et surtout pertes d’exploitation liées à l’arrêt.

À l’inverse, si vous repérez une ligne du type « cyber-risques », « atteinte aux systèmes d’information », « reconstitution de données », « pertes d’exploitation cyber » ou « frais de gestion de crise cyber », vous avez une base de protection. Ce vocabulaire n’est pas décoratif : il indique que le sinistre rançongiciel entre bien dans un périmètre couvert et qu’il existe des garanties spécifiques prévues pour vos dommages internes.

Mais cette première vérification ne suffit pas. Deux contrats cyber peuvent être très différents.

• ● Certains couvrent surtout l’assistance et la remédiation technique (experts informatiques, restauration, reconstitution de données), mais plafonnent fortement la perte d’exploitation.
• ● D’autres font l’inverse : bonne indemnisation de la baisse de chiffre d’affaires, mais faibles montants pour la remise en état ou des franchises élevées.

C’est pour cela qu’une lecture « intelligente » du contrat est nécessaire. Vous devez vérifier trois éléments concrets.

• ● D’abord le périmètre du sinistre. Le rançongiciel est-il bien cité comme événement couvert, ou est-ce limité à des fuites de données et à la responsabilité envers des tiers ?
• ● Ensuite les postes de frais pris en charge : frais d’experts, restauration et reconstitution de données, gestion de crise, et présence ou non d’une vraie perte d’exploitation cyber.
• ● Enfin les montants et conditions : plafonds par sinistre, franchises, exclusions (par exemple absence de sauvegardes, défaut de mises à jour, ou non-respect de mesures minimales de sécurité). Sur ce dernier point, les assureurs peuvent refuser ou limiter l’indemnisation si les obligations de prévention ne sont pas respectées.

👉 Si vous n’êtes pas sûr en lisant vos garanties, le réflexe le plus simple est de demander à votre courtier une confirmation écrite : « mon contrat couvre-t-il un rançongiciel sur mes propres systèmes, et prend-il en charge la remise en état plus la perte d’exploitation ? ». Cette formulation évite les malentendus. Elle vous permet de savoir, avant le sinistre, si vous avez une vraie protection cyber ou seulement une RC Pro avec une responsabilité numérique limitée.

7. Que faire si cela arrive demain ?

Face à un rançongiciel, vous n’avez pas le luxe d’improviser. Les premières heures déterminent à la fois l’ampleur des dégâts et votre niveau d’indemnisation. Les guides publics (Cybermalveillance.gouv.fr, CCI, ANSSI) et les assureurs cyber convergent sur une même logique : contenir, déclarer, prouver, puis reconstruire.

La première étape, c’est de contenir l’attaque et de préserver les preuves. Concrètement, vous isolez immédiatement les postes ou serveurs touchés du reste du réseau, vous coupez les accès distants si nécessaire et vous évitez de redémarrer ou de manipuler les systèmes au hasard, car cela peut aggraver l’infection ou effacer des traces utiles aux experts. Dans le même temps, vous conservez tout ce qui peut servir de preuve : messages de rançon, captures d’écran, journaux d’événements, liste des machines impactées, heure de découverte, actions déjà réalisées. Cette traçabilité est essentielle autant pour l’enquête que pour votre assureur.

Deuxième étape, vous alertez un expert informatique ou votre prestataire habituel. L’objectif est d’établir un diagnostic rapide : point d’entrée probable, périmètre du chiffrement, risque de propagation, existence d’une fuite de données, et faisabilité d’une restauration via sauvegardes. Les assureurs cyber fonctionnent presque tous avec un réseau d’experts habilités, et votre contrat peut prévoir une assistance 24/7 qui doit être activée dès ce moment-là. Ne tardez pas : plus l’expertise démarre tôt, plus les chances de reprise propre augmentent.

Troisième étape, vous déclarez le sinistre immédiatement à votre assureur ou à votre courtier, même si vous n’avez pas encore toutes les informations. Les assureurs cyber insistent sur cette déclaration « dès constat ». Cette déclaration précoce permet de déclencher la cellule de crise, de missionner les bons intervenants et d’encadrer les décisions stratégiques (restauration, communication, éventuelle négociation).

Quatrième étape, vous portez plainte dans les 72 heures après la découverte de l’attaque. Ce n’est pas une formalité secondaire. Depuis la LOPMI, c’est une condition légale pour être indemnisé au titre d’un contrat cyber. La plainte peut être déposée au commissariat, à la gendarmerie, ou adressée au procureur, et vous devez pouvoir fournir le récépissé à l’assureur.

Cinquième étape, seulement après ces démarches, vous construisez la stratégie de reprise avec les experts mandatés. L’ordre a une raison : vous devez d’abord stopper l’hémorragie et sécuriser votre droit à indemnisation, puis remettre en route. À ce stade, l’équipe de crise évalue la restauration depuis vos sauvegardes, la remise à plat des accès (mots de passe, comptes admin, MFA), les mises à jour de sécurité, et la reprise progressive des services. Les autorités recommandent aussi de vérifier l’existence d’outils de déchiffrement publics avant toute décision irréversible.

Enfin, si une fuite de données est suspectée, vous préparez les démarches RGPD avec l’appui juridique prévu par votre contrat : analyse du risque, déclaration éventuelle à la CNIL, information des personnes concernées si nécessaire. Cette dimension est souvent oubliée dans l’urgence, alors qu’elle peut conditionner votre responsabilité ultérieure.

👉 Cette séquence « contenir, expertiser, déclarer, porter plainte, reconstruire » fait très souvent la différence entre une reprise en quelques jours et une crise longue qui étouffe votre trésorerie. Elle crée aussi un cadre clair pour vos équipes : chacun sait quoi faire, dans quel ordre, sans perdre de temps au moment où chaque heure compte.