Ce que les garanties cyber couvrent vraiment, des amendes RGPD au délai de 72 h

Perte de fichiers clients, fuite de données perso, serveur chiffré par un rançongiciel. En 2026, tu signes une “assurance cyber” en pensant acheter un parachute, et tu découvres parfois que c’est plutôt un gilet de sauvetage. Ça flotte, oui. Ça te ramène pas forcément au rivage. Le contrat couvre surtout des conséquences financières très cadrées, avec des plafonds, des durées, et des exclusions écrites noir sur blanc.

Le vrai sujet, c’est pas “est-ce que je suis assuré?” C’est “qu’est-ce qui est considéré comme assurable?” Entre la gestion de crise, la perte d’exploitation, la responsabilité civile, et tout ce qui reste sur le carreau (négligence, données non chiffrées, perte de confiance), tu peux vite te retrouver avec un reste à charge salé. On fait le tri, poste par poste, comme si on relisait un devis après le chantier.

Pour aller plus loin : Les garanties d'assurance indispensables pour la pratique du ski nautique.

Ce que l’assurance cyber paie vraiment après une fuite

Premier réflexe des contrats en 2026: payer la gestion de crise. Ça veut dire l’intervention d’experts informatiques pour comprendre ce qui s’est passé, contenir l’attaque, et documenter le bazar. Dans beaucoup de formules, tu retrouves aussi la notification des clients et des autorités quand il y a données personnelles, parce que le RGPD ne te demande pas ton avis. Si tu dois appeler 20 000 clients, ça chiffre vite.

Dans les garanties fréquentes, tu as aussi la restauration des systèmes. Pas “on te rend tes données comme par magie”, mais “on finance des actions techniques pour remettre d’aplomb ce qui a été cassé”. Les contrats détaillent souvent des plafonds par poste. Sur le marché 2026, on voit des enveloppes de restauration qui vont typiquement de 30 000 à 500 000 euros selon le budget, et des enveloppes d’intervention forensic qui montent, sur des couvertures étendues, vers 200 000 à 800 000 euros.

Autre bloc qui compte: la perte d’exploitation. Si ton site e-commerce est KO, si ton ERP est bloqué, si ton cabinet ne peut plus facturer, l’assurance peut indemniser une partie du manque à gagner pendant une durée limitée. Et c’est là que beaucoup tombent de haut. Les durées max observées tournent souvent autour de 30 à 60 jours sur des budgets TPE, et plutôt 90 à 180 jours sur des contrats plus costauds. Le plafond, lui, peut aller de 25 000 à 500 000 euros selon les niveaux.

Dernier poste souvent sous-estimé: la com de crise. Quand tes clients apprennent que leurs données ont fuité, tu peux te retrouver à devoir gérer une tempête. Les contrats prévoient parfois des relations publiques et de la communication de crise, avec des plafonds qui vont, selon les gammes, d’environ 10 000 à 150 000 euros. Marc, DSI d’une PME de services que j’ai eu au téléphone, résume bien: “Le prestataire technique, je l’ai eu en 4 heures. La cellule com, le lendemain. Sans la garantie, j’aurais bricolé un mail honteux.”

Les exclusions 2026: négligence, États, données non chiffrées

Le truc qui fait mal, c’est que la cyber-assurance ne couvre pas “tout ce qui ressemble à un incident cyber”. En 2026, les contrats sont plus transparents sur les exclusions, et c’est une bonne nouvelle… sauf que ça veut dire que tu ne peux plus dire que tu ne savais pas. Première exclusion classique: la négligence avérée. Pas de mises à jour, pas de sauvegardes, pas de mesures minimales, et l’assureur peut te dire non.

Concrètement, ça peut ressembler à un serveur exposé avec un vieux service non patché, ou une sauvegarde qui n’a pas tourné depuis six mois. Le contrat ne va pas forcément exiger la perfection, mais il attend un socle. Et si l’expert mandaté conclut que tu as ignoré des basiques, tu peux te faire retoquer une partie du dossier. C’est là que la phrase “on n’a pas eu le temps” devient très chère. Tu payes l’incident, et tu payes l’apprentissage.

Autre exclusion fréquente: les attaques attribuées à des acteurs étatiques. Dans la vraie vie, l’attribution est rarement simple, mais sur le papier, c’est un motif d’exclusion. Et tu as aussi un point qui revient souvent: les pertes de données non chiffrées. Beaucoup de boîtes découvrent trop tard que le chiffrement, ce n’est pas juste une case “sécurité”, c’est une condition implicite pour être indemnisé sur certains scénarios de fuite.

Dernier angle mort: ce qui touche à la confiance et au long terme. Certains contrats excluent les pertes de chiffre d’affaires à long terme liées à la réputation, au churn client, ou à une baisse durable d’activité. Et là, soyons honnêtes, c’est souvent le vrai coût. Tu peux être indemnisé sur 60 jours d’arrêt, mais perdre des clients pendant 18 mois. L’assurance va te répondre: “Ce n’est pas un dommage direct mesurable dans la fenêtre prévue.” Ça pique, mais c’est cohérent avec leur logique.

Plafonds et sous-limites: l’addition se joue poste par poste

Quand tu lis “plafond global: 1 million”, tu respires. Mauvaise habitude. En 2026, ce qui compte, c’est la découpe par garanties, les sous-limites, et les durées. Tu peux avoir un gros plafond global, mais seulement 50 000 euros pour la notification RGPD, 30 000 pour la com, 75 000 pour la perte d’exploitation, et tu te retrouves à arbitrer en pleine crise. Et la crise, c’est pas le moment idéal pour faire du contrôle de gestion.

