.

Indemnisation cyberattaque : 7 conditions à respecter

Cyber · assurance

7 conditions cumulatives pour être indemnisé. La loi LOPMI de 2023 a durci les règles : dépôt de plainte sous 72h obligatoire, mesures de sécurité documentées, sauvegardes hors ligne testées. Détail des refus fréquents.

Ce que la loi LOPMI 2023 a changé

Depuis l'entrée en vigueur de la loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI) du 24 janvier 2023, l'indemnisation par l'assurance d'une cyberattaque est conditionnée à un dépôt de plainte par la victime auprès de la police ou de la gendarmerie dans un délai de 72 heures à compter de la connaissance des faits.

Cette mesure a deux objectifs : lutter contre le financement opaque de la cybercriminalité (notamment par paiement de rançon non déclaré) et renforcer la coopération entre victimes et autorités. Concrètement, l'organisation qui omet le dépôt de plainte perd son droit à indemnisation, même si toutes les autres conditions sont remplies.

Les 7 conditions cumulatives

1 · Dépôt de plainte sous 72 heures

Auprès du commissariat, de la gendarmerie ou du service Pharos en ligne. Délai non négociable depuis la LOPMI 2023. La plainte ouvre l'enquête et est exigée par l'assureur comme pièce du dossier d'indemnisation.

2 · Mesures de sécurité documentées au moment de l'attaque

L'assureur vérifie que vous respectiez les engagements contractuels souscrits : antivirus à jour, pare-feu, EDR/XDR, segmentation réseau, MFA sur les accès distants. La preuve documentaire est exigée (politique de sécurité, captures d'écran de configurations, journaux d'audit).

3 · Sauvegardes 3-2-1 hors ligne

La règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors ligne (déconnectée du réseau). Les sauvegardes en ligne sans copie déconnectée ne suffisent plus : les ransomwares modernes ciblent et chiffrent aussi les sauvegardes en ligne.

4 · Mises à jour de sécurité appliquées

Les correctifs critiques (CVE de gravité élevée ou critique) doivent être appliqués sous 30 jours maximum. Une vulnérabilité non patchée depuis plus de 90 jours est presque systématiquement invoquée par l'assureur comme cause d'exclusion.

5 · Déclaration CNIL sous 72 heures

Si des données personnelles sont compromises (chiffrement, exfiltration, accès non autorisé), notification CNIL sous 72h via le téléservice dédié. Voir notre FAQ déclaration CNIL fuite de données. L'absence de notification expose à des sanctions distinctes du refus d'indemnisation.

6 · Coopération avec les experts forensic

L'assureur mandate ses propres experts en informatique légale pour : stopper l'attaque, sécuriser les preuves, vérifier la conformité aux engagements de sécurité. Le refus de coopérer ou la destruction de preuves entraîne l'exclusion. Préserver les disques, les journaux, les machines compromises : ne pas reformater ni redéployer avant l'arrivée des experts.

7 · Gestion documentée de l'incident

Main courante horodatée des actions, SITREP réguliers, décisions tracées en cellule de crise, communications internes et externes archivées. Cette documentation prouve la diligence de l'organisation et facilite l'évaluation du préjudice. Voir notre FAQ SITREP.

À retenir : les conditions sont cumulatives. Une seule non remplie peut suffire à justifier un refus d'indemnisation, même si l'attaque est par ailleurs avérée et le préjudice documenté.

8 motifs de refus d'indemnisation les plus fréquents

  • Pas de dépôt de plainte sous 72h (motif n°1 depuis LOPMI 2023).
  • MFA non déployée sur les accès VPN, RDP, comptes administrateurs.
  • Correctifs critiques non appliqués depuis plus de 30 jours sur des CVE élevées.
  • Sauvegardes en ligne uniquement (pas de copie hors ligne testée).
  • Engagement contractuel non tenu : vous aviez déclaré un EDR à la souscription, il n'était pas déployé.
  • Paiement de rançon sans autorisation préalable de l'assureur (voir notre FAQ faut-il payer la rançon).
  • Déclaration tardive du sinistre à l'assureur (délais contractuels variables, généralement 5 à 10 jours).
  • Défaut de coopération avec les experts forensic mandatés.

Ce que couvre une assurance cyber

  • Frais de remédiation technique : forensic, restauration des systèmes, décryptage, audit post-incident.
  • Perte d'exploitation : indemnité pour la marge brute perdue pendant l'interruption d'activité.
  • Frais de notification : CNIL, personnes concernées, partenaires.
  • Responsabilité civile : recours de tiers (clients, sous-traitants) ayant subi un préjudice indirect.
  • Frais de communication de crise : agence externe, conseils, achat d'espace média si nécessaire.
  • Frais juridiques : assistance juridique, défense pénale et civile.

La couverture du paiement de rançon est de plus en plus restreinte ou exclue depuis 2023.

Comment Twist accompagne

Twist accompagne sur trois volets, en lien avec la communication de crise et la gestion de crise globale :

  • Audit d'assurabilité préalable : vérification de la conformité de votre dispositif aux 7 conditions, identification des écarts, plan correctif.
  • Préparation à l'activation de l'assurance : trame de dépôt de plainte, kit de coopération forensic, modèle de notification CNIL.
  • Exercice tabletop cyber avec activation simulée de l'assurance, débriefing structuré avec votre courtier si possible.

Questions connexes

Combien coûte une assurance cyber pour une PME ?

Variable selon CA et exposition : de 800 € HT/an pour une TPE à 8 000 € HT/an pour une PME de 100 salariés. Pour une ETI, généralement entre 15 000 et 50 000 € HT/an. Les primes ont fortement augmenté depuis 2022 (+30 à +60 %) du fait de la sinistralité.

Faut-il payer la rançon avant ou après contact assureur ?

Toujours contacter l'assureur AVANT toute décision. La plupart des contrats exigent un accord préalable pour le paiement de rançon, et de plus en plus excluent cette couverture. Voir notre FAQ dédiée faut-il payer la rançon en cas de ransomware.

L'assurance cyber est-elle obligatoire pour les OSE NIS2 ?

Non, NIS2 n'impose pas explicitement une assurance cyber. Mais les obligations de gestion des risques et de continuité d'activité de NIS2 sont compatibles avec une couverture assurantielle, et les contrôles ANSSI peuvent demander à voir le dispositif global de transfert de risque.

Pour aller plus loin

Auditer l'assurabilité de votre dispositif cyber ?

30 minutes pour identifier vos écarts aux 7 conditions et sécuriser votre droit à indemnisation. Gratuit et sans engagement.

Échanger avec un consultant →

Pour aller plus loin

Twist met à disposition le fruit de ses réflexions et recherches sur la culture du risque, des ressources documentaires et propose aussi des événements.

PCS obligatoire : quel seuil ? Loi MATRAS expliquée 2026

Réglementaire & obligations Il n’y a pas de seuil démographique unique. L’obligation tient à l’exposition...

C’est quoi le SGDSN ? Défense et sécurité nationale

Défense nationale & architecture interministérielle Le SGDSN est le service du Premier ministre chargé de...

C’est quoi l’ANSSI ? Cyberdéfense de l’État

Cybersécurité & cellule de crise cyber L’ANSSI est l’autorité nationale de la sécurité des systèmes...

Votre message à bien été envoyé