Une cyberattaque peut ruiner une entreprise en quelques heures. Pourtant, l’assurance cyber reste négligée, alerte Me Guillaume Aksil.
Alors que les cyberattaques se multiplient en France, les PME et ETI restent dangereusement mal préparées. Au cœur de cette vulnérabilité : une assurance cyber souvent négligée, inadaptée, ou mal comprise. Dans une tribune incisive, Me Guillaume Aksil, avocat en droit des assurances au cabinet Lincoln Avocats Conseil, alerte sur les conséquences d’un sous-investissement stratégique dans la couverture des risques numériques.
Une exposition croissante, une couverture absente
En 2023, plus de 278 000 atteintes numériques ont été recensées en France, en hausse de 9 % sur un an. Les attaques par rançongiciel ont bondi de 28 %, cela a atteint leur plus haut niveau en quatre ans. Les PME et ETI, souvent dépourvues de moyens adaptés, représentent désormais 37 % des victimes. Ce glissement souligne une réalité inquiétante : ces structures sont devenues des cibles privilégiées, mais sans défenses assurantielles à la hauteur.
Pour Me Guillaume Aksil, cette exposition est d’autant plus préoccupante que « la plupart des entreprises découvrent trop tard qu’elles ne sont pas couvertes. L’assurance cyber n’est activée qu’une fois le sinistre survenu, lorsqu’il est déjà trop tard ». Un constat qui révèle une carence stratégique persistante dans la gestion des risques numériques.
Des contrats illisibles, des garanties fantômes
Lorsqu’une cyberattaque survient, ce n’est pas un simple incident technique. C’est toute l’organisation de l’entreprise qui vacille : données inaccessibles, production arrêtée, réputation ternie, obligations CNIL à gérer. Mais l’assurance, censée intervenir en soutien, se révèle souvent inopérante. Les contrats sont rédigés dans un jargon opaque, inaccessible aux non-initiés.
« Les exclusions pleuvent, les garanties sont mal calibrées et les chefs d’entreprise se retrouvent démunis », explique Me Aksil. Certaines polices évoquent même des “actes étatiques” ou des “cyber-guerres”, notions floues qui permettent aux assureurs de se désengager. L’imputabilité juridique est tout aussi complexe. En cas de faille exploitée, le donneur d’ordre peut être tenu responsable aux côtés de son prestataire. Pourtant, les contrats RC classiques ne couvrent pas toujours ce type de préjudice.
Structurer un marché encore immature
Le marché de la cyberassurance reste largement inégal. D’un acteur à l’autre, les garanties varient du tout au tout : frais de reconstitution des données, perte d’exploitation, accompagnement juridique… rien n’est réellement standardisé. Ce manque de lisibilité entretient la méfiance et le désengagement des entreprises Selon Me Aksil, « il est urgent que les assureurs, avocats, courtiers et régulateurs travaillent à des contrats lisibles, utiles et alignés avec la réalité opérationnelle ».
Une structuration minimale du marché devient impérative pour éviter de nouveaux drames économiques. Car une entreprise paralysée par une attaque, c’est aussi un écosystème fragilisé, des emplois menacés et une souveraineté numérique en péril. La cyberassurance ne peut plus rester à la marge : elle doit devenir un pilier central de la résilience des entreprises.
Article basé sur un communiqué de presse reçu par la rédaction.