Les fourchettes observées donnent une idée du piège. Sur des budgets TPE autour de 400 à 1 200 euros par an, tu as souvent du forensic plafonné vers 50 000 à 150 000 euros, de la restauration vers 30 000 à 100 000, et une perte d’exploitation limitée à 25 000 à 75 000 euros sur 30 à 60 jours. Sur des couvertures plus étendues, les plafonds montent franchement, mais la prime aussi, et l’assureur devient plus sélectif.

Le détail qui change tout: la dépendance aux fournisseurs. Si tu es SaaS et que ton hébergeur ou ton prestataire de paiement se fait attaquer, certains contrats couvrent une partie des pertes liées à ces dépendances, avec des plafonds souvent autour de 50 000 à 200 000 euros selon les formules. Sauf que ce n’est pas automatique. Il faut que ce soit écrit, et il faut que ton incident rentre dans la définition du contrat. “Mon prestataire a planté” ne suffit pas.

Et puis il y a la fraude au virement et l’ingénierie sociale. Beaucoup d’entreprises confondent “cyberattaque” et “arnaque au président”. Les contrats qui couvrent ce volet existent, mais avec des plafonds typiques autour de 25 000 à 100 000 euros. Julie, responsable admin dans une TPE, m’a raconté un cas simple: faux mail fournisseur, RIB modifié, 18 000 euros partis. Si ton contrat ne vise pas explicitement ce scénario, tu peux te retrouver avec un refus net.

Combien ça coûte en 2026, et ce que ton budget achète

En 2026, le marché a une logique simple: plus les sinistres montent, plus les assureurs trient. Les tarifs observés vont grosso modo de 400 euros à plus de 15 000 euros par an selon la taille, le secteur, et la maturité cyber. Ce n’est pas “cher” ou “pas cher” dans l’absolu. C’est un prix pour un niveau de services, de plafonds, et de tolérance au risque. Et oui, ton secteur pèse lourd.

Ce que tu achètes à petit budget, c’est une couverture essentielle. Elle peut te sauver sur un incident limité, mais elle ne te transforme pas en forteresse. Tu as souvent une assistance juridique et notification RGPD avec des plafonds plutôt serrés, une com basique, et une perte d’exploitation courte. Pour une micro-entreprise 100% numérique qui manipule des données sensibles, c’est déjà mieux que rien. Mais il faut accepter que certains scénarios te dépassent.

Quand tu montes en gamme, tu achètes surtout de la respiration. Des plafonds plus hauts, des durées d’indemnisation plus longues, et des briques supplémentaires comme la dépendance fournisseurs ou une meilleure prise en charge de la réponse à incident. Certains assureurs mettent aussi en avant un réseau d’experts mobilisables 24/7, ce qui est loin d’être un gadget. Quand ton SI est à l’arrêt, tu veux des gens qui répondent, pas un formulaire.

Le revers de la médaille, c’est la sélectivité. Plus tu veux être couvert, plus on va te demander des preuves de sérieux: sauvegardes, procédures, mises à jour, parfois des audits. Et si tu es dans un secteur jugé très exposé, tu peux te retrouver avec des franchises plus hautes ou des exclusions plus strictes. Tu payes pour transférer un risque, mais l’assureur veut voir que tu en gardes une partie sous contrôle.

Comment vérifier si ta “perte de données clients” est assurable

Tu veux savoir ce que couvre “perte de données clients”? Pose la question comme un juriste, pas comme un humain stressé. Est-ce une perte (données effacées), un détournement (exfiltration), ou une indisponibilité (chiffrement)? Les contrats distinguent ces notions. Certains couvrent les conséquences pécuniaires d’une perte ou d’un détournement de données personnelles, plus les frais de restauration des systèmes, plus l’interruption de réseau. Mais chaque mot compte.

Deuxième étape: regarde les conditions de sécurité implicites. Le chiffrement des données au repos, les sauvegardes, les mises à jour. Si ton scénario repose sur “on stockait des exports clients en clair sur un partage”, tu joues avec le feu, parce que les pertes de données non chiffrées sont souvent dans la zone grise, voire exclues. Et la négligence avérée, on en a parlé, c’est la porte de sortie préférée des assureurs.

Troisième étape: simule ton incident en euros, poste par poste. Combien coûte la notification RGPD si tu as 50 000 clients? Combien coûte une semaine d’arrêt? Quelle marge tu perds par jour? Combien coûte une équipe forensic externe? Sans ce chiffrage, tu ne sais pas si ton plafond de 75 000 euros est cohérent ou ridicule. Un dirigeant que je connais a découvert après coup que sa perte d’exploitation couvrait 30 jours, alors que son cycle de vente est à 90 jours. Résultat: indemnisation courte, douleur longue.

Dernier point, plus politique: l’assurance n’est pas une stratégie de cybersécurité. C’est un filet financier, parfois un accélérateur de réaction, mais ça ne remplace pas l’hygiène. Les assureurs poussent d’ailleurs vers une logique de partenariat: couverture plus services, prévention, accompagnement. Si tu veux une garantie solide en 2026, prépare-toi à documenter ton niveau de sécurité, et à accepter qu’une partie du risque reste chez toi. La vraie question, c’est combien tu peux encaisser sans mettre la clé sous la porte.