La garantie cyber-extorsi

La garantie cyber-extorsion : un paradoxe assurantiel

Au titre de leur nouvelle palette de services, certains assureurs proposent une garantie dite « cyber-extorsion ». Laquelle intervient notamment dans le cadre de ransomware ou rançongiciel. Situation se matérialisant sous le poids d’une attaque cyber, par la neutralisation d’accès aux outils métiers, voire surtout à l’extorsion de données moyennant le paiement d’une rançon(1).

Par Alex Feraud-Simonpieri,,
Étudiant Master 2 Master 2 Droit bancaire et fintech, Université Côte d’Azur
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"

Les conséquences peuvent être désastreuses pour cette dernière, tant d’un point de vue purement opérationnel, que réputationnel et réglementaire.
Payer ou précipiter le risque, tel est le dilemme presque cornélien auquel les victimes doivent faire face.
Ainsi, le recours à de telles garanties a pu sembler opportun pour certaines. Si la couverture assurantielle de risques cyber est encadrée au travers de la Loi dite LOPMI(2) entrée en vigueur le 24 avril 2023 , le paiement de rançon dans le cadre de la réalisation d’un risque cyber, ne trouve naissance, en l’absence de mention explicite, que dans les interstices de ce texte.

Or, en tant qu’acteur assumé de la LCB-FT(3) , il est presque paradoxal de proposer ce type de garantie, alors même que cela contribue in fine ou quasi directement à financer des parties prenantes à ce chantage(4).
Bien que favorable pour l’entreprise, qui après paiement pourra en obtenir remboursement, la pratique n’en est pas pour autant parfaite, et pousserait les victimes à transiger directement auprès des cybercriminels, alimentant de facto un marché parallèle, multipliant les attaques(5).
De plus, rien n’indique que le paiement de ladite rançon ne suffise au rançonneur. Il serait imprudent de miser sur sa bonne foi, lequel ne semble pas se démarquer par son éthique.

De la sorte, et c’est très certainement vers cette voie qu’il faut se diriger, de plus en plus d’assureurs renoncent à proposer cette garantie(6), au profit d’une gestion des risques plus préventive, au moyen d’un accompagnement et d’une acculturation progressive aux risques cyber(7).
Il est en effet nécessaire d’anticiper et de privilégier une gestion des risques à une
gestion de crise. D’autant plus que même les plus petites entreprises, qui s’orienteraient vers un marché type BtoC, peuvent être des cibles de choix en raison des données détenues et de leurs faibles systèmes de sécurités(8).
De telle sorte qu’il ne bénéficie pas d’un encadrement particulier, outre l’obligation de dépôt de plainte dans les 72 heures suivant la cyber attaque.
En risque cyber, le véritable danger, c’est de méconnaitre son exposition.

Lire aussi : Remboursement assurantiel des rançons versées en crypto-actifs

Références

Définition et cadre réglementaire
1 Ministère de l’Intérieur, « Comment vous protéger des rançongiciels ou ransomwares qui peuvent infiltrer vos ordinateurs ? ».
2 Article L. 561-2, Code monétaire et financier.
3 Loi LOPMI. Article 5 introduisant l’article L. 12-10-1 du Code des assurances.
4 Banque de France, Haut Comité Juridique de la Place Financière de Paris, « Rapport sur l’assurabilité des risques cyber », 2023.
5 Tracfin, Lettre d’actualités, Mars 2022. « L’action de Tracfin dans la lutte contre les circuits de blanchiment du produit de rançongiciel ».
6 Axa « Conditions générales Cyber Secure ».
7 AXA, Livre blanc, « Cybersécurité, un levier de performance et de confiance pour les entreprises ».
8 Linformaticien, « Les ransomwares en hausse en Europe », 4 novembre 2025.

Visuel de Une ©DR

Voir tout

Société nouvelle des Petites Affiches ©2026 Tous droits réservés